Kiberbiztonsági szintek, szigorú ellenőrzések
A CMMC három szintet határoz meg. Az alap (1. szint) éves önértékelést és nyilatkozatot ír elő, a második szint legtöbbször külsős auditot kíván, a harmadik szint esetén pedig már kormányzati vizsgálat szükséges. Kötelező lesz a hozzáférések szigorítása, a felhasználók azonosítása, fizikai biztonsági szabályok bevezetése, rendszeres szoftverfrissítés, valamint minden incidens azonnali jelentése.
A szabályozás értelmében a DoD-hoz szerződni kívánóknak egyértelműen be kell mutatniuk, hogy megfelelnek az előírásoknak. A CMMC csak a szerződésekhez köthető, minősítetlen, de szabályozott információkra vonatkozik; a titkosított adatokra és rendszerekre továbbra is más, szigorúbb előírások érvényesek.
Kihívások és ellenállás
A CMMC nem aratott osztatlan sikert a beszállítók körében, sokan tiltakoztak a többletterhek miatt. Ennek hatására egy átdolgozott, egyszerűsített változat készült el, amely mostantól hivatalos. Az új szabály nemcsak a cégekre ró megfelelési kötelezettséget, hanem a DoD beszerzési felelőseit is kötelezi arra, hogy már az ajánlatkérésekben világosan megjelöljék, milyen szintet követelnek meg – és szerződést csak az kaphat, aki ezt igazolni tudja.
Átneveznék a Védelmi Minisztériumot? Magánakció a múltban
Donald Trump elnök egy végrehajtási rendelettel próbálta visszavezetni a Hadügyminisztérium (Department of War) elnevezést, amelyet 1947 óta nem használnak. Jogilag azonban csak a Kongresszus nevezheti át a minisztériumot, így az elnöki próbálkozás inkább a kommunikációs hadviselés részének tekinthető, különösen, hogy még a hivatalos oldalak címét sem módosították.
Nem lehet kibújni a védelem alól
Az amerikai nemzetbiztonság mostantól minden vállalat figyelmét és energiáját megköveteli. A megfelelés nem puszta formalitás, hanem az új Pentagon-üzlet belépője – a következő időszak a kevésbé felkészült cégek számára igencsak kellemetlennek ígérkezik.
