Compliance komt voor alle sectoren. De gezondheidszorg heeft HIPAA. De detailhandelaar beschikte over de gegevensbeveiligingsstandaard van de betaalkaartindustrie. Nu is het de Defensie Industriële Basis (DIB).
Met de uitrol van de Cybersecurity Maturity Model Certification (CMMC) forceert het Department of War (DOW) – en de belangenbehartiging van Katie Arrington via haar voormalige rol als DOW Chief Information Officer – een generatiewisseling in de manier waarop de toeleveringsketen van defensie gevoelige gegevens beschermt.
CMMC is niet alleen begeleiding. Het is een contractuele barrière die niet ophoudt bij megadefensie-aannemers. CMMC omvat de kleine en middelgrote bedrijven in de Verenigde Staten die de economie van het land draaiende houden en de veiligheid ervan intact houden. Het zal de manier veranderen waarop aannemers werken, hoe deals worden gesloten en wie zelfs in de defensietoeleveringsketen mag blijven.
De schaal is moeilijk te negeren. Tienduizenden bedrijven staan al aan de verkeerde kant. Voor de industriële defensiebasis is dit geen politieke aanpassing. Het is een seismische en dure verschuiving. En voor bedrijfsleiders in de hele toeleveringsketen wordt CMMC snel het vierletterwoord dat ze niet kunnen vermijden.
CMMC GEDEFINIEERD
CMMC zet een nieuwe standaard voor vertrouwen tussen DOW en de bedrijven die het ondersteunen.
In september vaardigde de DOW de langverwachte definitieve regel uit ter implementatie van de CMMC. Het zegt dat federale contractanten nu hun vermogen moeten evalueren om gecontroleerde, niet-geclassificeerde informatie, een brede categorie van gevoelige gegevens, te beschermen.
Volgens deze laatste regel, die in werking getreden op 10 november zullen de CMMC-vereisten nu een contractuele voorwaarde zijn om in aanmerking te komen voor defensiewerk. De regel zal in drie jaar tijd worden ingevoerd, van zelfbeoordeling tot verificatie door derden.
DE RAPPORTAGELAST ZAL ONEVENREDIG VERDEELD WORDEN
De industriële defensiebasis omvat 220.000 bedrijven. Ongeveer 76.000 — incl. BTW 57.000 kleine bedrijven – zullen binnen de komende zeven jaar minimaal CMMC-certificering niveau 2 nodig hebben. Duizenden zullen niet klaar zijn.
En het zijn geen marginale spelers. Het zijn leveranciers, onderaannemers, softwareontwikkelaars, technische partners en systeemintegratoren. Voor velen zal dit hun eerste serieuze cyberveiligheidsaudit zijn.
Niveau 2 legt de lat hoog. Aannemers moeten alle 110 beveiligingscontroles implementeren die zijn gedefinieerd in NIST SP 800-171. Het betekent toegangscontrole. Evenement plannen. Systeemintegriteit. Beheer van kwetsbaarheden. En certificering vereist een audit door een derde partij, compleet met bewijsmateriaal, audittrails en herstelplannen.
Dan zijn er nog de kosten, die waarschijnlijk de kleinere leden van de DIB het hardst zullen treffen. Industrie discretie zet CMMC-compliance op meer dan 63 miljard dollar in de komende twee decennia. Voor het MKB zullen nieuwe audituitgaven rechtstreeks concurreren met O&O, werkgelegenheiden levering. Terwijl de grootste aannemers al tientallen jaren aan de CMMC-eisen voldoen, kunnen kleine winkels die onevenredig hoge nalevingskosten moeten maken, besluiten dat het defensiewerk niet langer de moeite waard is.
De resultaten zullen de industriële defensiebasis hervormen. Verwacht consolidatie, spin-offs en overnames. De CMMC-status verschijnt in diligence-decks. En het cyberrisico zal naast de omzet en de groei worden afgewogen.
COMPLIANCE ZAL DE MISSIE HERVORMEN
CMMC signaleert ook een bredere verschuiving wanneer naleving niet langer een zelfgestuurde afvinkoefening is. Workflows moeten controles integreren. Bij gegevensbescherming moet rekening worden gehouden met locatie, apparaat, gebruikersidentiteit en context. Beveiliging moet met de gegevens meereizen. Dat geldt ook wanneer een aannemer een persoonlijk apparaat gebruikt, toegang heeft tot een cloudapplicatie of een missie ondersteunt vanaf een externe locatie.
Met andere woorden: de schaal van CMMC zal van invloed zijn op de manier waarop het dagelijkse werk wordt gedaan, en zal in vrijwel elk aspect van onze economie terug te vinden zijn. CMMC zal softwareleveranciers, logistieke dienstverleners, onderwijsbedrijven, professionele dienstverlenende bedrijven en zelfs bedrijven die in geclassificeerde aangrenzende ruimtes opereren, vormgeven.
De tijd is nu om de defensie-industrie voor te bereiden op het behoud van haar bedrijven, het veiligstellen van onze natie en het ondersteunen van de missie van ons leger.
Steve Tchejeyan is de president van IJsland.
