ปัจจุบัน ฐานอุตสาหกรรมกลาโหมถูกครอบงำด้วยความลังเลเกี่ยวกับ Cybersecurity Maturity Model Certification 2.0 กฎขั้นสุดท้ายระหว่างกาลสำหรับ CMMC ที่เผยแพร่เมื่อปลายปี 2020 พบกับความสับสนและความโกลาหลเป็นอย่างมาก จนทำให้รองรัฐมนตรีกลาโหม Kathleen Hicks หยุดโปรแกรมชั่วคราวและสั่งให้มีการตรวจสอบภายใน ขณะนี้ CMMC 2.0 ได้รับการเผยแพร่แล้ว และถูกส่งไปยังสำนักงานการจัดการและงบประมาณเพื่อตรวจสอบแล้ว อย่างไรก็ตาม การตรวจสอบนั้นจะไม่เสร็จสิ้นจนกว่าจะถึงปี 2023 และช่องว่างของเวลาที่แทรกเข้ามาทำให้หลาย ๆ คนใน DIB
เข้าใจผิดว่าโปรแกรมมีแนวโน้มที่จะเปลี่ยนแปลงระหว่างนี้เป็นต้นไป หรือหายไปเลย
“เพื่อให้เข้าใจถึงความสำคัญของกฎที่เผยแพร่ในปี 2023 จำเป็นต้องดึงกล้องกลับไปจนถึงปี 2020” Jacob Horne หัวหน้าผู้เผยแพร่ข่าวด้านความปลอดภัยในโลกไซเบอร์ของ Summit 7 กล่าว “เมื่อต้นปี 2020 CMMC เวอร์ชันเริ่มต้น ถูกตีพิมพ์. มีการแก้ไขเล็กน้อยตลอดทั้งปี และเมื่อสิ้นปี 2020 กฎขั้นสุดท้ายชั่วคราวก็ออกมา และนั่นเป็นช่วงเวลา ‘บิ๊กแบง’ สำหรับผู้รับเหมาหลายรายใน DIB นี่คือตอนที่พวกเขาตระหนักว่าการประเมินกำลังมุ่งสู่สัญญา สิ่งที่พวกเขาไม่ได้ตระหนักก็คือว่าสิ่งนี้เป็นไปตามส้นเท้าของหลาย ๆ หลายปีที่นำไปสู่จุดนั้น. มีฟันเฟืองขนาดใหญ่จากผู้รับเหมาด้านการบินและอวกาศและการป้องกันที่สนับสนุนกระทรวงกลาโหม มีการขาดความเข้าใจอย่างร้ายแรงเกี่ยวกับการแยกระหว่างโปรแกรมและข้อกำหนดที่แท้จริง”
ตั้งแต่เริ่มก่อตั้ง การขาดความเข้าใจนี้เป็นศูนย์กลางของดราม่าเกี่ยวกับ CMMC CMMC ขึ้นอยู่กับการควบคุมที่นำเสนอในเอกสารเผยแพร่พิเศษของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ 800-171 การควบคุมเหล่านั้นจำเป็นต้องมีการดำเนินการสำหรับบริษัทที่จัดการข้อมูลC ควบคุมU nclassified I สำหรับกระทรวงกลาโหมเป็นเวลาหลายปี CMMC ส่วนใหญ่ไม่ได้เบี่ยงเบนไปจากข้อกำหนดเหล่านั้น เพิ่มการควบคุมเพียง 20 รายการและข้อกำหนดด้านวุฒิภาวะของกระบวนการสองข้อ และสิ่งเหล่านี้ Horne กล่าวว่าเป็นความซ้ำซ้อนจากข้อกำหนดเดิม
สิ่งที่ CMMC เปลี่ยนแปลงจริงๆ คือวิธีการตรวจสอบการใช้งาน
การควบคุมเหล่านั้น จนถึง CMMC ผู้ขายใน DIB ได้รับอนุญาตให้ยืนยันการปฏิบัติตามด้วยตนเอง กล่าวอีกนัยหนึ่ง DoD ยอมรับผู้รับเหมาว่า CUI และข้อมูลที่ละเอียดอ่อนอื่น ๆ ได้รับการคุ้มครองและคำนึงถึง แต่หลังจากผ่านไปหลายปีและการละเมิดหลายครั้ง ก็เห็นได้ชัดว่ามาตรฐานนั้นไม่ได้ผล DoD ต้องการวิธีที่จะทำให้บริษัทต่างๆ มีความรับผิดชอบ ดังนั้น CMMC จึงถือกำเนิดขึ้น
Horne ยังกล่าวด้วยว่าจริง ๆ แล้วมันไม่ได้เปลี่ยนแปลงมากนักหลังจากช่วงการตรวจสอบภายใน
“การเปลี่ยนแปลงระหว่างCMMC 1.0และ CMMC 2.0 ส่วนใหญ่เป็นเพียงผิวเผิน” เขากล่าว “CMMC 1.0 ไม่ใช่มาตรฐานที่สะอาดที่สุดและดำเนินการได้ดีที่สุดเท่าที่เคยมีมา สำหรับบริษัทเหล่านั้นที่มี CUI ความต้องการของพวกเขาใน CMMC 2.0 นั้นเหมือนกับที่เคยเป็นมาก่อน CMMC 1.0”
Horne กล่าวว่าสิ่งที่พวกเขาทำคือขจัดความซ้ำซ้อนออกไป การควบคุมเพิ่มเติม 20 รายการและข้อกำหนดด้านวุฒิภาวะของกระบวนการสองรายการหายไป ระดับสองและสี่ก็เช่นกัน Horne กล่าวว่าพวกเขาไม่เคยออกแบบมาเพื่อใช้ในสัญญาของรัฐบาล ดังนั้นสิ่งที่เหลืออยู่คือสามระดับ:
CMMC ระดับ 1: พื้นฐานสำหรับการทำธุรกิจกับรัฐบาลกลาง
CMMC ระดับ 2: การดำเนินการตาม NIST 800-171 โดยพื้นฐานแล้ว
CMMC ระดับ 3: แม้จะยอมรับว่าใหม่ แต่ดึงมาจากเอกสารที่สองที่เรียกว่า NIST 800-172 DoD ได้กล่าวว่ามีบริษัทเพียงไม่กี่แห่งที่ต้องการ CMMC ระดับ 3
การอัปเดตหลักอื่น ๆ ใน CMMC 2.0 คือที่ที่มีการประมวล ซึ่งหมายความว่ากฎได้รับการจัดตั้งขึ้นตามระบบอย่างเป็นทางการ กฎเดิมของปี 2020 ได้ปรับปรุงเฉพาะ Federal Acquisition Regulations โดยให้คำแนะนำเกี่ยวกับวิธีใส่ข้อกำหนดเหล่านี้ลงในสัญญา แต่CMMC 2.0 ยังถูกเพิ่มเข้าไปใน CFR Title 32 ทำให้เป็นโปรแกรมระดับเพนตากอน โดยนับเป็นโปรแกรมอันดับต้น ๆ ของโปรแกรมอื่น ๆ เช่น โปรแกรม Freedom of Information Act ของ DoD
credit : ฝากถอนไม่มีขั้นต่ำ