CMMC compliance
Werkt u samen met het Amerikaanse Ministerie van Defensie of bent u van plan dat in de toekomst te doen? Dan moet uw organisatie CMMC-gecertificeerd zijn. Wij kunnen u helpen CMMC-compliance te bereiken.
> Procesgerichte Diensten > CMMC compliance
Wat is CMMC?
Werkt u in opdracht van het Ministerie van Defensie van de Verenigde Staten (DoD)? Dan bent u verplicht om aan bepaalde cybersecurityeisen te voldoen. De Cybersecurity Maturity Model Certification (CMMC) van het Amerikaanse DoD heeft als doel dat opdrachtnemers adequate cybersecuritymaatregelen hebben geïmplementeerd om gevoelige informatie te beschermen. De bijgewerkte versie, CMMC 2.0, zal naar verwachting begin 2025 als definitieve regel worden gepubliceerd.
Voor wie geldt CMMC?
Het Amerikaanse DoD heeft dit certificeringssysteem ontwikkeld om ervoor te zorgen dat alle leveranciers de juiste beheersmaatregelen voor cybersecurity implementeren. Het doel is om ongeclassificeerde, maar gevoelige informatie binnen hun ongeclassificeerde netwerken te beschermen.
Volgens schattingen van het Amerikaanse DoD zullen alleen al in de VS meer dan 200.000 leveranciers aan de CMMC-eisen moeten voldoen. Daarvan schat het Amerikaanse DoD dat ongeveer 40 procent, dus ongeveer 80.000 bedrijven, een CMMC niveau 2 certificering nodig zullen hebben. Naar verwachting zullen ook Europese leveranciers CMMC gecertificeerd moeten zijn. Het aantal Europese bedrijven dat te maken krijgt met CMMC ligt waarschijnlijk tussen de 500 en 850.
Willem van Dijk
CMMC consultant
Secura
Regelgeving in de VS kan aanvoelen als iets waar u zich als Europese fabrikant niet mee bezig hoeft te houden, maar CMMC-compliant zijn is cruciaal als u wilt werken met het Amerikaanse ministerie van Defensie.
Welke niveaus heeft CMMC?
CMMC heeft drie certificeringsniveaus. Aan welk level of niveau u moet voldoen, hangt af van de soorten informatie die u als contractant verwerkt als onderdeel van uw overeenkomst met het Amerikaanse DoD.
Level 1: Basis cyberhygiëne. Elke leverancier van de DoD moet ten minste voldoen aan niveau 1. De controles van dit niveau zijn primair gericht op het beschermen van informatie die niet bedoeld is voor publieke vrijgave (d.w.z. FCI), en zorgen ervoor dat de toegang wordt beperkt tot geautoriseerde gebruikers. De controles zijn vastgelegd in de Federal Acquisition Regulation (FAR).
Level 2: Geavanceerde cyberhygiëne. Contractanten bij de DoD die omgaan met gevoelige informatie die beveiligd moet worden (d.w.z. CUI) moeten voldoen aan niveau 2. Dit niveau vereist dat een leverancier de beveiligingscontroles uit NIST SP 800-171 implementeert.
Level 3: Expert cyberhygiëne. Niveau 3 richt zich op meer geavanceerde cyberbedreigingen voor bedrijven die omgaan met CUI, die is gekoppeld aan een kritisch programma of bedrijfsmiddel van hoge waarde. Dit niveau vult de controles van niveau 2 (800-171) aan met een subset van de controles in NIST SP 800-172.
Wanneer moeten we beginnen met de voorbereiding op CMMC?
De voorbereiding op de CMMC 2.0 Level 2 assessment, die van de meeste bedrijven wordt verwacht, duurt 12-18 maanden. Er is een verwachte wachttijd van 9-15 maanden voor bedrijven om een assessment te krijgen bij gecertificeerde assessmentorganisaties of C3PAO's. Dit betekent dat het verstandig is om nu al te beginnen met de voorbereidingen voor CMMC-compliance.
Wat gebeurt er als we niet voldoen aan CMMC?
Het niet voltooien van het CMMC certificeringsproces kan resulteren in het niet ontvangen van toegewezen contracten, beëindiging van uw huidige contract of hoge boetes voor niet-naleving en schade. Het kan er ook toe leiden dat uw bedrijf geen andere contracten van de Amerikaanse overheid kan krijgen.
Onder de U.S. False Claims Act (FCA) kunnen bedrijven ook aansprakelijk worden gesteld door bewust of onbewust onjuiste verklaringen over naleving af te leggen. Als u zich bewust of onbewust niet aan alle vereisten houdt (NIST SP 800-171), riskeert uw bedrijf aanzienlijke boetes.
Hoe wij u kunnen helpen
Secura helpt defensie- en veiligheidsorganisaties in heel Europa om hun cyberweerbaarheid te vergroten. Wij kennen het belang van naleving van wet- en regelgeving, zoals CMMC. Onze CMMC-consultants hebben een achtergrond in defensie en uitgebreide kennis, niet alleen van de certificering, maar ook van bredere kwesties in uw vakgebied. We kunnen u helpen met de volgende CMMC diensten:
CMMC diensten
01
CMMC Boardroom Training
Waarom is CMMC belangrijk? Welke gevolgen heeft deze regelgeving voor uw bedrijf? Tijdens deze 2 uur durende training krijgt uw management voldoende inzicht in CMMC om weloverwogen beslissingen te nemen over eventuele maatregelen. Bespaar uzelf weken studie en onderzoek met deze beknopte overzichtstraining.
02
CMMC Readiness Assessment
De belangrijkste vraag die deze beoordeling beantwoordt is: welke technische beveiligingscontroles, bijvoorbeeld met betrekking tot toegangsbeheer, heeft u al en moet u implementeren om CMMC-compliance te bereiken? Omdat CMMC specifieke documentatie vereist, besteden we hier ook veel aandacht aan.
03
CMMC Implementatie Support
Op basis van de resultaten van de CMMC Readiness Assessment kunnen wij u helpen om u voor te bereiden op uw CMMC-beoordeling. We kunnen u helpen met de implementatie van noodzakelijke controles en het opzetten en bijhouden van documentatie. We bieden ook een pre-certificeringszelfevaluatie aan, die kan worden gezien als een repetitie voor uw eigenlijke audit.
Neem contact op
Wilt u meer weten over hoe uw organisatie CMMC compliance kan bereiekn? Vul het contactformulier in en wij nemen binnen één werkdag contact met u op.
Over Secura
Secura is een toonaangevend bedrijf op het gebied van cyberbeveiliging. Onze klanten variëren van overheid en defensie tot financiën en industrie. Secura biedt technische diensten aan, zoals vulnerability assessments, penetratietesten en Red Teaming. We bieden ook certificering voor IoT en industriële omgevingen, evenals audits, forensische diensten en awarenesstrainingen.
Ons doel is om uw cyberweerbaarheid te vergroten. Wij zijn een Bureau Veritas-bedrijf. Bureau Veritas (BV) is een beursgenoteerde onderneming die gespecialiseerd is in testen, inspecteren en certificeren. BV is opgericht in 1828, heeft ruim 80.000 medewerkers en is actief in 140 landen. Secura is de hoeksteen van de cyberbeveiligingsstrategie van Bureau Veritas.