Compliance bestaat voor elke branche. De gezondheidszorg heeft HIPAA. Retail hanteert de Payment Card Industry Data Security Standard. Het is nu een industriële defensiebasis (DIB).
Met de lancering van de Cybersecurity Maturity Model Certification (CMMC) zorgt het Department of War (DOW) – en de steun van Katie Arrington via haar vorige rol als Chief Information Officer van DOW – voor een generatiewisseling in de manier waarop de toeleveringsketen van defensie gevoelige gegevens beschermt.
CMMC is niet alleen een gids. Dit is een contractlimiet die niet stopt bij grote defensieaannemers. CMMC omvat kleine en middelgrote bedrijven in de VS die de economie van het land draaiende houden en de veiligheid ervan intact houden. Dit zal de manier veranderen waarop aannemers opereren, hoe deals tot stand komen en wie er in de defensietoeleveringsketen blijft.
De schaal is moeilijk te negeren. Tienduizenden bedrijven staan al aan de verkeerde kant. Voor de industriële defensiebasis is dit geen beleidswijziging. Dit is een seismische en dure verandering. En voor bedrijfsleiders in de hele toeleveringsketen wordt CMMC snel een modewoord dat ze niet kunnen vermijden.
CMMC-DEFINITIE
CMMC zet een nieuwe standaard van vertrouwen tussen DOW en de bedrijven die het ondersteunen.
In september publiceerde de DOW zijn langverwachte definitieve regel ter implementatie van CMMC. Er staat dat federale contractanten nu hun vermogen moeten evalueren om gecontroleerde niet-geclassificeerde informatie, een brede categorie van gevoelige gegevens, te beschermen.
Gebaseerd op deze laatste regel, die van kracht zijn op 10 november worden de CMMC-vereisten nu voorwaarden voor het in aanmerking komen van contracten voor defensiewerk. Deze regel zal in fasen over een periode van drie jaar worden geïmplementeerd, beginnend bij zelfbeoordeling tot verificatie door derden.
DE LAST VAN BEREIDING ZAL ONEVENREDIG WORDEN VERDEELD
Dat industriële defensiebasis omvat 220.000 bedrijven. Ongeveer 76.000 – incl 57.000 kleine bedrijven – zullen binnen de komende zeven jaar minimaal CMMC Level 2-certificering nodig hebben. Duizenden mensen zullen er niet klaar voor zijn.
En het zijn geen marginale spelers. Het zijn leveranciers, onderaannemers, softwareontwikkelaars, technologiepartners en systeemintegrators. Voor velen zal dit hun eerste serieuze cybersecurity-audit zijn.
Niveau 2 legt de lat hoog. De contractant moet alle 110 beveiligingscontroles uitvoeren die zijn gespecificeerd in NIST SP 800-171. Dat betekent toegangscontrole. Incidentresponsplan. Systeemintegriteit. Beheer van kwetsbaarheden. En certificering vereist een audit door een derde partij, compleet met bewijsmateriaal, een audittrail en een herstelplan.
Dan zijn er nog de kosten die daarmee gemoeid zijn, die waarschijnlijk de grootste impact zullen hebben op de kleinere DIB-leden. Industrie schatting stelt CMMC-compliance boven alles $63 miljard in de komende twee decennia. Voor kleine en middelgrote bedrijven zullen de nieuwe accountantskosten rechtstreeks concurreren met onderzoek en ontwikkeling. diensten levering. Terwijl de grootste aannemers al tientallen jaren aan de CMMC-vereisten voldoen, kunnen kleinere bedrijven die met exorbitante nalevingskosten worden geconfronteerd, besluiten dat defensiewerk niet langer de moeite waard is.
De resultaten zullen de industriële defensiebasis hervormen. Verwacht consolidatie, spin-offs en overnames. De CMMC-status verschijnt in het persistentiedek. En cyberrisico’s zullen naast omzet en groei in ogenschouw worden genomen.
COMPLIANCE ZAL DE MISSIE VORMEN
CMMC signaleert ook een bredere verschuiving waarbij compliance niet langer een proces is dat onafhankelijk moet worden uitgevoerd. Workflows moeten controles insluiten. Bij gegevensbescherming moet rekening worden gehouden met locatie, apparaat, gebruikersidentiteit en context. Beveiliging moet bij de data horen. Dit omvat ook wanneer contractanten persoonlijke apparaten gebruiken, toegang krijgen tot cloudapplicaties of missies ondersteunen vanaf externe locaties.
Met andere woorden: de CMMC-dekking zal van invloed zijn op de manier waarop het dagelijkse werk wordt gedaan, en zal van invloed zijn op vrijwel elk aspect van onze economie. CMMC zal softwareleveranciers, logistieke dienstverleners, opleidingsbedrijven, professionele dienstverlenende bedrijven en zelfs bedrijven die in aangrenzende silo’s opereren, vormen.
Het is nu tijd om de defensie-industrie voor te bereiden op het verdedigen van haar bedrijven, het beveiligen van onze natie en het ondersteunen van onze militaire missies.
Steve Tchejeyan is president van het eiland.
