Siber Güvenlik Vade Modeli Sertifikasyonu (CMMC) programı, fikir 2019’da ilk kez tanıtıldığından beri birçok savunma yüklenicisi için bir baş ağrısı olmuştur. Program, federal sözleşme bilgileri (FCI) ve kontrollü sınıflandırılmamış bilgiler (CUI) dahil olmak üzere sınıflandırılmamış bilgileri korumayı amaçlamaktadır. Savunma Bakanlığı (DOD) tarafından yüklenicileri ve alt yüklenicileri ile paylaşılan kamu tahliyesi için. Aralık 2023’te DOD, CMMC programını aşamalı bir sunumda resmen kodlamak için bir kural önerdi. DOD şimdi, Faz 1 ile ilgili önerilen bir kural (önerilen kural) yayınladı, bu da belirli bir CMMC seviyesine ulaşmak için belirli bir CMMC seviyesine ulaşmak için hassas bilgileri ele alan bazı DOD yüklenicilerinin bir başka adım. FCI veya CUI’yi işleyen, depolayan veya ileten (veya gelecekte bunu yapmayı planlayan) DOD yüklenicileri, CMMC programına büyük hükümet sözleşmelerini kazanarak veya kaybedebileceği veya kaybedebileceği gibi aşina olmalıdır.
CMMC’ye genel bakış
DoD tedarik faaliyetleri, verilen yüklenici (veya taşeronları) ile paylaşılan veya geliştirilen bilgilerin türüne ve hassasiyetine bağlı olarak, belirli bir CMMC seviyesini talep ve sözleşme atayacaktır. Üç CMMC seviyesi vardır. CMMC Seviye 1, bir yüklenicinin kendinden değerlendirmesini ve FCI’yi (FAR) Madde 52.204-21’de listelenen FCI’yi korumak için 15 temel koruma gereksinimine uymasını gerektirir. CMMC Seviye 2, talep/sözleşmeye bağlı olarak bir öz değerlendirme veya sertifika gerektirebilir. Öz değerlendirme için, yüklenicilerin, gerekli varlıklar için Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Özel Yayın (SP) 800-171’de listelenen tüm geçerli güvenlik gereksinimlerinin uygulandığını doğrulamaları gerekecektir. Savunma tarafından Federal Edinme Düzenleme Takviyesi (DFARS) Maddesi 252.204-7012. Sertifikasyon için, en büyük farklılıklardan biri, yetkili veya akredite bir C3PAO[1] NIST SP 800-171 güvenlik gereksinimlerinin uygulanmasını doğrulamak için gereklidir. Son olarak, CMMC Seviye 3, DOD’un bir yüklenicinin tüm CMMC Seviye 2 gereksinimlerini ve NIST SP 800-172’den ek, gelişmiş güvenlik gereksinimlerini uygulamasını değerlendirmesini gerektirir. CMMC seviyeleri 2 ve 3 için, toplam değerlendirme puanına sahip olmayan yüklenicilerin, gerekli seviyeye ulaşmak için 180 gün içinde kapatılması gereken bir eylem ve kilometre taşları (POA & M) oluşturmaları ve uygulaması gerekebilir.
CMMC’nin aşamalı sunumu
DoD başlangıçta (ve iddialı bir şekilde) CMMC’nin Ekim 2026’ya kadar tam olarak uygulanmasını bekledi. Aralık 2023, CMMC’nin Federal Düzenlemeler Kurallarının 32. Başlık’a uygulanmasına ilişkin kural önerdi, ancak programın gereksinimlerinin taleplere uygulanmasını ele almadı. CMMC’nin aşamalı sunumu aşağıdaki gibidir:
- Faz 1, DFARS 252.204-7021 kural yapımı etkili hale geldiğinde başlar. CMMC Seviye 1 ve Seviye 2 öz değerlendirme gereksinimleri, yürürlükteki tüm taleplerde Sözleşme Ödülü Koşulları olarak dahil edilecektir.
- Aşama 2, Faz 1’in başlangıcından altı ay sonra başlar. CMMC Seviye 2 sertifikasyon gereksinimleri, geçerli tüm taleplerde sözleşme ödülü koşulları olarak dahil edilecektir.
- Aşama 3, Faz 2’nin başlamasından bir yıl sonra ilerler. Ayrıca, CMMC Seviye 3 sertifika gereksinimleri, sözleşme ödülü olarak tüm taleplere dahil edilecektir.
- Aşama 4, Faz 3 başlamasından bir yıl sonra başlar ve CMMC programının tam olarak uygulanmasını gerektirir. Her üç seviye gereksinim de (1) tüm taleplerde Sözleşme Ödülü ve (2) tüm sözleşmelerde opsiyon dönemlerini kullanmak için koşullar olarak dahil edilmelidir.
Önerilen bu kural, DOD’un CMMC programını ilerletme taleplerine nasıl uygulamayı planladığını ele alıyor. Önerilen kural uygun bildirim ve iletişim karar vermesinden geçtikten sonra, sonraki bir nihai kural yayınlanır ve DFARS revizyonları etkili hale getirilir, daha sonra Faz 1 resmi olarak başlamış olacaktır.
Önerilen DFARS revizyonları
Önerilen kuralda iki önemli revizyon açıklanmıştır:
İlk olarak, DFARS 252.204-7021-Yüklenicinin Siber Güvenlik Vadesi Modeli Sertifikasyon Düzeyi Gereksinimlerine Uyum, Yüklenicilerin belirli bir düzeyde CMMC sertifikası veya CMMC öz değerlendirmesine sahip olmasını gerektiren tüm talep, sözleşmeler ve görev/teslimat siparişlerine dahil edilecektir. Yalnızca ticari olarak temin edilebilen hazır ürünlerin satın alınması hariç. Maddede, sözleşme görevlisi (CO) için geçerli CMMC seviyesini talep/sözleşmeye atamak için bir yer tutucusu olacaktır. Geçerli tüm bilgi sistemleri ve yüklenicilerin CO’yu bilgilendirmesi gerekecek olan tüm bilgi sistemleri için sözleşmenin tüm ömrü boyunca gerekli CMMC seviyesi korunmalıdır. 72 saat içinde Performans sırasında bir CMMC sertifikası/öz değerlendirme düzeyinde bir geçer veya değişiklik varsa. Buna ek olarak, yüklenicilerin ve taşeronların, CMMC seviyesine bağlı olarak ilgili güvenlik gereksinimleri için Tedarikçi Performans Risk Sisteminde (SPR) sürekli uyumluluğun onaylanması ve sürdürülmesi (veya CMMC uyumluluk durumunda bir değişiklik gerçekleştiğinde).
İkincisi, DFARS 252.204-7YYY-Siber Güvenlik Vadesi Modeli Sertifikasyon Seviyesi Bildirimi Yukarıdaki gibi, yüklenicilere geçerli CMMC sertifikası veya öz değerlendirme düzeyine bildirilecektir. Görünüşe göre başarılı teklifçilerin, sözleşme ödülü için uygun olmalarını açıkça öngörüyorlarsa akım CMMC sertifikaları/öz değerlendirmeleri için sonuçlar, taleplerin gerektirdiği minimum düzeyde SPR’ye yüklendi. Akım araç:
- CMMC seviye 1 öz değerlendirmeleri için, değerlendirme tarihinden bu yana CMMC uyumluluğunda hiçbir değişiklik olmadan 1 yıldan daha eski değildir;
- CMMC seviye 2 için, değerlendirme tarihinden bu yana CMMC uyumluluğunda hiçbir değişiklik olmadan 3 yıldan daha eski değildir;
- CMMC seviye 3 için, değerlendirme tarihinden bu yana CMMC uyumluluğunda değişiklik yapılmayan Seviye 3 sertifikaları için 3 yıldan daha eski değildir; Ve
- 32 CFR Bölüm 170’e sürekli uyumun onaylanması için, onay tarihinden bu yana CMMC uyumluluğunda herhangi bir değişiklik olmadan 1 yıldan daha eski değil.
Kilit çıkarımlar
- Sözleşmelere başvuru. Sunumun 1. Aşaması, CMMC’yi DFARS’a uygulayan nihai kuralın yürürlüğe girmesine kadar başlamaz. Tabii ki, çünkü takdirMaddeyi, uygun değerlendirme ile, maddenin yürürlüğe girme tarihinden önce yürürlükte olan sözleşmelere iki taraflı olarak dahil etmek.
- SPR’lerde mevcut sertifikalar/öz değerlendirmeler. Sertifikaların/öz değerlendirmelerin ne zaman süresinin dolduğunu anlamak, sözleşme ödüllerini kazanmak için çok önemli olacaktır. Sözleşme ödülünden bir gün önce bile bir sertifikasyon veya öz-değerlendirme süresinin dolması, yüklenicilere büyük sözleşme fırsatlarına mal olacaktır.
- Taşeronlara akışlar. Müteahhitler CMMC’nin gereksinimlerini geçerli taşeronlara aktarmalıdır. Alt yüklenicilerin değerlendirmelerinin sonuçlarını ana yüklenicileriyle elektronik olarak paylaşmalarına izin verecek hiçbir araç bulunmamakla birlikte, ana yüklenicinin, taşeronlar için geçerli olan diğer herhangi bir madde gereksinimi altında olduğu gibi doğrular yürütmeleri için tedarikçileriyle birlikte çalışması beklenmektedir.
- Ortak Girişim Uyumluluğu. CMMC 1.0 için geçerli olan önceki ara kuralda, birçok yorumcu ortak girişimler için CMMC sertifikalarının ve CMMC öz değerlendirmelerinin nasıl ele alınacağını sordu. DoD, CMMC için bir gereksinimi olan her bir ventörün, sözleşme performansı sırasında FCI veya CUI’yi işleyen, depolayan veya ileten bireysel kuruluşun bilgi sistemleriyle ilgili gereksinimlere uyması gerektiğini açıkladı.
- CMMC ile ilgili sorunları protesto etmek. CMMC gereksinimleri için potansiyel protesto gerekçeleri çoktur. Örneğin, ödül sonrası bağlamda, eğer bir ajans bir teklif sahibini, ödül verildiği sırada teklif verildiği sırada gerekli CMMC seviyesine sahip olamayacağı için ödül göz önünde bulundurursa, ajansın bu konudaki davranışları teklifçinin seçtiği protesto forumuna bağlı olarak “mantıksız” ve/veya “keyfi ve kaprisli” olarak kabul edilebilir.
Önerilen kural hakkındaki yorumlar 15 Ekim 2024’e kadar verilmektedir ve buraya gönderilebilir. Pilieromazza’nın avukatları önerilen kuralla ilgili yeni gelişmeleri izliyor ve kural kesinleştiğinde bir güncelleme sağlayacak.
[1] C3PAO, CMMC akreditasyon kuruluşunun (CMMC-AB) CMMC değerlendirmeleri yürütme ve bulgular sunma ve sertifikasyon arayan kuruluşların (OSCS) ilgili CMMC 2.0 vade seviyesine uyduğunu onaylamaya yetkili olduğu bir servis sağlayıcı kuruluşudur.
Yazar hakkında
Isaias “Cy” Alba, IV, ortak. PILIEROMZZA PLLC. Cy Alba, Pilieromazza’nın ortağıdır. Müşterileri, FAR ve DFARS gereksinimlerine genel olarak düzenleyici uyumun yanı sıra diğer tedarik yasaları ve düzenlemelerine dahil olmak üzere devlet kurumları ve federal mahkemelerden önce çok çeşitli devlet sözleşmesi konularında danışmanlık yapmaktadır. CY ayrıca uyumlu kurumsal yapılandırma, birleşme ve devralmalar ve küçük işletme kuralları ve düzenlemeleri ile her büyüklükteki şirketi temsil eder. Küçük işletme büyüklüğü ve statü protestolarının ve temyizlerinin kovuşturulmasını ve savunulmasını, idari kurumlar ve federal mahkemelerden önce protesto ve talepleri teklif eder.
CY’ye ulaşılabilir [email protected] ve https://www.pilieromazza.com/people/isaias-alba-iv/ adresindeki web sitemizde.
Daniel Figuenick, III, Associate. PILIEROMZZA PLLC. Pilieromazza’nın Hükümet Sözleşmeleri Grubu’nda bir ortak olarak, Daniel’in uygulaması federal tedarik alanında faaliyet gösteren işletmelere yasal destek sağlamaya odaklanmaktadır. Teklif protesto sürecini ele almak, Küçük İşletme İdaresi’nin küçük işletme programlarında gezinmek ve adil ayarlama (REC), talepler ve itiraz taleplerine yardımcı olmak da dahil olmak üzere, devlet sözleşmeleri yasasıyla ilgili tüm konularda müşterilerle birlikte çalışmaktadır.
Daniel’e ulaşılabilir [email protected] ve https://www.pilieromazza.com/people/daniel-figuenick-iii/ adresindeki web sitemizde.