Die Einschätzung der Cyber Academy
CMMC ist das Cybersecurity-Reifegradmodell, das das US-Verteidigungsministerium seinen Auftragnehmern vorschreibt, die mit Federal Contract Information und Controlled Unclassified Information umgehen. CMMC 2.0 wurde auf drei Stufen reduziert (Foundational, Advanced, Expert), die an NIST SP 800-171 und 800-172 ausgerichtet sind. Wer an das DoD liefert oder Teil seiner Lieferkette ist, fällt in den Geltungsbereich.
Was CMMC für einen Auftragnehmer tatsächlich ändert
Jahrelang forderte das US Department of Defense seine Lieferanten auf, sensible Informationen zu schützen, und vertraute darauf, dass sie es taten. Auftragnehmer bestätigten selbst, dass sie die geforderten Schutzmaßnahmen erfüllten, und die Lücke zwischen dem, was behauptet wurde, und dem, was umgesetzt war, zeigte sich erst nach einem Sicherheitsvorfall. CMMC schließt diese Lücke, indem es die bestehenden Schutzanforderungen in eine überprüfbare Zertifizierung überführt.
Die Substanz der Kontrollen änderte sich nicht so sehr wie die Beweislast: Wo Sie früher eine Erklärung unterschrieben, halten Sie nun eine Zertifizierung, die nach einer Bewertung bestätigt, dass Ihre Praktiken tatsächlich vorhanden sind. Wenn Sie Federal Contract Information oder Controlled Unclassified Information an irgendeiner Stelle der DoD-Lieferkette verarbeiten, ist dies der Mechanismus, der darüber entscheidet, ob Sie weiterhin Angebote abgeben dürfen.
Das Modell ist weit über die US-Grenzen hinaus von Bedeutung. Europäische Lieferanten, die an amerikanische Generalauftragnehmer weitervergeben, Verteidigungskomponenten fertigen oder CUI im Auftrag eines DoD-Programms verarbeiten, erben dieselbe Verpflichtung. CMMC ist kein Rahmenwerk, das man freiwillig zur guten Hygiene übernimmt; es ist ein vertragliches Tor. Keine Zertifizierung auf der von Ihrem Vertrag geforderten Stufe, kein Zuschlag. Das unterscheidet es von einem freiwilligen Reifegradmodell und stellt es praktisch in dieselbe Kategorie wie eine regulatorische Anforderung: Compliance ist der Preis für den Marktzugang.
Die drei Stufen und was darunter fällt
CMMC 2.0 hat ein früheres fünfstufiges Schema auf drei Stufen gestrafft, jede an die Sensibilität der von Ihnen verarbeiteten Daten und an eine bestehende NIST-Baseline gebunden. Stufe 1 (Foundational) deckt den grundlegenden Schutz von Federal Contract Information ab und baut auf den Praktiken der föderalen Beschaffungsregeln auf, überprüft durch eine jährliche Selbstbewertung.
Stufe 2 (Advanced) schützt Controlled Unclassified Information und richtet sich direkt nach NIST SP 800-171, dem Katalog von Kontrollen, der von Auftragnehmern, die CUI verarbeiten, bereits verlangt wird; je nach Vertrag wird sie durch eine Drittbewertung bestätigt. Stufe 3 (Expert) gilt für die sensibelsten Programme und ergänzt die verschärften Anforderungen von NIST SP 800-172 zur Abwehr von Advanced Persistent Threats, bewertet durch die Regierung selbst.
| Stufe | Geschützte Daten | Baseline | Bewertung |
|---|---|---|---|
| Stufe 1 — Foundational | Federal Contract Information (FCI) | Grundlegende Schutzanforderungen | Jährliche Selbstbewertung |
| Stufe 2 — Advanced | Controlled Unclassified Information (CUI) | NIST SP 800-171 | Drittbewertung (oder Selbstbewertung) |
| Stufe 3 — Expert | Hochwertige CUI, APT-Exposition | NIST SP 800-171 plus 800-172 | Behördlich geführte Bewertung |
Die zentrale Erkenntnis ist, dass CMMC weniger neue Kontrollen erfindet, als vielmehr jene durchsetzt, zu deren Erfüllung Auftragnehmer ohnehin bereits verpflichtet waren. Ein Lieferant, der NIST SP 800-171 wirklich umgesetzt hat, hat den Großteil des Wegs zu Stufe 2 bereits zurückgelegt; die verbleibende Arbeit besteht darin, die Nachweise zu erbringen, die als gegeben angenommenen, aber nie operationalisierten Praktiken zu schließen und eine Bewertung durch jemanden zu bestehen, der nicht Sie selbst ist.
Wo CMMC neben NIS 2 und ISO 27001 steht
Es ist leicht, CMMC, NIS 2 und ISO 27001 in dieselbe Schublade zu stecken, doch sie beantworten unterschiedliche Fragen. ISO 27001 bescheinigt, dass Sie ein risikobasiertes Informationssicherheits-Managementsystem betreiben; es ist freiwillig, international und unabhängig davon, wessen Daten Sie halten. NIS 2 ist europäisches Recht, das wesentlichen und wichtigen Einrichtungen in kritischen Sektoren Pflichten zur Sicherheit und zur Meldung von Vorfällen auferlegt.
CMMC ist enger und spezifischer: eine Beschaffungsanforderung der US-Regierung, die auf eine einzige Lieferkette abzielt und auf feste NIST-Kontrollsätze statt auf Ihre eigene Risikobewertung abgebildet ist. Eine bereits nach ISO 27001 zertifizierte Organisation wird eine Managementdisziplin aufgebaut haben, die den CMMC-Aufwand erleichtert, doch die Zertifizierungen sind nicht austauschbar, und die eine erfüllt nicht die andere.
Frequently asked questions
01Wer muss CMMC einhalten?
Jede Organisation in der Lieferkette des US Department of Defense, die Federal Contract Information oder Controlled Unclassified Information verarbeitet, einschließlich nicht-US-amerikanischer Unterauftragnehmer amerikanischer Generalauftragnehmer. Die erforderliche Stufe ist im Vertrag festgeschrieben.
02Was ist der Unterschied zwischen CMMC und NIST SP 800-171?
NIST SP 800-171 ist der Katalog von Kontrollen zum Schutz von CUI. CMMC ist der Zertifizierungsmechanismus, der überprüft, dass diese Kontrollen tatsächlich umgesetzt sind. Stufe 2 von CMMC baut direkt auf NIST SP 800-171 auf.
03Wie viele Stufen hat CMMC 2.0?
Drei: Stufe 1 (Foundational), Stufe 2 (Advanced) und Stufe 3 (Expert). Das frühere Modell hatte fünf Stufen; CMMC 2.0 hat sie konsolidiert und jede an eine bestehende NIST-Baseline angepasst.
04Erfüllt eine ISO-27001-Zertifizierung CMMC?
Nein. Es sind getrennte Schemata. ISO 27001 bescheinigt ein risikobasiertes Managementsystem, während CMMC bestimmte NIST-Kontrollsätze für die DoD-Lieferkette überprüft. ISO-27001-Reife hilft, ersetzt aber keine CMMC-Bewertung.
05Kann ich unter CMMC 2.0 noch eine Selbstbewertung durchführen?
Stufe 1 wird durch eine jährliche Selbstbewertung überprüft, und einige Stufe-2-Verträge lassen sie zu, doch die sensibleren Stufe-2-Arbeiten und die gesamte Stufe 3 erfordern eine unabhängige oder behördlich geführte Bewertung.