Standartlar, Düzenlemeler ve Uyumluluk
Pentagon, Satıcılar için Uzun Süredir Beklenen Siber Güvenlik Gereksinimlerini Resmi Olarak Açıkladı
Chris Riotta (@chrisriotta) •
10 Kasım 2025
Savunma yüklenicileri ve alt yüklenicileri için yeni siber güvenlik sertifikasyon standartları, uyumluluk maliyetleri, denetim gözetimi ve tedarik zinciri sorumluluğu konusunda sektörde yıllarca süren tartışmaların ardından Pazartesi günü yürürlüğe girdi.
Ayrıca bakınız: Yapay Zeka Güvenlik Duvarları Yeni Gelişen API Saldırılarıyla Gerçek Zamanlı Mücadele Ediyor
Federal savunma satın alma düzenlemelerini tüm yeni sözleşmeler, opsiyon yılları ve uzatmalarda CMMC gerekliliklerini içerecek şekilde değiştiren yeni Siber Güvenlik Olgunluk Modeli Sertifikasyon kuralı, aynı zamanda ana yüklenicilere alt yüklenicilerinin uygun sertifika seviyesini karşılamasını sağlama görevini de veriyor. Aşamalı dağıtım, Seviye 1’in uygulanmasıyla başlayacak ve 2028’e kadar genişleyecek ve program ofislerinin garanti edildiğinde daha yüksek seviyeleri daha erken dahil etmesine olanak tanıyacak.
Uzmanlar, Bilgi Güvenliği Medya Grubu’na, kuralın endüstri için uzun zamandır beklenen yükümlülükleri resmileştirdiğini ve uygulamanın mevcut sözleşmeleri ve yenilemeleri nasıl kapsayacağı hakkındaki soruları açıklığa kavuşturduğunu söyledi. CMMC programı için Savunma Bakanlığı akreditasyon organı olarak görev yapan Cyber AB C3PAO Akreditasyon Komitesi başkanı Thomas Graham, yeni kuralın programın başındaki en büyük belirsizliklerden birini çözdüğünü söyledi.
“En büyük boşluklardan biri -eğer buna öyle diyorsanız- daha önce belirsizdi [the rule] Aynı zamanda Redspin’de CISO olan Graham, “nihai olmak, mevcut sözleşmelerdeki opsiyon yılları ve performans süresi uzatmaları için geçerli olacaktır” dedi. Uyumluluk için hazırlanan yüklenicilerin, Tedarikçi Performans Riski Sistemi puanlarını güncelleyerek ve gelecek sözleşmelerinin hangi CMMC seviyesini ne zaman gerektireceğini belirlemek için sözleşme görevlilerine danışarak başlaması gerektiğini ekledi.
Graham, “Güven sonuçta CMMC’nin temelidir” dedi. “Program, Savunma Bakanlığı’nın yüklenicilerine olan güvenini güçlendirirken, aynı zamanda ülkenin siber savunmasını güçlendirmeye yönelik kolektif bir taahhüdü de işaret ediyor.”
Programın ilk yılından itibaren Savunma Bakanlığı, yüklenicilerin tüm yeni sözleşmeler ve uygulanan belirli seçenekler için bir koşul olarak öz değerlendirmeleri tamamlamalarını zorunlu kılacak. Daha hassas verileri işleyen şirketlerin, ikinci yıldan itibaren akredite bir üçüncü taraf değerlendirme kuruluşundan sertifika alması gerekecek; üçüncü yılda ise savunma sanayi üssü siber güvenlik değerlendirme merkezinden doğrulama talep etmeye başladıkça gereksinimler daha da genişleyecek.
Pentagon, yüz binlerce yüklenicinin verileri eşit olmayan bir şekilde koruduğuna dair endişelerin ortasında, sınıflandırma eşiğinin altına düşen bilgiler için birleşik bir siber güvenlik standardı için 2019’da planlar başlattı. Girişim, savunma tedarikçilerinin 300.000’den fazla tedarikçiyi kapsayan bir tedarik zincirinde siber riski nasıl yönettikleri konusunda uzun süredir devam eden boşlukları kapatmayı amaçlıyor (bkz: Pentagon Uzun zamandır Beklenen Yüklenici Siber Güvenlik Kuralını Açıkladı).
Nihai kural, modeli tek kapsamlı bir gereksinimden Ulusal Standartlar ve Teknoloji Enstitüsü’nün rehberliğiyle uyumlu kademeli bir çerçeveye kaydırarak yıllar süren revizyonlara dayanıyor. Güncellenen yapı, bir yüklenicinin ele aldığı bilgilerin hassasiyetine bağlı olarak, temel siber hijyenden gelişmiş, sürekli izlenen korumalara kadar değişen düzeylerde titizlik sağlar.