เพนตากอนกำลังแก้ไขโปรแกรม Cybersecurity Maturity Model Certification โดยลดปริมาณบริษัทที่ต้องใช้การประเมินจากบุคคลที่สามลงอย่างมาก และจัดเตรียมกระบวนการสละสิทธิ์ใหม่สำหรับข้อกำหนดที่เลือกกระทรวงกลาโหมยังระงับนักบิน CMMC สำหรับสัญญาที่เลือกจนกว่าจะออกกฎที่แก้ไขDoD ประกาศ “ทิศทางเชิงกลยุทธ์” ใหม่ของ CMMC ในวันนี้หลังจากการทบทวนเป็นเวลานานหลายเดือน ซึ่งทำให้การดำเนินการตามแผนล่าช้าในปีนี้ และทำให้เกิดคำถามเกี่ยวกับอนาคตของโปรแกรม การวิพากษ์วิจารณ์บ่อยครั้งคือศักยภาพของต้นทุนของโครงการที่จะบีบ
ให้ธุรกิจขนาดเล็กออกจากฐานอุตสาหกรรมการป้องกันประเทศ
DoD กำลังเรียกโปรแกรมที่ปรับปรุงใหม่ว่า “CMMC 2.0” การแก้ไขมีจุดมุ่งหมายเพื่อสานต่อความตั้งใจดั้งเดิมของโปรแกรมเพื่อให้แน่ใจว่าผู้รับเหมาปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดในการปกป้องข้อมูลที่ละเอียดอ่อนบนเครือข่ายของพวกเขา ในขณะเดียวกันก็ช่วยให้ธุรกิจขนาดเล็กปฏิบัติตามคำสั่งได้ง่ายขึ้น
ข้อมูลเชิงลึกโดย MFGS, Inc.: ค้นหาว่าเหตุใดการจัดการสายธารคุณค่าจึงได้รับความนิยมในฐานะกรอบงานสำหรับการวัดมูลค่าในสภาพแวดล้อม DevSecOps
“CMMC 2.0 จะเพิ่มความปลอดภัยทางไซเบอร์ของฐานอุตสาหกรรมกลาโหมอย่างมาก” Jesse Salazar รองผู้ช่วยรัฐมนตรีกระทรวงกลาโหมด้านนโยบายอุตสาหกรรม กล่าวในแถลงการณ์ของกระทรวงกลาโหม “ด้วยการสร้างความสัมพันธ์ที่ร่วมมือกันมากขึ้นกับภาคอุตสาหกรรม การอัปเดตเหล่านี้จะสนับสนุนธุรกิจในการนำแนวปฏิบัติที่จำเป็นมาใช้เพื่อป้องกันภัยคุกคามทางไซเบอร์ ในขณะที่ลดอุปสรรคในการปฏิบัติตามข้อกำหนดของ DoD”
จนกว่าการเปลี่ยนแปลง CMMC 2.0 จะถูกประมวลเป็นกฎของรัฐบาลกลาง
“แผนกจะระงับความพยายามในการนำร่องของ CMMC และจะไม่อนุมัติการรวมข้อกำหนดของ CMMC ในการร้องขอของ DoD” ตามประกาศของ Federal Register ที่เผยแพร่เมื่อเช้านี้และจากนั้นอย่างกะทันหัน ถอนตัวก่อนแถลงการณ์อย่างเป็นทางการของกระทรวงกลาโหม
ก่อนหน้านี้ DoD ได้วางแผนที่จะเริ่มสัญญานำร่อง CMMC 15 ฉบับในปีนี้เพื่อเริ่มทดสอบกลไกการตรวจสอบก่อนที่จะเพิ่มเป็นสัญญา DoD ทั้งหมดอย่างต่อเนื่องภายในสิ้นปีงบประมาณ 2568
การแก้ไข CMMC 2.0 รวมถึงการรวมระดับภายใต้โปรแกรมจากห้าระดับให้เหลือเพียงสาม: ระดับพื้นฐาน ขั้นสูง และระดับผู้เชี่ยวชาญ ตามเว็บไซต์ใหม่ของ DoD สำหรับโปรแกรม
ผู้รับจ้างที่จัดการเฉพาะ “ข้อมูลสัญญาของรัฐบาลกลาง” และไม่จัดการ “ข้อมูลที่ไม่เป็นความลับที่มีการควบคุม” ซึ่งละเอียดอ่อนกว่า — ธุรกิจทั้งหมดภายใต้ข้อกำหนด “พื้นฐาน” ระดับหนึ่ง เช่นเดียวกับ “ส่วนย่อย” ของระดับสอง – จะต้องดำเนินการประจำปีเท่านั้น การประเมินตนเองตามเว็บไซต์
ก่อนหน้านี้ เพนตากอนประเมินว่าผู้รับเหมาส่วนใหญ่จำนวน 300,000 รายในฐานอุตสาหกรรมกลาโหมจะต้องได้รับการรับรองความปลอดภัยทางไซเบอร์ขั้นพื้นฐานเท่านั้น ซึ่งหมายความว่าการเปลี่ยนแปลง CMMC 2.0 ทำให้ไม่จำเป็นต้องมีการประเมินโดยบุคคลที่สามเป็นส่วนใหญ่
Bob Metzger ซึ่งเป็นหัวหน้าสำนักงานของ Rogers, Joseph และ O’Donnell ในวอชิงตันกล่าวว่าการแก้ไขดูเหมือนจะตอบสนองต่อข้อกังวลที่ว่าข้อกำหนดและค่าใช้จ่ายของโปรแกรมดั้งเดิมจะสร้างภาระให้กับธุรกิจขนาดเล็กและขนาดกลางมากเกินไป ซึ่งอาจบังคับให้บางธุรกิจต้องรับภาระ ออกจากตลาดกลาโหม
“ถ้าคุณลองคิดดู และทรัพยากรก็หายาก และเราจำเป็นต้องเคารพวิธีการของบริษัทที่ถูกประเมิน บางทีอาจเป็นการตัดสินใจที่ชาญฉลาดกว่าที่จะเลือกเส้นทางที่แตกต่างสำหรับบริษัทหลายแสนแห่งที่มี เฉพาะข้อมูลสัญญาของรัฐบาลกลางเท่านั้น แต่ไม่ใช่ CUI” Metzger กล่าว
