DoD plănuiește sesiuni de consultare CMMC pe fondul întrebărilor legate de revizuire
Revizuirea CMMC ar putea duce la „totul, de la o reorganizare completă, la mici ajustări”, a declarat Kirsten Davies, CIO-ul DoD, după prima întâlnire a echipei de revizuire. Pentagonul dorește să avanseze rapid în evaluarea programului de Certificare a Maturității Cibernetice, dar există multe întrebări cu privire la modul în care oficialii din apărare pot aborda diferit problemele de conformitate pentru micile afaceri și necesitatea de a impune cerințele de securitate cibernetică, conform federalnewsnetwork.com.
👉 Începutul revizuirii și implicarea liderilor în vizita la producătorul de apărare Kform
Echipa de revizuire CMMC s-a reunit pentru prima dată pe 16 iulie, iar Kirsten Davies a declarat reporterilor, în aceeași zi, în timpul unei vizite la o unitate de producție a Kform, un mic producător de apărare din Sterling, Virginia. Davies a fost însoțită în vizită de Kelly Loeffler, Administratorul pentru Afaceri Mici, și de Michael Duffey, Subsecretar de Stat pentru Achiziții și Susținere. Davies a subliniat că considerentele pentru micile afaceri au fost centrale în decizia de a suspenda cerințele de evaluare CMMC efectuate de terți și de a lansa o revizuire „de sus până jos” a programului. Scopul este de a aborda costurile și problemele de conformitate care, conform lui Davies, Loeffler și Duffey, creează obstacole pentru companiile mai mici în a concura pentru contracte de apărare.
„Am luat această măsură deoarece datele, inclusiv rapoartele de la Administrația pentru Afaceri Mici, fac un lucru foarte clar: progresia cerințelor noastre de conformitate create costuri prohibitive și poveri inacceptabile pentru baza industrială de apărare”, a afirmat Davies. DoD a publicat o solicitare de informații privind revizuirea CMMC. Oficialii vor organiza, de asemenea, sesiuni de consultare în întreaga țară pentru a obține feedback de la contractori de apărare, „în special de la micile afaceri, și de la operatorii și executivii de securitate cibernetică care își servesc companiile,” a spus Davies. „Dorim să aflăm părerea bazei industriale de apărare, dorim să auzim chiar și de la Cyberspațiu, de la evaluatorii înșiși, pentru a afla care sunt ideile lor pentru a crește și îmbunătăți securitatea cibernetică și reziliența operațională, dar și pentru a îmbunătăți viteza, inovația și livrarea capabilităților către combatanți”, a adăugat ea.
👉 Cronologia revizuirii și criticile aduse evaluărilor CMMC
Davies a menționat că echipa de revizuire are 60 de zile pentru a colecta feedback și a evalua programul, urmând ca apoi să aibă 15 zile pentru a prezenta un raport cu recomandări atât pentru ea, cât și pentru Duffey. Această cronologie ar putea vedea revizuirea CMMC finalizată până la sfârșitul lunii septembrie. „Sperăm ca imediat după aceea să putem face public acel raport împreună cu recomandările,” a spus Davies. În timpul revizuirii, DoD a suspendat cerințele de evaluare CMMC efectuate de terți, care urmau să devină standard în multe contracte de apărare începând cu data de 10 noiembrie.
Davies și alți oficiali au fost critici asupra abordării evaluărilor CMMC pe parcursul săptămânii precedente. Ea a numit evaluările CMMC ca fiind o „metodă plină de birocrație, un control formal, o vedere punctuală a modului în care o companie gestionează” datele sensibile. Totuși, Davies nu a clarificat dacă revizuirea va elimina complet evaluările efectuate de terți. „Ar putea include totul, de la o reorganizare completă la mici ajustări,” a spus ea. „Dar ceea ce nu vom face este a muri prin o mie de tăieturi și doar a schimba de dragul schimbării. Vom asculta ceea ce baza industrială de apărare are de spus, în special companiile mici și inovatoare. Și vom încorpora vocea companiilor mici pentru a ne asigura că reducem cu adevărat obstacolele la intrare pentru a face afaceri.”
Pentru a susține suspendarea în curs, Duffey a emis o notă prin care a direcționat ofițerii programului să elimine orice cerințe de certificare CMMC de la evaluările active. Iar dacă departamentul decide să reformeze programul în urma revizuirii, oficialii ar putea utiliza deviații de clasă sau reguli interimare pentru a schimba rapid direcția, conform lui Sandeep Kathuria, partener la firma de avocatură Saul Ewing. „Am văzut în multe domenii că această administrație poate să se miște foarte repede pentru a face modificări reglementare,” a spus Kathuria. DoD a început pentru prima dată dezvoltarea programului CMMC în 2019, în timpul primei administrații Trump, pentru a verifica conformitatea cu cerințele existente de securitate cibernetică. Auditele inspectorului general și alte rapoarte au constatat că contractorii din domeniul apărării se autodeclarau fals în ceea ce privește respectarea cerințelor. „Reglementările sunt în mare parte bazate pe faptul că autodeclarările nu funcționau, iar dovada acestui lucru erau incidentele semnificative de securitate cibernetică de care departamentul a fost victimă din partea diferitelor actori statali,” a declarat Eric Crusius, partener și președinte al practicii de contracte guvernamentale la Hunton Andrews Kurth, pentru Federal News Network. Ultima revizuire CMMC vine la cinci ani după ce administrația Biden a lansat propria revizuire a programului, care a fost motivată, de asemenea, în mare parte de preocupările legate de conformitatea micilor afaceri.