Hükümet, sektöre özgü
Savunma Bakanlığı Siber Güvenlik Vade Modeli Sertifikasyon Kuralı
Chris Riotta (@Chrisriotta) •
10 Eylül 2025
ABD askeri müteahhitleri, önümüzdeki üç yıl boyunca zorunlu olacak bir Controls çerçevesinin resmi yayınlanmasının ardından yeni siber güvenlik gereksinimlerinin kesinliği ile karşı karşıya.
Ayrıca bakınız: Görev Teslimi, Vatandaş Hizmetleri ve Eğitimde Veri Yardımcı Programını Maksimuma Edin
Savunma Bakanlığı ilk olarak 2019’da birleşik bir siber güvenlik standardı, birçok yüklenicisinin – 300.000’den fazla sayı olarak tahmin edildiği – duyarlılıkta sınıflandırmanın altına düşen kayıtları korumadığı, ancak yine de ordunun kamuya açıklanmasını istemediği bilgileri içermediği endişesini öne sürdü. Başkan Donald Trump bu ayın başlarında DoD’nin “Savaş Bakanlığı” nı “ikincil” bir atama olarak kullanmasına izin veren bir yürütme emri imzaladı.
Çarşamba günü son siber güvenlik olgunluk modeli sertifikasyon kuralının yayınlanması, yıllar süren vokal endüstrisi eleştirisinden sonra, program çerçevenin karmaşıklığı nedeniyle küçük ve orta boy işletmeleri kilitleyecektir.
Nihai kural, 10 Kasım’dan itibaren programın üç yıllık aşamalı bir şekilde piyasaya sürülmesini özetlemektedir. Çerçeve, “Federal Sözleşme Bilgileri” ile ilgilenen satıcılar CMMC uyumluluğunu kendi kendine eklemeye izin veren üç artan güvenlik seviyesinden oluşur. Daha hassas “kontrollü sınıflandırılmamış bilgileri” ele alan satıcıların, kontrolleri doğrulamak veya en hassas ancak yine de sınıflandırılmamış bilgileri ele almak için Savunma Sanayi Üssü Siber Güvenlik Değerlendirme Merkezi’nden sertifika alması için dışarıdan sertifikalı bir üçüncü taraf değerlendirici kuruluşu getirmeleri gerekir.
Programın ilk yılı boyunca, Savunma tüm sözleşme ödüllerinin bir zorunluluğu olarak ve muhtemelen uygulama sözleşmesi seçenekleri olduğunda kendi kendini onaylamaya ihtiyaç duymayı planlamaktadır. İkinci yılında, ilgili yüklenicilerin sertifikalı bir üçüncü taraf değerlendirici kuruluşundan sertifika almaları için gereksinimler sunacaktır. Talepler, üçüncü yıl boyunca Savunma Sanayi Üssü Siber Güvenlik Değerlendirme Merkezi sertifikası gerektirmeye başlayabilir.
Aşamalı sunum ve CMMC seviyelerinin sayısında beşten son üçe düşüş, eleştiriyi değerlendirmek içindir. Pentagon CIO’nun görevlerini yerine getiren Katie Arrington, “Satıcılarımızın bize ulusal güvenliği öncekine koymasını bekliyoruz.” Dedi.
Stacy Bostjanick, CIO Vekili ve Savunma Şefi Sanayi Üssü Siber Güvenliği Mayıs ayında Bilgi Güvenliği Medya Grubuna, savunma müteahhitlerinin kötü amaçlı yazılım, fidye yazılımı ve siber boyama dahil siber suçlardan sürekli tehditlerle karşılaştığını söyledi.
Bostjanick, RSAC Konferansı 2025’teki bir röportaj sırasında “Savunma sanayi üssü departmanın yumuşak göbeği haline geldi.” Dedi. Savunma Sanayi Üssü CMMC ile Siber Güvenliği Güçlendiriyor).
Nihai kural “savunma yüklenicilerinin yönetişim yapılarını resmileştirmeleri için derhal bir zorunluluk yaratıyor” dedi. Yazılım güvenlik şirketi, 400’den fazla kuruluşu araştırdı, askeri yüklenicilerin çoğunluğunun resmi yönetişim kontrollerinden yoksun olduğunu, tedarikçi güvenlik gereksinimlerini uygulayamadığını ve CMMC uyumluluğu için kritik olan şifreleme kriterlerinin yetersiz kalmasına düştüğünü tespit etti.
Yetkili, “CMMC hareketli kuruluşların sadece% 38’i kapsamlı yönetişim kontrol ve izleme sistemleri başlattı ve bu boşluğun gerçek sonuçları var.” Dedi.
Analistlere göre, kademeli yaklaşım, müteahhitlere gereksinimleri anlama ve uygulama ve finansal ve operasyonel yükü sınırlama zamanını sağlayacak şekilde eğitim değerlendiricileri için zaman tanıyacak şekilde tasarlanmıştır.
Yüklenicilere savunma uyum konusunda tavsiyelerde bulunan bir avukat Amy Fuentes, “Aşağıdaki uygulama kullanarak küçük işletmelere ve savunma sanayi tabanına uygunluk yükünü en aza indirme çabalarına rağmen, kural sonunda 300.000’den fazla kuruluşu etkileyecek.” Dedi.
Bu işletmelerin birçoğunun “iş uygulamalarını sertifikalandırılacak şekilde ayarlaması” gerekecek.