CMMC
Was ist CMMC?
CMMCZertifizierungsprogramm des US-Verteidigungsministeriums, das nachweist, dass Auftragnehmer der Defense Industrial Base über angemessene Cybersicherheitskontrollen verfügen.
Die Cybersecurity Maturity Model Certification (CMMC) ist ein DoD-Programm, das Auftragnehmer der Defense Industrial Base (DIB) verpflichtet, vor Auftragsvergabe Konformität mit definierten Cybersicherheitsanforderungen nachzuweisen, sofern sie Federal Contract Information (FCI) oder Controlled Unclassified Information (CUI) verarbeiten. CMMC 2.0 umfasst drei Stufen: Level 1 (Foundational, 17 FAR-basierte Praktiken, jährliche Selbstbewertung), Level 2 (Advanced, 110 NIST-SP-800-171-Praktiken, Drittprüfung durch eine C3PAO für die meisten CUI-Verträge) und Level 3 (Expert, ergänzt um NIST-SP-800-172-Kontrollen, geprüft durch die DIBCAC). Die Umsetzung erfolgt über die DFARS-Klausel 252.204-7021 mit gestaffelter Einführung in DoD-Verträgen.
● Beispiele
- 01
Ein Verteidigungs-Subunternehmer durchläuft vor Angebot für einen CUI-Vertrag eine C3PAO-Bewertung, um Level 2 zu erreichen.
- 02
Ein kleiner Komponentenlieferant absolviert die Level-1-Selbstbewertung für einen reinen FCI-Vertrag.
● Häufige Fragen
Was ist CMMC?
Zertifizierungsprogramm des US-Verteidigungsministeriums, das nachweist, dass Auftragnehmer der Defense Industrial Base über angemessene Cybersicherheitskontrollen verfügen. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet CMMC?
Zertifizierungsprogramm des US-Verteidigungsministeriums, das nachweist, dass Auftragnehmer der Defense Industrial Base über angemessene Cybersicherheitskontrollen verfügen.
Wie schützt man sich gegen CMMC?
Schutzmaßnahmen gegen CMMC kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für CMMC?
Übliche alternative Bezeichnungen: Cybersecurity Maturity Model Certification.