• Ulrik Holm Nielsen

Nye krav til virksomheder som leverer til det amerikanske forsvar

Opdateret: juli 30

US Department of Defense, stiller nu krav om en bedre cybersikkerhed hos deres 300.000 leverandører. Det betyder, at man skal have en Cybersecurity Maturity Model certificering (CMMC), for at deltage i fremtidige udbud. Kravene gælder også danske virksomheder.


Facts om CMMC

Cybersecurity Maturity Model Certification - også kaldet CMMC - er et helt nyt rammenetværk indenfor IT-sikkerhed. Det er udviklet i et samarbejde mellem Carnegie-Mellon universitet, forsvarsindustrien (DIB) og det amerikanske forsvarsministerium (US Department of Defense – DoD).

Baggrund for CMMC

Formålet med CMMC er primært at sikre, at DoD data beskyttes igennem hele fødekæden (supply chain). DoD data benævnes også som Controlled Unclassified Information (CUI) og kan være oplysninger om tilbud, udviklingsplaner, tekniske tegninger, teknologi samt meget andet. Herudover har DoD selvfølgeligt også et generelt ønske om at forbedre cyber sikkerheden hos leverandører og underleverandører.

Et krav for at deltage i udbud

Virksomheder, der ønsker at komme i betragtning til fremtidige DoD udbud, vil blive mødt med et krav om CMMC. Det gælder både hovedleverandører (prime) og under- leverandører. De første 10-11 udbud med krav om CMMC, forventes således allerede klar i oktober 2020. Alle udbud forventes at indeholde krav om CMMC inden 2026.

300.000 virksomheder skal certificeres

DoD forventer, at ca. 300.000 virksomheder skal igennem CMMC indenfor de næste 5 år. Alene i 2021 forventer man, at 7.500 virksomheder gennemfører CMMC.

Fem forskellige sikkerhedsniveauer

CMMC er inddelt i fem niveauer (levels), hvor et er det laveste niveau og fem det højeste. Level et og to stiller krav om basis sikkerhed, level tre om et formaliseret IT-sikkerheds setup, imens level fire og fem stiller krav om avanceret IT-sikkerhed og overvågning.

Man vælger selv sikkerhedsniveau

Man vælger selv det sikkerhedsniveau, man vil certificeres efter. Det vil typisk være afhængigt af den ydelse, man leverer til DoD og fremgå af udbuddet. Leverandører af ”nuts & bolts”, kan formentlig nøjes med level et eller to, imens teknologileverandører skal certificeres indenfor level tre, fire eller fem. Virksomheder, som kun producerer ”Commercial-Off-The-Shelf” (COTS) produkter, behøver ikke CMMC.

Det tager tid at blive klar til CMMC

CMMC er i høj grad baseret på NIST800-171 rammenetværket, som omhandler beskyttelse af Controlled Unclassified Information (CUI). For virksomheder som i forvejen har implementeret og efterlever NIST800-171 (DFARS), er vejen til CMMC ikke lang. Her kan man være klar til en level tre certificering indenfor måneder. Har man derimod ingen, eller få NIST800-171 kontroller implementeret og vil certificeres til level tre eller højere, kan det hurtigt tage et år, eller mere at bliver klar.

Afledte fordele for virksomheden

Kigger man på CMMC med IT-sikkerhedsbriller, vil level tre (eller højere), forbedre virksomhedens IT-sikkerhed betragteligt. Der stilles bl.a. store krav til ledelse, IT-afdeling og medarbejdere, der skal samarbejde, om at sikre og bibeholde et højt sikkerhedsniveau. Udover den forbedrede IT-sikkerhed viser man overfor omverdenen, at man rent faktisk tager IT-sikkerhed alvorligt. Det kan i sig selv være en konkurrenceparameter – især overfor DoD, som har et årligt budget på over USD 700 mia. i 2020.

Hvem skal stå for certificeringen?

Det er endnu ikke afgjort, hvem der skal være Accreditation Body (AB) i Danmark. Altså den virksomhed der skal stå for certificeringen på vegne af DoD. Den danske ambassade i Washington DC, arbejder i øjeblikket sammen med DoD, for at finde en AB der kan certificere danske virksomheder. Indtil da er det blot at komme i gang med, at klargøre til CMMC. En CMMC har i øvrigt en gyldighed på 3 år, hvorefter den skal fornys. Hvem skal betale for CMMC?

I første omgang er det virksomheden selv, som afholder omkostninger til CMMC. Ifølge det amerikanske advokatfirma Fox Rothchild, er det endnu ikke afgjort om virksomheder får mulighed for at søge DoD, om refusion for omkostninger; direkte eller indirekte. Læs mere her.

Værktøjer og links

CenSec (Center for Sikkerhedsindustrien i Danmark):

Et godt sted at finde ligesindede virksomheder, som (også) skal igennem CMMC.

https://censec.dk

CMMC academy: Værktøjer, webinars og andet omkring CMMC. Gratis at deltage. Sponseres bl.a. af American-Danish Business Council (gennem ambassaden).

https://www.celerium.com/cmmc-academy-for-defense-suppliers


CMMC framework:

https://www.acq.osd.mil/cmmc/draft.html

NIST800-171r2 oversigt (PDF): https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-171r2.pdf

Om CUI: https://www.dcsa.mil/mc/ctp/cui/

DFARS om CUI (PDF):

https://www.acq.osd.mil/eie/Downloads/IE/DFARS%207012%20Information%20Paper.pdf

Læs mere om hvordan vi kan hjælpe med at klargøre din virksomed til CMMC