,
/
  • Ultimo aggiornamento
/
  • 10 min di lettura

CMMC 2.0: la certificazione CMMC spiegata per gli MSP

di NinjaOne
Certificazione del Modello di Maturità della Cybersecurity (CMMC) Blog sulla conformità Immagine in evidenza

Punti chiave

  • Capire la CMMC: il Cybersecurity Maturity Model Certification (CMMC) è un framework di cybersecurity del DoD progettato per proteggere le Federal Contract Information (FCI) e le Controlled Unclassified Information (CUI) nella Defense Industrial Base (DIB).
  • Introduzione al CMMC 2.0: la norma finale, 32 CFR Part 170, è entrata in vigore nel dicembre 2024; la norma DFARS 252.204-7021 è prevista per novembre 2025, con un’introduzione in quattro fasi nelle nuove gare d’appalto del DoD.
  • Tre livelli di certificazione:
    • Livello 1 (fondamentale): 15 requisiti di salvaguardia di cui alla FAR 52.204-21; autovalutazione annuale e dichiarazione in SPRS.
    • Livello 2 (avanzato): 110 controlli di sicurezza da NIST SP 800-171; autovalutazione per programmi non prioritari o certificazione C3PAO per programmi prioritari; POA&Ms chiuso entro 180 giorni.
    • Livello 3 (Esperto): Basato su NIST SP 800-172; valutazione DIBCAC ogni tre anni; incentrato sulla difesa APT e sul rilevamento proattivo delle minacce.

Il Cybersecurity Maturity Model Certification (CMMC) stabilisce processi, pratiche e requisiti di sicurezza informatica per salvaguardare le informazioni sensibili e non classificate condivise dal Dipartimento della Difesa (DoD) e dai suoi appaltatori e subappaltatori. In particolare, mira a proteggere la base industriale della Difesa (DIB) da attacchi informatici più complessi.

CMMC 2.0 è stato annunciato nel novembre 2021. La norma finale del programma (32 CFR Part 170) è entrata in vigore nel dicembre 2024. L’applicazione contrattuale inizierà una volta che la regola di acquisizione DFARS sarà finalizzata (in fase di revisione da parte dell’OIRA a luglio 2025). Il Dipartimento della Difesa introdurrà gradualmente i requisiti nelle gare d’appalto in quattro fasi, a partire dalla data di entrata in vigore.

Questo articolo illustra come ottenere la certificazione CMMC e tutto ciò che hai bisogno di sapere per diventare conforme a CMMC.

🥷 Tieniti aggiornato sulle ultime novità IT con la newsletter settimanale di NinjaOne.

Iscriviti ora.

Che cos’è il CMMC?

CMMC, che non è la stessa cosa di CCSK, sta per Cybersecurity Maturity Model Certification. Si tratta di un nuovo standard che si applica a tutti gli appaltatori e subappaltatori del Dipartimento della Difesa (DoD). La certificazione è stata concepita come un quadro di cybersecurity per garantire la protezione delle informazioni sensibili non classificate. Inoltre, funge da protezione contro gli attacchi di tipo supply-chain da parte dei criminali informatici.

Il CMMC garantisce che i fornitori e gli appaltatori del Dipartimento della Difesa proteggano le informazioni sensibili e mantengano una solida posizione di sicurezza informatica. Si basa sul NIST SP 800-171 al livello 2 e aggiunge requisiti selezionati dal NIST SP 800-172 al livello 3.

Che cos’è il modello CMMC 2.0?

Il CMMC 2.0 è l’iterazione successiva del modello iniziale di cybersecurity. Il modello 1.0 prevedeva un sistema di valutazione a cinque livelli, ognuno dei quali diventava progressivamente più impegnativo e costoso. Nel frattempo, il programma 2.0 semplifica questi requisiti a tre livelli.

  • Il livello 1 è necessario per le organizzazioni che lavorano con le Federal Contract Information (FCI). Ciò richiede solo strategie di cybersecurity di base come definito nella FAR 52.204-21, “Basic Safeguarding of Covered Contractor Information Systems“. Si concentra sulla salvaguardia delle informazioni contrattuali federali (FCI). Inoltre, i requisiti del livello 1 della CMMC includono valutazioni di sicurezza e formazione di sensibilizzazione.
  • Il livello 2 è necessario per le organizzazioni che lavorano con informazioni non classificate controllate (CUI) ed è conforme ai 110 controlli di sicurezza definiti nel documento NIST 800-171, “Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations“. Il tipo di valutazione dipende dal contratto. Alcuni consentono l’autovalutazione (ogni 3 anni, con conferma annuale), mentre i programmi prioritari richiedono la certificazione C3PAO. POA&Ms può essere utilizzato in casi limitati con una chiusura di 180 giorni.
  • Il livello 3 è il livello di conformità più elevato, destinato alle organizzazioni che lavorano con CUI e che sono bersaglio di Advanced Persistent Threats (APT). Richiede la conformità al NIST 800-172, “Enhanced Security Requirements for Protecting Controlled Unclassified Information: Supplemento alla pubblicazione speciale NIST 800-171“. Inoltre, include strategie proattive per rilevare e correggere le minacce. La certificazione viene eseguita dal DIBCAC del Dipartimento della Difesa con un ciclo triennale e affermazioni annuali. Per questo motivo, il livello 3 include anche sofisticate capacità di rilevamento e mitigazione e dispone di un sistema di hardening.

Ricordate chi i livelli di CMMC si basano l’uno sull’altro. Pertanto, devi completare il livello 1 per raggiungere il livello 2 e così via.

La struttura aggiornata ha inoltre semplificato notevolmente gli obiettivi:

  • Salvaguardia delle informazioni sensibili e militari.
  • Applicare gli standard di sicurezza informatica del DIB per far fronte all’evoluzione delle minacce.
  • Garantire la responsabilità della conformità CMMC.
  • Costruire una cultura della cybersicurezza e della resilienza informatica.
  • Mantenere alta la fiducia del pubblico attraverso standard professionali ed etici.

CMMC 1.0 vs. 2.0

Entrambi i programmi sono essenzialmente identici per quanto riguarda la protezione delle informazioni controllate e non classificate. Nel frattempo, il programma 2.0 ha apportato diverse modifiche chiave, che possono essere descritte come segue:

Valutazioni CMMC 1.0CMMC 2.0
5 livelli progressivi, da Base ad Avanzato.3 livelli progressivi.

  • Livello 1 (come il precedente livello 1)
  • Livello 2 (come il precedente livello 3)
  • Livello 3 (come il precedente livello 5)
I livelli 2 e 4 sono fasi di transizione tra i livelli 1, 3 e 5.

  • Modello più snello. CMMC 2.0 ha solo tre livelli di conformità, rispetto ai cinque (5) del modello precedente. Inoltre, il CMMC 2.0 è più strettamente allineato ai modelli di cybersecurity del NIST.
  • Miglioramento dell’affidabilità delle valutazioni. CMMC 2.0 consente a tutte le aziende di livello 1 e un sottoinsieme di aziende di livello 2 di dimostrare la conformità tramite autovalutazioni, con conseguente maggiore responsabilità.
  • Implementazione flessibile. CMMC 2.0 consente alle aziende di creare i propri piani d’azione e le proprie tappe (POA&Ms). Queste vengono effettuate in circostanze specifiche. Inoltre, consente al Governo di rinunciare all’inclusione dei requisiti CMMC, in presenza di condizioni particolari.

Grafica CCMC v1 e v2 a confronto

Perché il Dipartimento della Difesa ha creato il programma CMMC 2.0?

Dopo il lancio del CMMC 1.0, i rappresentanti del Dipartimento della Difesa hanno ricevuto un feedback dalle parti interessate. La maggior parte dei commenti sul modello 1.0 riguardava il suo costo attuale e le modalità per aumentare la fiducia nell’ecosistema di valutazione CMMC. Ciò include anche il chiarimento e l’allineamento dei requisiti con altri standard federali e comunemente accettati.

Chi ha bisogno della certificazione CMMC?

Qualsiasi organizzazione che tratta FCI o CUI deve ottenere la certificazione CMMC al livello specificato nel contratto. Se non ha ancora un contratto, è consigliato che richieda il livello più adatto alle sue capacità attuali.

Tieni presente che se hai una clausola DFARS 7012, sei soggetto ai requisiti CMMC.

❗se il tuo contratto include DFARS 252.204-7012 e gestite CUI, aspettati il livello 2 una volta che la CMMC sarà inserita nelle clausole DFARS. Gli attuali DFARS 252.204-7019/7020 richiedono già i punteggi di autovalutazione NIST 800-171 nell’SPRS.

Cosa significa CMMC per gli MSP?

La conformità CMMC per i fornitori di servizi gestiti (MSP) che lavorano con clienti connessi al Dipartimento della Difesa potrebbe diventare un requisito. In quanto tale, deve sviluppare un piano per soddisfare i requisiti del livello 1 della CMMC. In questo modo, l’attività del cliente potrà continuare a funzionare senza problemi. Questo migliorerà anche la sicurezza generale dei client non connessi al Dipartimento della Difesa. Molti dei requisiti del Livello 1 CMMC possono essere servizi preziosi da includere nel tuo contratto di servizi gestiti (MSA). Ciò include la capacità di fornire valutazioni di sicurezza e formazione di sensibilizzazione

Per gli MSP impegnati con altri settori del governo federale e locale, un certo livello di conformità CMMC potrebbe diventare il nuovo standard per le agenzie pubbliche. Il tasso di violazione delle aziende e la domanda di servizi di cybersecurity sono in aumento. Di conseguenza, la CMMC può servire come guida utile per identificare un percorso di crescita dell’azienda.

Quando il CMMC diventerà obbligatorio nei contratti?

I requisiti di certificazione del Cybersecurity Maturity Model (altrimenti noti come DFARS 252.204-7021) sono stati pubblicati nel gennaio 2024. La sua implementazione e inclusione nei contratti è stata descritta entro marzo 2025. La norma sull’acquisizione (DFARS) è ancora in attesa di essere finalizzata. Il documento è stato presentato all’OIRA nel luglio 2025. Il DoD introdurrà i requisiti CMMC in fasi successive, una volta che la norma DFARS sarà entrata in vigore.

Detto questo, gli esperti incoraggiano vivamente le organizzazioni, gli appaltatori e i relativi MSP ad avviare la verifica dei requisiti CMMC il prima possibile.

Devo ancora rispettare la CMMC 1.0 ora che è stata pubblicata la CMMC 2.0?

Una volta che il CMMC 2.0 sarà codificato nel DFARS, il DoD richiederà a tutte le aziende di aderire al quadro CMMC rivisto.

Attualmente, il CMMC 1.0 è richiesto solo in contratti pilota selezionati, come approvato dall’Office of the Under Secretary for Acquisition and Sustainment (OUSD – A&S)

Come faccio a sapere di quale livello di certificazione ho bisogno?

La maggior parte dei contratti richiede solo la certificazione di livello 1. Si tratta di un primo passo importante che tutti gli appaltatori e subappaltatori del Dipartimento della Difesa dovrebbero compiere. Oltre a ciò, i nuovi contratti indicheranno il livello CMMC richiesto.

Quanto costa la certificazione CMMC?

Si stima che il rispetto del livello 1 di CMMC, lo standard più basso, costerà 3.000 dollari all’anno.

Da qui, il costo della certificazione CMMC per ogni livello successivo aumenta sostanzialmente. In media, il Dipartimento della Difesa dichiara che il costo della CMMC di livello 2 è di almeno 100.000 dollari. Questo numero può aumentare. Dipenderà anche da altri fattori, come l’autovalutazione e l’eventuale necessità di competenze esterne.

Quali sono i requisiti di ogni livello di CMMC?

I requisiti di CMMC 2.0 sono fortemente influenzati dagli standard e dalle linee guida del NIST. Possiamo riassumere questi requisiti come segue:

LivelloRequisitiValutazioneDescrizione
1Soddisfa i 15 requisiti di SP 800-171Autovalutazione annualeCreare e mantenere:

2Soddisfa i requisiti del Livello 1 e 110 standard determinati da una valutazione di terzi.Valutazione da parte di terzi ogni tre anni.Monitoraggio e controllo:

  • Vulnerabilità del sistema
  • Comunicazione tra tutti i livelli, dispositivi e sistemi
  • Formazione sulla sicurezza informatica
  • Sicurezza degli endpoint
  • E molto altro ancora
3Deve superare i requisiti 110 SP 800-171 e la conformità ai livelli 1 e 2.Valutazioni triennali condotte dal Defense Industrial Base Cybersecurity Assessment Center (DIBCAC)Implementazione e manutenzione:

  • Protocolli di sicurezza informatica aggiornati
  • Programma efficace di rilevamento e riduzione dei rischi
  • Monitoraggio continuo dell’intera infrastruttura IT
  • E molto altro ancora

Come posso ottenere la certificazione CMMC?

  1. Effettua un’autovalutazione utilizzando gli standard NIST 800-171.
  2. Crea un piano d’azione e delle tappe fondamentali (POA & Ms) in base al punteggio ottenuto dall’autovalutazione. Tenta di raggiungere il punteggio massimo di 110.
  3. Presenta il punteggio al Supplier Performance Risk System (SPRS) del Dipartimento della Difesa.
  4. Identifica l’ambito dei tuoi servizi. Tieni a mente che Cyber-AB, l’organismo ufficiale di accreditamento dell’ecosistema CMMC, ha rilasciato solo la guida alla valutazione per CMMC 2.0, Livelli 1 e 2.
  5. Programma una valutazione preliminare delle lacune da parte di un’organizzazione terza per identificare le lacune nel tuo processo di sicurezza delle informazioni. Questo passaggio è facoltativo, ma consigliato. 
  6. Correggi le lacune di sicurezza individuate al punto 5.
  7. Utilizza il marketplace Cyber-AB per trovare un C3PAO come NSF-ISR per programmare la tua valutazione CMMC.
  8. Sottoponiti alla valutazione CMMC.
    1. La fase 1 comprende la pianificazione della pre-valutazione, l’identificazione dei membri del team di valutazione e lo sviluppo di un ordine di grandezza approssimativo.
    2. La fase 2 riguarda la valutazione C3PAI vera e propria. Include un’analisi e una revisione delle prove oggettive relative alle pratiche CMMC.
    3. La fase 3 consiste nella stesura di un rapporto post-valutazione, che comprende una revisione di garanzia della qualità ed eventuali raccomandazioni.
    4. La Fase 4 può richiedere una correzione se l’organizzazione non soddisfa determinati requisiti CMMC. In genere, c’è un termine di 90 giorni per risolvere eventuali carenze.
  9. Ricevi la certificazione CMMC.

Ricordati che le aziende non possono presentare la loro autovalutazione per il CMMC ai livelli più alti. Saranno invece agenzie terze a condurre un audit imparziale e a identificare il livello di maturità della sicurezza della tua organizzazione.

Un fornitore di servizi gestiti o un organizzatore di valutazioni di terze parti (C3PAO) possono aiutarvi a comprendere meglio il quadro CMMC. Ti dirà anche quali miglioramenti possono essere apportati per rendere più semplice il processo di certificazione.

Prepara la tua organizzazione alla certificazione CCMC rafforzando la tua posizione di sicurezza.

⬇️ Scarica la nostra lista di controllo sulla cybersicurezza degli MSP.

Come NinjaOne aiuta i professionisti dell’IT a superare il CMMC

Garantendo che i tuoi servizi possano essere forniti attraverso il cloud per accelerare gli sforzi di conformità CMMC e ridurre i costi. Sfruttando gli strumenti cloud, i professionisti IT possono fornire molte pratiche CMMC. In particolare quelli che migliorano la sicurezza informatica dell’intera organizzazione e riducono i rischi.

Un software di monitoraggio e gestione remota basato sul cloud, come quello offerto da NinjaOne, può essere un elemento importante nella catena di strumenti della cybersecurity. Accelerano il rilevamento delle vulnerabilità e la gestione della sicurezza. Ma gli strumenti possono essere sfruttati anche per coordinare e organizzare molte funzionalità di sicurezza fondamentali, come il patch management e l’antivirus.

Inizia una prova gratuita

FAQs

I requisiti CMMC appariranno nei contratti DoD dopo l’entrata in vigore della norma finale DFARS . La norma è in fase di revisione da parte dell’OIRA (luglio 2025) e il Dipartimento della Difesa prevede un’introduzione graduale tra le varie richieste.

  • Livello 1 (fondamentale): 17 pratiche da FAR 52.204-21, autovalutazione annuale + affermazione.
  • Livello 2 (avanzato): 110 controlli NIST SP 800-171, valutati tramite autovalutazione (programmi non prioritari) o certificazione C3PAO (programmi prioritari).
  • Livello 3 (esperto): sottoinsieme del NIST SP 800-172, valutato solo dal DoD (DIBCAC).

Il flusso dipende dai dati trattati: i sotto servizi che trattano FCI hanno bisogno del livello 1; i sotto servizi che trattano CUI devono raggiungere il livello 2 (autonomamente o C3PAO come specificato).

L’analisi dell’impatto normativo del DoD stima: ~$5.977 annui per il livello 1, ~$37k(self) o $105k(C3PAO) per il livello 2 ogni tre anni. I costi variano in base alle dimensioni e alla portata dell’azienda.

  • Effettua un’autovalutazione (NIST SP 800-171 per il livello 2).
  • Invia i punteggi a SPRS.
  • Sviluppa e chiudi POA&Ms entro 180 giorni (se applicabile).
  • Rivolgiti a un  C3PAO del Cyber AB Marketplace per le certificazioni di livello 2.
  • Sottoporsi a valutazione DIBCAC per il livello 3.
  • POA&Ms deve essere chiuso entro 180 giorni.

Sì. Qualsiasi fornitore, nazionale o straniero, che gestisce FCI o CUI nell’ambito di un contratto DoD deve soddisfare il livello CMMC specificato nel contratto.

Il NIST SP 800-171 definisce i controlli di sicurezza; il CMMC è il quadro di verifica del DoD che richiede la prova della conformità a tali controlli (livello 2) e la resilienza aggiuntiva del NIST SP 800-172 (livello 3).

Ti potrebbe interessare anche

Best Data Protection Software

Il miglior software per la protezione dei dati: le 10 migliori soluzioni nel 2026

NinjaOne: líder no Magic Quadrant™ 2026 da Gartner em Endpoint Management Tools

Che cosa significa per i nostri clienti essere Leader Gartner® Magic Quadrant™?

colleghi seduti a un tavolo insieme che parlano e sorridono

NinjaOne è stata nominata nella Deloitte Technology Fast 500 – di nuovo!

Integrazione tra NinjaOne e Intune

Ottenere di più da Microsoft con l’integrazione tra NinjaOne e Intune

NinjaOne 11.0

Release NinjaOne 11.0: Oltre l’eccellenza per i team IT

Come documentare la preparazione alla cybersecurity di un MSP per le richieste di assicurazione informatica Immagine del banner del blog

Come documentare la preparazione alla cybersecurity di un MSP per le richieste di assicurazione informatica.

Torna alla pagina iniziale del blog
Pronto a semplificare le parti più complesse dell'IT?
Inizia una prova gratuita
Richiedi una demo