Start van naleving Cybersecurity Maturity Model Certification (CMMC) voor MSP’s en IT-professionals

Cybersecurity Maturity Model Certification (CMMC) Compliance blog featured image

De implementatie van het Cybersecurity Maturity Model Certification (CMMC) is rond en het kan een nieuw beveiligingskader creëren voor andere overheidsinstanties. Voor een normale gang van zaken moet CMMC-naleving voor MSP’s en IT-professionals die werken met het Ministerie van Defensie (MinDef) of bijbehorende aannemers, een prioriteit zijn in 2021.

 

Het Cybersecurity Maturity Model Certification (CMMC) is deze maand officieel goedgekeurd als de nieuwe norm voor contracten van het Ministerie van Defensie (MinDef). Tegen oktober 2025 zullen contracten voor elke MinDef-contract gecertificeerd moeten worden door een derde partij die een beoordelingssysteem met vijf niveaus hanteert. Het is van cruciaal belang dat IT-professionals die rechtstreeks met defensiecontractanten of het MinDef werken, inzicht hebben in de nieuwe CMMC-regels en de naleving daarvan. Naarmate andere overheidsinstanties hogere beveiligingsnormen invoeren, zal CMMC-naleving uiteindelijk ook bij Managed Services Providers (MSP’s) toegepast worden.

 

CMMC bestaat uit vijf niveaus: niveau 1 is het gemakkelijkst te behalen en niveau 5 is het moeilijkst en duurst om te behalen. Voor niveau 1 moet een organisatie voldoen aan 17 vereiste controles om cyberhygiëne te handhaven en federale contractinformatie (FCI) en gecontroleerde niet-geclassificeerde informatie (CUI) te beschermen. Een organisatie moet zich houden aan 171 vereiste controles om niveau 5 van CMMC te behalen. Volgens Katie Arrington, Chief Information Security Officer voor het Office of the Under Secretary of Defense for Acquisition & Sustainment (OUSD A&S), is het goede nieuws dat de meeste contractanten slechts CMMC-niveau 1 hoeven te behalen en minder dan één procent van de contracten zal CMMC-niveau 4 of 5 moeten behalen.

 

De nieuwe regels zijn uitdrukkelijk bedoeld om de bevoorradingsketen van het MinDef te beveiligen. Gezien het groeiende aantal inbreuken en ransomware-aanvallen waarbij legitieme tools die door de openbare en de particuliere sector worden gebruikt, worden gekaapt, kan navolging van de vastgestelde richtlijnen in het CMMC-proces dit soort aanvallen helpen stoppen. Dit raamwerk biedt voordelen voor IT-professionals uit elke branche, aangezien veel van de regels rond cybersecurity, zoals multi-factor authentication voor gebruikers, basiselementen zijn die elke organisatie zou moeten implementeren.

 

Nu het MinDef streeft naar de beveiliging van de bevoorradingsketen, kan dat uiteindelijk leiden tot een nieuwe norm voor civiele agentschappen. FedScoop meldde zelfs dat CISA-functionarissen hebben opgemerkt dat civiele agentschappen zullen profiteren van de invoering van CMMC en dat het agentschap ernaar streeft hun aanpak en richtlijnen op het gebied van cybersecurity zo veel mogelijk op CMMC af te stemmen. Nu de mogelijkheid bestaat dat CMMC een nieuwe federale norm wordt, kunnen MSP’s een voordeel behalen ten opzichte van hun concurrenten door zich op de hoogte te stellen van de nieuwe regels en de beste federale beveiligingspraktijken in hun bedrijf op te nemen.

 

Hieronder vindt u de belangrijkste informatie over CMMC. Deze is handig voor mensen die pas kennismaken met de regels van Cybersecurity Maturity Model Certification of als u uw geheugen rond de cybersecurity wilt opfrissen.

Wat is CMMC?

 

CMMC staat voor Cybersecurity Maturity Model Certification, een nieuwe norm die geldt voor alle (sub)contractanten van het Ministerie van Defensie (MinDef). De nieuwe certificering werd ontworpen als raamwerk voor cybersecurity en verzekert de bescherming van gevoelige, niet-geclassificeerde informatie en biedt daarnaast ook bescherming tegen supply chain-aanvallen door cybercriminelen.

 

CMMC is een beoordelingssysteem met vijf niveaus. Niveau 1 omvat de basis van cybersecurity, zoals het gebruik van MFA. Naarmate de certificeringsniveau’s toenemen, worden de vereisten complexer en de kosten hoger. Volgens OUSD A&S heeft minder dan één procent van de contracten een certificering van niveau 4 of 5 nodig.

Wanneer treedt CMMC in werking?

 

CMMC is in december 2020 ingegaan. De regels zullen de komende vijf jaar geleidelijk in nieuwe MinDef-contracten worden opgenomen, met een volledige implementatie in oktober 2025.

Hoe weet ik welk certificeringsniveau ik nodig heb?

 

Een belangrijkste eerste stap voor alle (sub)contractanten van MinDef is het verkrijgen van een certificering van niveau 1, aangezien die vereist zal zijn voor de meeste contracten. Bovendien zal in nieuwe contracten het vereiste CMMC-niveau worden vermeld.

 

Hoeveel kost CMMC?

 

Katie Arrington, Chief Information Security Officer voor OUSD A&S, schat dat CMMC-niveau 1, de laagste norm, elke drie jaar 3.000 dollar zal kosten. Het behalen en onderhouden van hogere CMMC-niveaus zal naar verwachting duurder zijn.

 

Wat zijn de vereisten per CMMC-niveau?

 

CMM-niveau 1 ( Engels) bestaat uit 17 praktijken rond cybersecurity, die alles omvatten wat beschreven staat in Federal Acquisition Regulation (FAR) 48 CFR 52.204-21. Het gaat onder meer om vermogensbeheer, configuratiebeheer, identificatie en authenticatie en noodherstel.

 

CMMC-niveau 3 bestaat uit 130 praktijken rond cybersecurity en omvat alles beschreven in NIST SP 800-171r1. De vereisten waaraan MinDef-contractanten moeten voldoen voor CMMC-niveau 4 en 5 omvatten een subset van de praktijken uit het concept van NIST SP 800-171B en aanvullende geavanceerde praktijken rond cybersecurity.

 

Als organisaties gecertificeerd willen worden, moeten ze een beroep doen op een geautoriseerde en geaccrediteerde CMMC Third Party Assessment Organization (C3PAO), die CMMC-beoordelingen uitvoert en CMMC-certificaten toekent. De UOSD A&S is van plan om in 2021 ongeveer 1.500 gecertificeerde bedrijven te hebben, terwijl de nieuwe DoD-contracten de vereisten naleven.

Wat betekent CMMC voor MSP’s?

CMMC-naleving kan een vereiste worden voor MSP’s die werken met klanten verbonden aan het MinDef en dus zouden ze een plan moeten ontwikkelen om te voldoen aan de eisen die zijn vastgelegd voor CMMC-niveau 1. Op die manier blijven de bedrijven van de klanten vlot draaien en verbetert de algemene beveiliging van klanten die niet zijn aangesloten bij het MinDef. Veel van de vereisten van CMMC-niveau 1, zoals de mogelijkheid om beveiligingsevaluaties uit te voeren en bewustzijnstrainingen te geven, kunnen waardevolle diensten zijn om op te nemen in uw Managed Services Agreement (MSA)( momenteel alleen beschikbaar in het Engels, Duits, Frans en Italiaans).

 

Voor MSP’s die samenwerken met andere instanties van de federale en lokale overheid, kan een zekere mate van CMMC-naleving ook de nieuwe norm worden. Gezien het stijgende aantal inbreuken op de beveiliging van bedrijven en de vraag naar diensten rond cybersecurity, kan CMMC een nuttige leidraad zijn voor het groeipad van bedrijven. CMMC werd ook ontwikkeld in samenwerking met Europese landen zoals Zwitserland en het Verenigd Koninkrijk. Dit duidt op een mogelijke internationale norm voor cybersecurity en nieuwe groeimogelijkheden.

Hoe kunnen IT-professionals CMMC voorblijven?

 

Als u de CMMC-naleving wilt versnellen en de kosten wilt verlagen, kunt u het beste beginnen met diensten via de cloud te leveren. Door gebruik te maken van cloudtools kunnen IT-professionals veel CMMC-praktijken bieden die de cybersecurity voor de hele organisatie verbeteren en de risico’s beperken.

 

Cloudgebaseerde monitoring- en beheertools op afstand kunnen dienen als belangrijke schakels in de keten van cybersecurity. De tools kunnen niet alleen de opsporing van kwetsbaarheden en het beheer van de beveiliging versnellen, maar kunnen ook worden gebruikt om kernbeveiligingsfuncties, zoals patch- en antivirusbeheer, te coördineren en organiseren.

**Bezoek de pagina van OUSD A&S over CMMC, voor een volledig overzicht van de Veelgestelde vragen(in het Engels).

Volgende Stappen

De basisprincipes van apparaatbeveiliging zijn cruciaal voor uw algehele beveiligingsbeleid. NinjaOne maakt het eenvoudig om al uw apparaten centraal, op afstand en op schaal te patchen, harden, beveiligen en back-uppen.

Wellicht ook interessant voor u

Bent u klaar om een IT-Ninja te worden?

Ontdek hoe NinjaOne u kan helpen IT-Management te vereenvoudigen.
Bekijk een demo×
×

Zie NinjaOne in actie!

Door dit formulier in te dienen geef ik aan akkoord te gaan met het privacybeleid van NinjaOne.

Start een Gratis Trial van de #1 RMM op G2

NinjaOne Terms & Conditions

By clicking the “I Accept” button below, you indicate your acceptance of the following legal terms as well as our Terms of Use:

  • Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms.
  • Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party.
  • Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library belonging to or under the control of any other software provider.
  • Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations.
  • Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks.
  • Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script.
  • EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).