CMMC 2.0: explicação da certificação CMMC para MSPs

O Cybersecurity Maturity Model Certification (CMMC) estabelece processos, práticas e requisitos de segurança cibernética para proteger informações confidenciais e não classificadas compartilhadas pelo Departamento de Defesa (DoD) e seus contratados e subcontratados. Especificamente, ele visa proteger a Base Industrial de Defesa (DIB) contra ataques cibernéticos mais complexos.

O CMMC 2.0 foi anunciado em novembro de 2021. A regra final do programa (32 CFR Parte 170) entrou em vigor em dezembro de 2024. A aplicação contratual começará assim que a regra de aquisição DFARS for finalizada (sob análise da OIRA em julho de 2025). O DoD incluirá os requisitos nas solicitações em quatro etapas, a partir da data de vigência.

Este artigo discute como obter a certificação CMMC e tudo o que você precisa saber para estar em conformidade com a CMMC.

O que é CMMC?

CMMC, que não é o mesmo que CCSK, significa Cybersecurity Maturity Model Certification. Esse é um novo padrão que se aplica a todos os contratados e subcontratados do Departamento de Defesa (DoD). A certificação foi projetada como uma estrutura de segurança cibernética para garantir a proteção de informações confidenciais não classificadas. Ele também atua como uma proteção contra ataques do tipo cadeia de suprimentos por criminosos cibernéticos.

O CMMC garante que os fornecedores e contratados do DoD protejam as informações confidenciais e mantenham uma postura sólida de segurança cibernética. Ele se baseia no NIST SP 800-171 no Nível 2 e acrescenta requisitos selecionados do NIST SP 800-172 no Nível 3.

O que é o modelo CMMC 2.0?

O CMMC 2.0 é a próxima iteração do modelo inicial de segurança cibernética. O modelo 1.0 apresentava um sistema de classificação de cinco níveis, sendo que cada nível se tornava progressivamente mais desafiador e caro. Enquanto isso, o programa 2.0 simplifica esses requisitos para três níveis.

• O Level 1 é necessário para organizações que trabalham com informações de contratos federais (FCI). Isso requer apenas estratégias básicas de segurança cibernética, conforme definido no FAR 52.204-21, “Basic Safeguarding of Covered Contractor Information Systems” Ele se concentra na proteção de informações de contratos federais (FCI). Além disso, os requisitos do CMMC nível 1 incluem avaliações de segurança e treinamento de conscientização.
• O Level 2 é necessário para organizações que trabalham com informações não classificadas controladas (CUI) e está em conformidade com os 110 controles de segurança definidos no NIST 800-171, “Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations” O tipo de avaliação depende do contrato. Alguns permitem a autoavaliação (a cada 3 anos, com afirmação anual), enquanto os programas priorizados exigem a certificação da C3PAO. POA&Ms podem ser usado em casos limitados com encerramento em 180 dias.
• O Level 3 é o nível de conformidade mais alto, destinado a organizações que trabalham com CUI e são alvo de Advanced Persistent Threats (APT). Exige conformidade com o NIST 800-172, “Enhanced Security Requirements for Protecting Controlled Unclassified Information”: Um suplemento à Publicação Especial 800-171 do NIST. ” Além disso, inclui estratégias proativas para detectar e corrigir ameaças. A certificação é realizada pelo DIBCAC do DoD em um ciclo trienal com afirmações anuais. Dessa forma, o Nível 3 também inclui recursos sofisticados de detecção e atenuação e possui umsistema de proteção

Lembre-se de que os níveis do CMMC se baseiam uns nos outros. Portanto, você precisa concluir o Nível 1 para chegar ao Nível 2, e assim por diante.

A estrutura atualizada também simplificou bastante as metas a serem atingidas:

• Proteção de informações confidenciais e militares.
• Aplicação dos padrões de segurança cibernética do DIB para atender às ameaças em evolução.
• Garantir a responsabilidade pela conformidade com o CMMC.
• Criação de uma cultura de segurança cibernética e resiliência cibernética.
• Manter a alta confiança do público por meio de padrões profissionais e éticos.

CMMC 1.0 vs. 2.0

Ambos os programas são essencialmente os mesmos na proteção de informações não classificadas controladas. Enquanto isso, o programa 2.0 fez várias alterações importantes, que podem ser descritas como:

• Modelo mais simplificado. O CMMC 2.0 tem apenas três níveis de conformidade, em comparação com os cinco (5) do modelo anterior. Além disso, o CMMC 2.0 está mais alinhado com os modelos de segurança cibernética do NIST.
• Avaliações confiáveis aprimoradas. O CMMC 2.0 permite que todas as empresas no Nível 1 e um subconjunto de empresas no Nível 2 demonstrem conformidade por meio de autoavaliações, resultando em maior responsabilidade.
• Implantação flexível. A CMMC 2.0 permite que as empresas criem seus próprios planos de ação e marcos (POA&Ms). Isso é feito em circunstâncias específicas. Ele também permite que o governo dispense a inclusão dos requisitos do CMMC, dadas as condições especiais.

Por que o DoD criou o programa CMMC 2.0?

Após o lançamento do CMMC 1.0, os representantes do DoD receberam feedback das partes interessadas relevantes. A maioria dos comentários sobre o modelo 1.0 dizia respeito ao seu custo atual e a como aumentar a confiança no ecossistema de avaliação do CMMC. Isso também inclui o esclarecimento e o alinhamento de seus requisitos com outros padrões federais e comumente aceitos.

Quem precisa da certificação CMMC?

Qualquer organização que manuseie FCI ou CUI deve obter a certificação CMMC no nível especificado em seu contrato. Se ele ainda não tiver um contrato, é recomendável que você se candidate ao nível mais adequado aos seus recursos atuais.

Observe que, se você tiver uma cláusula DFARS 7012, estará sujeito aos requisitos do CMMC.

se o seu contrato inclui o DFARS 252.204-7012 e você lida com CUI, espere o Nível 2 quando o CMMC for incluído nas cláusulas do DFARS. Os atuais DFARS 252.204-7019/7020 já exigem pontuações de autoavaliação do NIST 800-171 no SPRS.

O que o CMMC significa para os MSPs?

A conformidade com o CMMC paraprovedores de serviços gerenciados  (MSPs) que trabalham com clientes conectados ao DoD pode se tornar um requisito. Dessa forma, deve desenvolver um plano para atender aos requisitos do CMMC Nível 1. Isso permitirá que os negócios do cliente continuem funcionando sem problemas. Isso também aumentará a segurança geral dos clientes não conectados ao DoD. Muitos dos requisitos do CMMC Nível 1 podem ser serviços valiosos a serem incluídos em seuContrato de Serviços Gerenciados (MSA) . Isso inclui a capacidade de fornecer avaliações de segurança e treinamento de conscientização

Para os MSPs envolvidos com outras partes do governo federal e local, algum nível de conformidade com o CMMC também pode se tornar o novo padrão para os órgãos públicos. Há um aumento na taxa de violações de empresas e na demanda por serviços de segurança cibernética. Como resultado, o CMMC pode servir como um guia útil para identificar um caminho para o crescimento dos negócios.

Quando o CMMC se tornará obrigatório nos contratos?

Os Requisitos de Certificação do Modelo de Maturidade em Segurança Cibernética (também conhecidos como DFARS 252.204-7021) foram publicados em janeiro de 2024. Sua implementação e inclusão em contratos foram descritas até março de 2025. A regra de aquisição (DFARS) ainda está pendente de finalização. Isso foi enviado à OIRA em julho de 2025. O DoD introduzirá os requisitos de CMMC em fases quando a regra DFARS entrar em vigor.

Dito isso, os especialistas incentivam fortemente as organizações, os contratados e os MSPs relevantes a iniciarem seus requisitos de CMMC o mais rápido possível.

Ainda preciso estar em conformidade com o CMMC 1.0 agora que o CMMC 2.0 foi publicado?

Quando o CMMC 2.0 for codificado no DFARS, o DoD exigirá que todas as empresas sigam a estrutura revisada do CMMC.

Atualmente, o CMMC 1.0 só é exigido em contratos-piloto selecionados, conforme aprovado pelo Office of the Under Secretary for Acquisition and Sustainment (OUSD (A&S))

Como posso saber qual é o nível de certificação necessário?

A maioria dos contratos exigirá apenas a certificação de Nível 1. Essa é uma primeira etapa importante que todos os contratados e subcontratados do DoD devem realizar. Além disso, os novos contratos indicarão o nível de CMMC exigido.

Qual é o custo da certificação CMMC?

Estima-se que, para atender à CMMC Nível 1, o padrão mais baixo, o custo médio anual de manutenção seja de US$ 3.000.

A partir daí, o custo da certificação CMMC para cada nível subsequente aumenta substancialmente. Em média, o Departamento de Defesa afirma que o custo do CMMC Nível 2 é de, no mínimo, US$ 100.000. Esse número pode aumentar. Dependerá também de outros fatores, como a autoavaliação e a necessidade de conhecimento externo.

Quais são os requisitos de nível CMMC?

Os requisitos do CMMC 2.0 são fortemente influenciados pelos padrões e diretrizes do NIST. Podemos resumir esses requisitos da seguinte forma:

Como faço para obter a certificação CMMC?

1. Realize uma autoavaliação usando os padrões NIST 800-171.
2. Crie um plano de ação e marcos (POA&Ms) com base em sua pontuação na autoavaliação. Tente atingir a pontuação máxima de 110.
3. Envie a pontuação para o Sistema de Risco de Desempenho do Fornecedor (SPRS) do DoD.
4. Identifique o escopo de seus serviços. Observe que o Cyber-AB, o órgão oficial de credenciamento do ecossistema CMMC, só lançou o guia de avaliação para o CMMC 2.0, Níveis 1 e 2.
5. Agende uma avaliação preliminar de lacunas com uma organização terceirizada para identificar lacunas em seu processo de segurança da informação. Esta etapa é opcional, mas recomendada. 
6. Corrija as falhas de segurança identificadas na etapa 5.
7. Use o mercado Cyber-AB para encontrar um C3PAO como o NSF-ISR para agendar sua avaliação CMMC.
8. Submeter-se à avaliação do CMMC.
   1. A Fase 1 inclui o planejamento da pré-avaliação, a identificação dos membros da equipe de avaliação e o desenvolvimento de uma ordem de grandeza aproximada.
   2. A Fase 2 abrange a avaliação real do C3PAI. Inclui uma análise e revisão de evidências objetivas relacionadas às práticas de CMMC.
   3. A Fase 3 é o relatório pós-avaliação, incluindo uma revisão de garantia de qualidade e quaisquer recomendações.
   4. A Fase 4 pode exigir correção se sua organização não atender a determinados requisitos do CMMC. Normalmente, há um prazo de 90 dias para resolver quaisquer deficiências.
9. Receber sua certificação CMMC.

Lembre-se de que as empresas não podem enviar sua autoavaliação para o CMMC nos níveis mais altos. Em vez disso, agências terceirizadas realizam uma auditoria imparcial e identificam o nível de maturidade de segurança de sua organização.

Um provedor de serviços gerenciados ou organizadores de avaliação de terceiros (C3PAOs) podem ajudá-lo a entender melhor a estrutura do CMMC. Ele também lhe dirá quais melhorias podem ser feitas para facilitar o processo de certificação.

Como a NinjaOne ajuda os profissionais de TI a ficarem à frente do CMMC

Garantir que seus serviços possam ser fornecidos por meio da nuvem para acelerar os esforços de conformidade com o CMMC e reduzir os custos. Ao aproveitar as ferramentas de nuvem, os profissionais de TI podem oferecer muitas práticas de CMMC. Especificamente aqueles que melhoram a segurança cibernética de toda a organização e reduzem os riscos.

O software de monitoramento e gerenciamento remoto baseado em nuvem, como o oferecido pela NinjaOne, pode servir como peças importantes na cadeia de ferramentas de segurança cibernética. Eles aceleram a detecção de vulnerabilidades e o gerenciamento da segurança. Mas as ferramentas também podem ser aproveitadas para coordenar e organizar muitas funções essenciais de segurança, como gerenciamento de patches e antivírus.