SecBoard
Zurück zur Übersicht

Industry Reactions to Pentagon Suspending CMMC Phase 2: Feedback Friday

SecurityWeek·
Originalartikel lesen bei SecurityWeek

Das Pentagon hat die Phase 2 der CMMC-Audits ausgesetzt, was bedeutet, dass Drittanbieter-Prüfungen vorerst pausieren. Die grundlegende rechtliche Verpflichtung zum Schutz von Controlled Unclassified Information (CUI) bleibt jedoch bestehen. Unternehmen müssen weiterhin Maßnahmen ergreifen, um CUI zu schützen, auch wenn externe Audits ausgesetzt sind.

Kurzfassung

Das Pentagon hat die Phase 2 der CMMC-Audits ausgesetzt, wodurch externe Prüfungen vorerst pausieren. Die rechtliche Verpflichtung zum Schutz von Controlled Unclassified Information (CUI) bleibt jedoch bestehen. Unternehmen müssen weiterhin Maßnahmen zum Schutz von CUI ergreifen und ihre Cybersicherheitslage verbessern.

Relevanz für Manager / CISOs
Priorität:Mittel
Betroffene

Verteidigungsunternehmen und deren Zulieferer, die mit dem US-Verteidigungsministerium zusammenarbeiten und Controlled Unclassified Information (CUI) verarbeiten.

Warum relevant

Obwohl externe Audits ausgesetzt sind, besteht die gesetzliche Verpflichtung zum Schutz von CUI weiterhin. Unternehmen müssen proaktiv ihre Cybersicherheitsmaßnahmen aufrechterhalten und verbessern, um zukünftigen CMMC-Anforderungen gerecht zu werden und rechtliche Konsequenzen zu vermeiden.

Realistisches Worst Case

Nichteinhaltung der CUI-Schutzanforderungen könnte zu rechtlichen Konsequenzen, Vertragsverlusten und Reputationsschäden führen, selbst ohne sofortige externe Audits.

Handlungsempfehlung

Unternehmen sollten ihre internen Cybersicherheitskontrollen und -richtlinien zum Schutz von CUI überprüfen und kontinuierlich verbessern, unabhängig von externen Audit-Zeitplänen.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie, ob Ihre Organisation über aktuelle Richtlinien und Verfahren zum Schutz von Controlled Unclassified Information (CUI) verfügt.
  • Validieren Sie, ob technische Kontrollen (z.B. Zugriffsbeschränkungen, Verschlüsselung) für CUI-Daten implementiert und wirksam sind.
  • Führen Sie interne Audits oder Selbstbewertungen durch, um die Einhaltung der CUI-Schutzanforderungen zu überprüfen und Lücken zu identifizieren.
Offene Punkte
  • Der genaue Zeitrahmen für die Wiederaufnahme der CMMC Phase 2 Audits ist nicht im Artikel angegeben.
  • Spezifische Details zu den Gründen für die Aussetzung der Audits sind nicht im Artikel genannt.
  • Es werden keine konkreten Tools oder Techniken erwähnt, die von Angreifern genutzt werden könnten, da es sich um eine regulatorische Änderung handelt.
Themen
ComplianceGovernmentManagement & StrategyCMMCcomplianceFeedback Friday