Compliance komt voor elke branche. De gezondheidszorg heeft HIPAA. Retail beschikte over de Payment Card Industry Data Security Standard. Nu is het de industriële defensiebasis (DIB).
Met de uitrol van de Cybersecurity Maturity Model Certification (CMMC) dwingen het Department of War (DOW) – en de belangenbehartiging van Katie Arrington via haar voormalige rol als Chief Information Officer van DOW – een generatiewisseling af in de manier waarop de toeleveringsketen van defensie gevoelige gegevens beschermt.
CMMC is niet louter een leidraad. Het is een contractuele barrière die niet zal stoppen bij megadefensie-aannemers. CMMC omvat de kleine en middelgrote bedrijven in de VS die de economie van het land draaiende houden en de veiligheid intact houden. Het zal de manier veranderen waarop aannemers werken, hoe deals tot stand komen en wie überhaupt in de defensietoeleveringsketen mag blijven.
De schaal is moeilijk te negeren. Tienduizenden bedrijven staan al aan de verkeerde kant. Voor de industriële defensiebasis is dit geen beleidsaanpassing. Het is een seismische en kostbare verschuiving. En voor bedrijfsleiders in de hele toeleveringsketen wordt CMMC snel het vierletterwoord dat ze niet kunnen vermijden.
CMMC GEDEFINIEERD
CMMC zet een nieuwe standaard van vertrouwen tussen de DOW en de bedrijven die haar ondersteunen.
In september vaardigde de DOW de langverwachte definitieve regel uit voor de implementatie van CMMC. Er staat dat federale contractanten nu hun vermogen moeten evalueren om gecontroleerde niet-geclassificeerde informatie, een brede categorie van gevoelige gegevens, te beschermen.
Volgens deze laatste regel, die van kracht geworden op 10 november zullen de CMMC-vereisten nu een contractuele voorwaarde zijn om in aanmerking te komen voor defensiewerk. De regel zal in drie jaar tijd worden ingevoerd, van zelfbeoordelingen tot verificatie door derden.
DE LAST VAN BEREIDING ZAL ONEVENREDIG VERDEELD WORDEN
De industriële defensiebasis omvat 220.000 bedrijven. Ongeveer 76.000, inclusief 57.000 kleine bedrijven – zullen binnen de komende zeven jaar minimaal CMMC-certificering niveau 2 nodig hebben. Duizenden zullen niet klaar zijn.
En het zijn geen marginale spelers. Het zijn leveranciers, onderaannemers, softwareontwikkelaars, technologiepartners en systeemintegrators. Voor velen zal dit hun eerste serieuze cybersecurity-audit zijn.
Niveau 2 legt de lat hoog. Aannemers moeten alle 110 beveiligingscontroles implementeren die zijn gedefinieerd in NIST SP 800-171. Dat betekent toegangscontrole. Plannen voor incidentrespons. Systeemintegriteit. Beheer van kwetsbaarheden. En voor certificering is een audit door een derde partij vereist, compleet met bewijsmateriaal, audittrails en herstelplannen.
Dan zijn er nog de kosten, die waarschijnlijk de kleinere leden van de DIB het hardst zullen treffen. Industrie schattingen zet de CMMC-naleving op meer dan $63 miljard in de komende twee decennia. Voor kleine en middelgrote bedrijven zullen nieuwe auditkosten rechtstreeks concurreren met R&D, inhurenen levering. Terwijl de grootste aannemers al tientallen jaren aan de CMMC-eisen voldoen, kunnen kleine bedrijven die onevenredig hoge nalevingskosten moeten maken, besluiten dat defensiewerk niet langer de moeite waard is.
De resultaten zullen de industriële defensiebasis hervormen. Verwacht consolidatie, spin-offs en overnames. De CMMC-status wordt weergegeven in diligence-decks. En het cyberrisico zal naast omzet en groei worden afgewogen.
COMPLIANCE ZAL DE MISSIE HERVORMEN
CMMC signaleert ook een bredere verschuiving zodra compliance niet langer een zelfbeheerde checkbox-oefening is. Workflows moeten controles insluiten. Bij gegevensbescherming moet rekening worden gehouden met locatie, apparaat, gebruikersidentiteit en context. Beveiliging moet met de gegevens meereizen. Dat geldt ook wanneer een aannemer een persoonlijk apparaat gebruikt, toegang heeft tot een cloudapplicatie of een missie ondersteunt vanaf een externe locatie.
Met andere woorden: de reikwijdte van CMMC zal van invloed zijn op de manier waarop het dagelijkse werk wordt gedaan, en zal door vrijwel elk aspect van onze economie heen lopen. CMMC zal softwareleveranciers, logistieke dienstverleners, opleidingsbedrijven, professionele dienstverlenende bedrijven en zelfs bedrijven die in geclassificeerde aangrenzende ruimtes opereren, vormgeven.
De tijd is nu om de defensie-industrie voor te bereiden op het behoud van haar bedrijven, het veiligstellen van onze natie en het ondersteunen van de missie van ons leger.
Steve Tchejeyan is de president van Island.
