CMMC Cybersecurity Maturity Model Certification.

CMMC é o modelo de maturidade em cibersegurança que o Departamento de Defesa dos EUA impõe aos seus contratantes que lidam com informação contratual federal e informação não classificada controlada. O CMMC 2.0 foi consolidado em três níveis (Foundational, Advanced, Expert), alinhados com o NIST SP 800-171 e 800-172. Se vende ao DoD ou integra a sua cadeia de fornecimento, está no âmbito de aplicação.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyEU regulationsAll entries

A perspetiva da Cyber Academy

CMMC é o modelo de maturidade em cibersegurança que o Departamento de Defesa dos EUA impõe aos seus contratantes que lidam com informação contratual federal e informação não classificada controlada. O CMMC 2.0 foi consolidado em três níveis (Foundational, Advanced, Expert), alinhados com o NIST SP 800-171 e 800-172. Se vende ao DoD ou integra a sua cadeia de fornecimento, está no âmbito de aplicação.

O que o CMMC realmente muda para um contratante

Durante anos, o Department of Defense norte-americano pediu aos seus fornecedores que protegessem as informações sensíveis e confiou que o fizessem. Os contratantes autodeclaravam cumprir as salvaguardas exigidas, e a lacuna entre o que era afirmado e o que estava implementado só vinha à tona após uma violação. O CMMC fecha essa lacuna ao transformar os requisitos de proteção existentes em uma certificação verificável.

A substância dos controles não mudou tanto quanto o ônus da prova: onde antes você assinava uma declaração, agora detém uma certificação que, após uma avaliação, confirma que suas práticas estão de fato em vigor. Se você trata Federal Contract Information ou Controlled Unclassified Information em qualquer elo da cadeia de suprimentos do DoD, é este o mecanismo que decide se você pode continuar concorrendo.

O modelo importa muito além das fronteiras norte-americanas. Os fornecedores europeus que subcontratam com contratantes principais americanos, fabricam componentes de defesa ou tratam CUI por conta de um programa do DoD herdam a mesma obrigação. O CMMC não é um referencial que se adota voluntariamente por boa higiene; é uma porta contratual. Sem certificação no nível que o seu contrato exige, não há adjudicação. É isso que o distingue de um modelo de maturidade voluntário e o coloca na mesma categoria prática que um requisito regulatório: a conformidade é o preço do acesso ao mercado.

Os três níveis e o que está sob eles

O CMMC 2.0 simplificou um esquema anterior de cinco níveis em três, cada um vinculado à sensibilidade dos dados que você trata e a uma baseline NIST existente. O nível 1 (Foundational) cobre a proteção básica da Federal Contract Information e baseia-se nas práticas das regras federais de aquisição, verificadas por autoavaliação anual. O nível 2 (Advanced) protege a Controlled Unclassified Information e alinha-se diretamente com NIST SP 800-171, o catálogo de controles já exigido dos contratantes que tratam CUI; conforme o contrato, é confirmado por uma avaliação de terceiros. O nível 3 (Expert) destina-se aos programas mais sensíveis e acrescenta os requisitos reforçados de NIST SP 800-172 para defesa contra ameaças persistentes avançadas, avaliado pelo próprio governo.

Níveis do CMMC 2.0
NívelDados protegidosBaselineAvaliação
Nível 1 — FoundationalFederal Contract Information (FCI)Requisitos de proteção básicaAutoavaliação anual
Nível 2 — AdvancedControlled Unclassified Information (CUI)NIST SP 800-171Avaliação de terceiros (ou autoavaliação)
Nível 3 — ExpertCUI de alto valor, exposição a APTNIST SP 800-171 mais 800-172Avaliação conduzida pelo governo

A percepção central é que o CMMC não inventa tantos controles novos quanto impõe aqueles que os contratantes já eram obrigados a cumprir. Um fornecedor que implementou genuinamente NIST SP 800-171 já percorreu a maior parte do caminho até o nível 2; o trabalho que resta consiste em produzir as evidências, fechar as práticas presumidas mas nunca operacionalizadas e passar por uma avaliação conduzida por alguém que não é você.

Onde o CMMC se situa ao lado da NIS 2 e da ISO 27001

É fácil arquivar CMMC, NIS 2 e ISO 27001 na mesma gaveta, mas eles respondem a perguntas diferentes. A ISO 27001 certifica que você opera um sistema de gestão de segurança da informação baseado em risco; é voluntária, internacional e indiferente a de quem são os dados que você detém. A NIS 2 é legislação europeia que impõe deveres de segurança e de notificação de incidentes às entidades essenciais e importantes de setores críticos.

O CMMC é mais estreito e mais específico: um requisito de contratação pública do governo norte-americano dirigido a uma única cadeia de suprimentos, mapeado para conjuntos fixos de controles NIST em vez da sua própria avaliação de riscos. Uma organização já certificada em ISO 27001 terá construído uma disciplina de gestão que facilita o esforço do CMMC, mas as certificações não são intercambiáveis e uma não satisfaz a outra.

Frequently asked questions

01Quem precisa cumprir o CMMC?

Qualquer organização na cadeia de suprimentos do Department of Defense norte-americano que trate Federal Contract Information ou Controlled Unclassified Information, incluindo subcontratados não norte-americanos de contratantes principais americanos. O nível exigido está escrito no contrato.

02Qual é a diferença entre CMMC e NIST SP 800-171?

NIST SP 800-171 é o catálogo de controles para proteger a CUI. O CMMC é o mecanismo de certificação que verifica se esses controles estão de fato implementados. O nível 2 do CMMC baseia-se diretamente em NIST SP 800-171.

03Quantos níveis o CMMC 2.0 tem?

Três: nível 1 (Foundational), nível 2 (Advanced) e nível 3 (Expert). O modelo anterior tinha cinco níveis; o CMMC 2.0 consolidou-os e alinhou cada um com uma baseline NIST existente.

04A certificação ISO 27001 satisfaz o CMMC?

Não. São esquemas distintos. A ISO 27001 certifica um sistema de gestão baseado em risco, enquanto o CMMC verifica conjuntos específicos de controles NIST para a cadeia de suprimentos do DoD. A maturidade em ISO 27001 ajuda, mas não substitui uma avaliação CMMC.

05Ainda posso fazer autoavaliação sob o CMMC 2.0?

O nível 1 é verificado por autoavaliação anual, e alguns contratos de nível 2 a permitem, mas os trabalhos de nível 2 mais sensíveis e todo o nível 3 exigem avaliação independente ou conduzida pelo governo.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.