Cybersecurity Maturity Model Certification (CMMC)

CMMC 2.0 ist die nächste Version des CMMC-Cybersicherheitsmodells des Verteidigungsministeriums. Es rationalisiert die Anforderungen auf drei Ebenen der Cybersicherheit – Foundational, Advanced und Expert – und stimmt die Anforderungen auf jeder Ebene mit bekannten und weithin akzeptierten NIST-Cybersicherheitsstandards ab.

Am 3. Dezember 2021 veröffentlichte das Verteidigungsministerium die Übersicht über das Modell CMMC 2.0. Dieses Modell umfasst die grundlegenden Schutzanforderungen für Federal Contract Information (FCI) gemäß der Federal Acquisition Regulation (FAR) 52.204-21 und die Sicherheitsanforderungen für Controlled Unclassified Information (CUI) in NIST SP 800-171r2 gemäß DFARS-Klausel (Defense Federal Acquisition Regulation Supplement) 252.204-7012.

• CMMC Level 1 (Foundational) für Unternehmen mit ausschließlich FCI; Informationen müssen geschützt werden, sind aber nicht kritisch für die nationale Sicherheit; erfordert 17 grundlegende Schutzmaßnahmen; CMMC Level 1 Scoping Guidance.
• CMMC Level 2 (Advanced) für Unternehmen mit CUI; erfordert die 110 Praktiken aus NIST SP 800-171r2; kann je nach Art der Informationen Dritt- oder Selbstbewertungen erfordern; CMMC Level 2 Scoping Guidance.
• CMMC Level 3 (Expert) für Programme höchster Priorität mit CUI; nutzt eine Teilmenge aus NIST SP 800-172; wird von Regierungsbeamten bewertet.

Die Cybersicherheit hat für das Verteidigungsministerium höchste Priorität.

Die Verteidigungsindustrie ist immer häufiger Ziel zunehmend komplexer Cyberangriffe. Um den amerikanischen Einfallsreichtum und die nationalen Sicherheitsinformationen zu schützen, hat das DoD CMMC 2.0 entwickelt, um die DIB-Cybersicherheit dynamisch zu verbessern, um sich entwickelnden Bedrohungen zu begegnen und Informationen zu schützen.

Sobald CMMC vollständig umgesetzt ist, müssen bestimmte Auftragnehmer des Verteidigungsministeriums, die sensible, nicht klassifizierte Informationen des Verteidigungsministeriums verarbeiten, als Bedingung für die Auftragsvergabe ein bestimmtes CMMC-Level erreichen.

Das Verteidigungsministerium hat zum Ausdruck gebracht, dass es nicht beabsichtigt, vor Verabschiedung der Regeln für CMMC 2.0 die Aufnahme einer CMMC-Bestimmung in Verträge zu genehmigen.  Die Schätzung des DoD für den Abschluss dieses Prozesses beträgt 9 bis 24 Monate ab November 2021.

Sobald CMMC 2.0 umgesetzt ist, wird das Verteidigungsministerium das erforderliche CMMC-Level in Ausschreibungen und Informationsanfragen angeben, falls diese verwendet werden.

Ein breites Spektrum von Unternehmen, Programmen und Auftragnehmern in der gesamten Lieferkette des Verteidigungsministeriums nutzt AWS, um die eigenen Geschäfte und Abläufe grundlegend umzugestalten. Sie setzen AWS ein, um sichere Cloud-Umgebungen für die Verarbeitung, Pflege und Speicherung von Daten der US- Bundesregierung gemäß Defense Federal Acquisition Regulation Supplement (DFARS), dem DoD Cloud Computing Security Requirements Guide (SRG), dem Federal Risk and Authorization Management Program (FedRAMP) und anderen Bundesprogrammen zur Einhaltung von Vorschriften zu schaffen.

In Fallstudien erfahren Sie, wie AWS das Verteidigungsministerium unterstützt, darunter die Defense Logistics Agency, die Air Force, die Navy und der Special Operations Command der USA, sowie Auftragnehmer des Verteidigungsministeriums wie Lockheed Martin, Raytheon und GDIT. Weitere Informationen darüber, wie AWS die hohen Sicherheitsanforderungen des Verteidigungsministeriums erfüllt, finden Sie auf der Webseite Cloud Computing für die Verteidigung.

Die vorläufige DFARS-Regelung sieht eine fünfjährige Einführungsphase vor, in der die CMMC-Konformität nur bei ausgewählten Pilotverträgen erforderlich ist, die vom Office of the Under Secretary of Defense for Acquisition and Sustainment (OUSD(A&S)) genehmigt werden. Das DoD hat zum Ausdruck gebracht, dass es nicht beabsichtigt, die Aufnahme einer CMMC-Anforderung in einen Vertrag vor Abschluss des CMMC-2.0-Regelungsprozesses zu genehmigen.

Sobald CMMC 2.0 durch entsprechende Regeln kodifiziert ist, verlangt das Verteidigungsministerium von den Unternehmen, sich an den überarbeiteten Rahmen von CMMC 2.0 zu halten.

Nein. CMMC misst die Cybersicherheitskapazitäten und -prozesse eines DIB-Auftragnehmers im Vergleich zu den Anforderungen für eine bestimmte CMMC-Stufe.

Als Cloud-Serviceanbieter (CSP) ist AWS vom FedRAMP gemäß FedRAMP High und von der Defense Information Systems Agency (DISA) gemäß den SRG Impact Levels 2, 4 und 5 autorisiert.

Nein. Das DoD hat noch nicht definiert, wie andere Compliance-Programme wie FedRAMP oder ISO 27001 Information Security Management den CMMC-2.0-Stufen zugeordnet werden.

Das CMMC-Kundenpaket von AWS bietet eine Aufschlüsselung der Sicherheitskontrollen von CMMC Level 2/NIST SP 800-171, die Kunden über den AWS Landing Zone Accelerator in der Region AWS GovCloud (USA) von AWS übernehmen können.

Das CMMC-Kundenpaket von AWS steht den Kunden in den AWS-Standardregionen und in der Region AWS GovCloud (USA) in AWS Artifact zum Download zur Verfügung.

Ja. Die Berater von AWS Professional Services sind mit dem AWS Landing Zone Accelerator in der Region AWS GovCloud (USA) vertraut und können Kundenimplementierungen unterstützen, die die Herausforderungen im Zusammenhang mit der CMMC-Compliance bewältigen.

AWS möchte den Kunden die Flexibilität bieten, CMMC-2.0-Lösungen von AWS in Standardregionen und eingeschränkten Regionen (USA Ost/West, AWS GovCloud (USA) usw.) entsprechend den Anforderungen der Programme und Verträge ihres Unternehmens und des Verteidigungsministeriums bereitzustellen und zu zertifizieren.