Em um cenário onde as ameaças cibernéticas estão se tornando cada vez mais sofisticadas, o Departamento de Defesa dos Estados Unidos (DoD) criou o Cybersecurity Maturity Model Certification 2.0 (CMMC 2.0) para fortalecer a segurança cibernética da Base Industrial de Defesa (DIB). Essa atualização visa garantir que os contratantes e subcontratantes que lidam com informações sensíveis implementem práticas de cibersegurança robustas para proteger dados fundamentais para a segurança nacional. Com isso, o CMMC 2.0 se torna uma chave para garantir que as organizações atendam aos padrões exigidos para proteger Informações Contratuais Federais (FCI) e Informações Controladas Não Classificadas (CUI).
O que muda com o CMMC 2.0?
O CMMC 2.0 surgiu como uma versão mais simplificada e eficiente do modelo original de Certificação de Maturidade em Cibersegurança. Originalmente composto por cinco níveis de conformidade, o novo modelo foi ajustado para apenas três níveis, tornando a implementação mais direta e acessível para as organizações, sem comprometer a segurança das informações. Cada nível do CMMC 2.0 é alinhado com os padrões do Instituto Nacional de Padrões e Tecnologia dos Estados Unidos (NIST), como o NIST SP 800-171 e o NIST SP 800-172, e oferece um caminho claro para a proteção de dados sensíveis.
Objetivo do CMMC 2.0
O principal objetivo do CMMC 2.0 é garantir que os contratantes do DoD adotem práticas de cibersegurança adequadas para proteger FCI e CUI dentro da DIB. Isso é particularmente importante para evitar que informações confidenciais caiam nas mãos erradas, o que poderia comprometer a segurança nacional. A exigência de conformidade abrange não apenas os contratantes principais, mas todos os fornecedores dentro da cadeia de defesa, incluindo fornecedores estrangeiros, equipes de TI gerenciadas por terceiros e qualquer outra entidade que lide com dados sensíveis no âmbito da Defesa.
O CMMC 2.0 organiza a conformidade em três níveis principais, cada um adaptado à sensibilidade das informações que a organização lida:
Nível 1 – Fundacional
O primeiro nível exige que os contratantes implementem práticas básicas de cibersegurança para proteger as Informações Contratuais Federais (FCI). Para estar em conformidade com o Nível 1, as organizações devem adotar 15 requisitos de segurança definidos pelo Federal Acquisition Regulation (FAR). A conformidade pode ser verificada por meio de autoavaliações anuais.
Nível 2 – Avançado
O Nível 2 é voltado para as organizações que lidam com Informações Controladas Não Classificadas (CUI). Esse nível exige que as empresas implementem 110 controles de segurança, de acordo com o NIST SP 800-171. Entre os controles, estão áreas como Controle de Acesso (AC), Avaliação de Riscos (RA) e Proteção de Sistemas (SC). A conformidade pode ser verificada por meio de autoavaliações ou por uma auditoria realizada por uma Organização de Avaliação Certificada de Terceiros (C3PAO).
Nível 3 – Especialista
O Nível 3 é o nível mais alto, destinado às organizações que lidam com CUI altamente sensível e estão expostas a ameaças avançadas. Nesse nível, as empresas precisam atender a um subconjunto dos requisitos do NIST SP 800-172, sendo avaliadas a cada três anos por autoridades governamentais.
Como funciona a conformidade com o CMMC 2.0?
Para alcançar a conformidade com o CMMC 2.0, as organizações precisam adotar as práticas de segurança recomendadas para o nível específico em que estão classificadas. No caso do Nível 1, isso pode ser feito por meio de autoavaliações anuais, enquanto no Nível 2 ou 3, a conformidade pode ser verificada por uma avaliação externa. Se houver deficiências nos processos de cibersegurança, as empresas devem elaborar um Plano de Ação e Marcos (POA&M), detalhando as correções e os prazos para atingir a conformidade total.
Cronograma de implementação
O DoD tem um cronograma claro para a implementação do CMMC 2.0. O regulamento final (32 CFR) será publicado em outubro de 2024, seguido de um período de 60 dias para comentários públicos. A expectativa é que os novos requisitos sejam aplicados aos contratos a partir de 2025, com a implementação completa prevista para 2028. Isso significa que as organizações precisam se preparar rapidamente para garantir que atendem aos novos padrões de cibersegurança.
Por que a conformidade com o CMMC 2.0 é importante?
Cumprir os requisitos do CMMC 2.0 não é apenas uma exigência governamental; é uma questão de segurança para as organizações envolvidas. As empresas que não conseguirem se adequar ao novo modelo de conformidade podem ser desqualificadas de contratos com o DoD, o que pode prejudicar seus negócios em um setor que movimentou aproximadamente US$ 456 bilhões em contratos no ano fiscal de 2023.
Além disso, a não conformidade pode ter consequências financeiras sérias. De acordo com o relatório IBM 2024 sobre o Custo de Vazamentos de Dados, o valor médio de uma violação de dados nos Estados Unidos é de US$ 9,36 milhões. Dado o valor estratégico dos dados na Base Industrial de Defesa, os riscos de um vazamento são ainda maiores. As organizações precisam garantir que adotem práticas de cibersegurança adequadas para evitar essas perdas financeiras e proteger sua reputação.
A conformidade com o CMMC 2.0 também traz benefícios a longo prazo para as próprias organizações. Ao adotar as boas práticas de cibersegurança do NIST SP 800-171, as empresas ficam mais preparadas para enfrentar ameaças como ransomware, phishing e ataques direcionados a empresas menores na cadeia de suprimentos. Ao garantir a segurança de seus sistemas e dados, elas também reforçam sua posição no mercado e conquistam a confiança de clientes e parceiros.
O CMMC 2.0 é uma evolução essencial nas estratégias de segurança cibernética do DoD, com o objetivo de proteger sua cadeia de fornecimento contra ameaças cibernéticas. Com a adoção de práticas de segurança alinhadas aos padrões do NIST, o modelo oferece um caminho claro para as organizações melhorarem sua postura de cibersegurança. Para os contratantes e subcontratantes do DoD, é fundamental se preparar para a conformidade com o CMMC 2.0, garantindo não apenas a continuidade nos contratos, mas também a proteção das informações sensíveis contra riscos cibernéticos.
À medida que o cronograma de implementação avança, as organizações precisam agir rapidamente para atender aos requisitos exigidos e garantir que suas operações sigam seguras e protegidas. A conformidade com o CMMC 2.0 não é apenas uma exigência do governo; é uma forma de garantir a segurança, a confiança e a competitividade no setor de defesa.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Telecom!
