Die CMMC-Vertragsklausel ist da: Was Verteidigungsunternehmen wissen müssen

Letzte Woche wurde ein wichtiger Meilenstein im Rahmen des Programms „Cybersecurity Maturity Model Certification 2.0” (CMMC) erreicht, einem Programm des US-Verteidigungsministeriums (DoD), das die Sicherheit sensibler DoD-Informationen in den Informationssystemen von Auftragnehmern gewährleisten soll. Das DoD veröffentlichte eine Vertragsklausel, wonach die Einhaltung der CMMC-Anforderungen bereits in zwei Monaten zur Voraussetzung für die Vergabe von Aufträgen wird. Im vergangenen Jahr hat das DoD die technischen Anforderungen des CMMC-Programms fertiggestellt und die Anforderungen in 32 C.F.R. Part 170 kodifiziert. Diese Vorschriften haben das CMMC-Programm und das CMMC-Bewertungs- und Zertifizierungs-Ökosystem offiziell eingeführt, aber sie enthielten keinen Mechanismus, mit dem die Vertragsbeauftragten des DoD die Einhaltung des CMMC-Programms in DoD-Verträgen durchsetzen könnten. Die endgültige Regelung vom 10. September 2025 (die „CMMC-Vertragsregelung”) schließt diese Lücke und ermöglicht es dem Verteidigungsministerium, ab dem 10. November 2025 die Einhaltung der CMMC-Vorschriften als Voraussetzung für die Vergabe von Aufträgen zu verwenden. 

Dieser Artikel bietet zunächst eine Auffrischung zum CMMC-Programm, identifiziert dann einige wichtige Erkenntnisse für Verteidigungsunternehmen und Subunternehmer aus der CMMC-Vertragsregelung und empfiehlt schließlich einige Maßnahmen zur Verbesserung der CMMC-Bereitschaft Ihres Unternehmens, da das Programm in den kommenden Monaten und Jahren in Verteidigungsverträgen eingeführt wird.  

Was ist CMMC noch einmal?

CMMC ist der Mechanismus des US-Verteidigungsministeriums zur Überprüfung, ob Verteidigungsunternehmen die bestehenden Cybersicherheitsanforderungen erfüllen. Seit seiner Ankündigung im Jahr 2019 hat CMMC mehrere Verzögerungen und Reformen durchlaufen, gilt jedoch als Schlüssel zur Stärkung der Sicherheit in der gesamten Verteidigungsindustrie (DIB) und zur Gewährleistung, dass Auftragnehmer die Daten des Verteidigungsministeriums in einer Zeit schützen, in der Cyberangriffe immer häufiger und komplexer werden. 

Auf hoher Ebene verlangt das CMMC-Programm von Verteidigungsunternehmen, dass sie Cybersicherheitsstandards erfüllen, die sich nach der Sensibilität der von ihnen verarbeiteten Informationen richten, und jährlich eine Konformitätsbescheinigung vorlegen. Das Modell umfasst die folgenden drei Zertifizierungsstufen, die von grundlegenden Schutzmaßnahmen für Informationen aus Bundesverträgen (FCI) bis hin zu strengeren Anforderungen für kontrollierte, nicht klassifizierte Informationen (CUI) reichen:

• Stufe 1 umfasst ausschließlich Verträge mit FCI und erfordert die Einhaltung der 15 Sicherheitskontrollen, die derzeit in der Federal Acquisition Regulation (FAR) Klausel 52.204-21, Grundlegender Schutz der Informationssysteme von Auftragnehmern, aufgeführt sind. Die Einhaltung der Stufe 1 erfordert eine Selbstbewertung, die jährlich durchgeführt werden muss, sowie eine jährliche Bestätigung der Einhaltung.
• Stufe 2 umfasst Verträge mit CUI und erfordert die Einhaltung der 110 Sicherheitskontrollen in der Sonderveröffentlichung (SP) 800-171, Rev. 2 des National Institute of Standards and Technology (NIST). Je nach Art der CUI, die von Auftragnehmern in ihren Informationssystemen verarbeitet, gespeichert oder übertragen wird, können einige Auftragnehmer, die den Anforderungen der CMMC-Stufe 2 unterliegen, eine jährliche Selbstbewertung durchführen, während andere eine Überprüfung durch eine zertifizierte externe Bewertungsorganisation (C3PAO) benötigen. Konformitätsbescheinigungen der Stufe 2, sei es durch Selbstbewertung oder C3PAO-Zertifizierung, sind alle drei Jahre erforderlich.
• Level 3 ist eine strengere Sicherheitsstufe, die für Verträge mit CUI erforderlich ist, die vom Verteidigungsministerium als besonders sensibel eingestuft werden. Auftragnehmer, die CMMC-Level-3-Verträge abschließen möchten, müssen die 110 Sicherheitskontrollen in NIST SP 800-171, Rev. 2, sowie die 24 zusätzlichen Kontrollen in NIST SP 800-172 erfüllen.  Nach Erhalt der C3PAO-Zertifizierung der Stufe 2 müssen Auftragnehmer, die eine CMMC-Zertifizierung der Stufe 3 anstreben, eine Zertifizierung vom DIB Cybersecurity Assessment Center (DIBCAC) der Defense Contract Management Agency (DCMA) einholen. Diese DIBCAC-Bewertung der Stufe 3 muss alle drei Jahre durchgeführt werden, um den CMMC-Status der Stufe 3 (DIBCAC) aufrechtzuerhalten.

Wichtige Erkenntnisse für Auftragnehmer aus der CMMC-Vertragsregelung

1) CMMC-Anforderungen können in weniger als zwei Monaten in Ausschreibungen und Verträgen des Verteidigungsministeriums auftauchen.

Die CMMC-Vertragsregelung gibt dem Verteidigungsministerium die Möglichkeit, die CMMC-Vertragsklausel in Ausschreibungen aufzunehmen und damit die Einhaltung der CMMC-Vorgaben zu einer Bedingung für die Auftragsvergabe zu machen, und zwar bereits ab dem 10. November 2025. 

2) Was ist während der schrittweisen Einführung des CMMC durch das US-Verteidigungsministerium zu erwarten?

Die CMMC-Vertragsregelung bezieht sich auf die schrittweise Umsetzung der CMMC-Anforderungen gemäß 32 C.F.R. § 170.3. In dieser Verordnung wurde die Absicht des Verteidigungsministeriums bekannt gegeben, CMMC in den nächsten drei Jahren in vier Phasen umzusetzen.  

• Phase 1: Ab dem 10. November 2025 erfordern entsprechende Ausschreibungen und Verträge CMMC Level 1 (Selbst) oder Level 2 (Selbst) als Voraussetzung für die Auftragsvergabe. Das Verteidigungsministerium hat außerdem die Möglichkeit, CMMC Level 1 (Selbst) oder Level 2 (Selbst) für Optionen zu verlangen, die nach dem 10. November 2025 für Verträge ausgeübt werden, die vor dem 10. November 2025 abgeschlossen wurden, sowie für einige Beschaffungen CMMC Level 2 (C3PAO) anstelle von Level 2 (Selbst) vorzuschreiben.
• Phase 2: Ab dem 10. November 2026 erfordern entsprechende Ausschreibungen und Verträge CMMC-Level-2-C3PAO-Bewertungen als Voraussetzung für die Auftragsvergabe. Das Verteidigungsministerium kann nach eigenem Ermessen die Aufnahme von CMMC Level 2 (C3PAO) in eine Optionsfrist verschieben, anstatt sie als Bedingung für die Auftragsvergabe festzulegen. Das Verteidigungsministerium kann nach eigenem Ermessen auch die Anforderung für CMMC Level 3 (DIBCAC) für bestimmte Beschaffungen aufnehmen.
• Phase 3: Ab dem 10. November 2027 erfordern entsprechende Ausschreibungen und Verträge CMMC-Level-2-Bewertungen (C3PAO) als Voraussetzung für die Auftragsvergabe und als Voraussetzung für die Ausübung einer Optionsfrist durch das Verteidigungsministerium für Verträge, die nach dem 10. November 2025 vergeben werden. Das Verteidigungsministerium wird außerdem die Anforderung für CMMC Level 3 (C3PAO) als Bedingung für die Auftragsvergabe für entsprechende Ausschreibungen und Verträge aufnehmen. Das Verteidigungsministerium kann nach eigenem Ermessen die Anforderung für CMMC Level 3 (C3PAO) auf eine Optionsfrist verschieben, anstatt sie als Bedingung für die Auftragsvergabe festzulegen.
• Phase 4: Ab dem 10. November 2028 werden die CMMC-Anforderungen in alle geltenden Ausschreibungen und Verträge des Verteidigungsministeriums sowie in Optionsfristen für Verträge aufgenommen, die vor dem 10. November 2028 vergeben wurden.

3) Welche Verträge des Verteidigungsministeriums sind betroffen?

Wenn die CMMC-Vertragsregelung am 10. November 2025 in Kraft tritt und das Programmbüro oder die anfordernde Stelle feststellt, dass ein Auftragnehmer über ein bestimmtes CMMC-Niveau verfügen muss, können Vertragsbeauftragte damit beginnen, die DFARS-Klausel 252.204-7021 in Ausschreibungen und Verträge aufzunehmen und das für die Beschaffung erforderliche CMMC-Niveau in der DFARS-Klausel 252.204-7025 anzugeben. Dies umfasst Ausschreibungen und Verträge für kommerzielle Produkte und Dienstleistungen sowie Verträge aller Wertklassen. 

Die einzige Ausnahme, die in der endgültigen Regelung vorgesehen ist, besteht darin, dass die DFARS-Klausel 252.204-7021 nicht für Ausschreibungen und Verträge gilt, die ausschließlich den Erwerb von handelsüblichen Standardprodukten (COTS) zum Gegenstand haben. COTS-Artikel sind Lieferartikel, die: (i) in erheblichen Mengen auf dem kommerziellen Markt verkauft werden und (ii) der Regierung im Rahmen eines Vertrags oder Untervertrags auf jeder Ebene ohne Änderungen in derselben Form angeboten werden, in der sie auf dem kommerziellen Markt verkauft werden. Infolgedessen würde jede Art von Produktmodifikation, selbst wenn diese Modifikation auf dem kommerziellen Markt Standard ist, das Produkt zu einem Nicht-COTS-Artikel machen und den Vertrag möglicherweise den CMMC-Konformitätsanforderungen unterwerfen. 

Darüber hinaus haben Vertragsbeauftragte die Möglichkeit, bestehende Verträge, die vor dem 10. November 2025 vergeben wurden, bilateral zu ändern, um DFARS 252.204-7021 „basierend auf den Anforderungen des Verteidigungsministeriums“ aufzunehmen. Auftragnehmer sollten solche Änderungen sorgfältig prüfen und die Einhaltung sicherstellen, bevor sie die DFARS-Klausel in ihrem Vertrag akzeptieren.

Ab dem 10. November 2028 muss das Verteidigungsministerium die DFARS-Klausel 252.204-7021 in Ausschreibungen und Verträgen aufnehmen, mit Ausnahme von Verträgen, die ausschließlich COTS-Artikel betreffen, wenn „die Programmstelle oder die anfordernde Stelle feststellt, dass der Auftragnehmer bei der Erfüllung des Vertrags, des Arbeitsauftrags oder des Lieferauftrags Auftragnehmer-Informationssysteme zur Verarbeitung, Speicherung oder Übertragung von FCI oder CUI verwenden muss“. Infolgedessen müssen ab dem 10. November 2028 im Wesentlichen alle Ausschreibungen und Verträge des Verteidigungsministeriums, mit Ausnahme derjenigen, die sich ausschließlich auf COTS-Artikel beziehen, ein gewisses Maß an CMMC-Konformität aufweisen.

4) Kein CMMC, kein Vertrag 

Bevor ein Auftrag an einen erfolgreichen Bieter vergeben wird, muss das Verteidigungsministerium überprüfen, ob dieser Bieter über den erforderlichen CMMC-Status im SPRS verfügt. Mit anderen Worten: Die endgültige Regelung sieht eine Durchsetzungsmöglichkeit vor, die es Vertragsbeauftragten ermöglicht, eine Zertifizierung (oder je nach Stufe eine Selbstbescheinigung) als Voraussetzung für die Vertragsfähigkeit zu verlangen. Dies ist eine bedeutende operative Wende – die Verlagerung des CMMC von der Politik zur Beschaffung, indem die Verwendung der CMMC-DFARS-Klausel in Ausschreibungen und Verträgen des Verteidigungsministeriums genehmigt und die Einhaltung des CMMC als Voraussetzung für die Auftragsvergabe verlangt wird. 

5) Der „bedingte“ CMMC-Status kann Auftragnehmern, die noch einige Cybersicherheitsmaßnahmen durchführen müssen, eine vorübergehende (wir wiederholen: vorübergehende) Atempause verschaffen.

Wichtig ist, dass die CMMC-Vertragsregelung ein gewisses Maß an Flexibilität bietet, indem sie die Vergabe an einen Auftragnehmer mit einem „bedingten” CMMC-Status der Stufen 2 und 3 erlaubt, wenn die Dauer des bedingten Status weniger als 180 Tage beträgt. Um einen „bedingten” Status der Stufen 2 oder 3 in einen endgültigen CMMC-Status umzuwandeln, muss der Auftragnehmer seinen Aktions- und Meilensteinplan (POA&M) für die noch nicht erfüllten Anforderungen erfolgreich abschließen.  Da der „bedingte” Status nur für 180 Tage akzeptabel ist, muss der Auftragnehmer sicherstellen, dass er alle nicht erfüllten Anforderungen innerhalb von 180 Tagen nach der bedingten Genehmigung behebt. Die CMMC-Vorschriften legen bestimmte physische Sicherheitsanforderungen fest, die für eine bedingte Genehmigung erfüllt sein müssen, und diese Anforderungen können nicht Teil eines POA&M sein. 

Wenn der Auftragnehmer die erforderlichen Abhilfemaßnahmen nicht innerhalb der 180-Tage-Frist durchführt, erlischt der bedingte CMMC-Status, und das Verteidigungsministerium kann die üblichen vertraglichen Rechtsmittel, einschließlich der Kündigung des Vertrags, geltend machen. Darüber hinaus kommt der Auftragnehmer für weitere Verträge mit CMMC-Anforderungen erst dann in Frage, wenn er den erforderlichen CMMC-Status erreicht hat.

6) Überlegungen zum Flow Down und Implementierung von Prozessen zur Überprüfung des CMMC-Status von Subunternehmern 

Die CMMC-Vertragsklausel DFARS 252.204-7021 muss von Hauptauftragnehmern und höherrangigen Subunternehmern in Unterverträgen enthalten sein, die eine Anforderung zur Verarbeitung, Speicherung oder Übertragung von FCI oder CUI enthalten. Damit liegt es in der Verantwortung der höherrangigen Auftragnehmer, zu beurteilen, welche Arten von Informationen ihre Subunternehmer verarbeiten, speichern und übertragen müssen, um zu bestimmen, ob CMMC-Anforderungen weitergegeben werden müssen und welcher Grad an CMMC-Konformität für den Subunternehmer gilt.  Vor der Vergabe eines Untervertrags, der einer CMMC-Anforderung unterliegt (mit Ausnahme von Unterverträgen, die ausschließlich COTS-Artikel betreffen), ist der Hauptauftragnehmer oder der höherrangige Subunternehmer dafür verantwortlich, zu bestätigen, dass der Subunternehmer über eine aktuelle CMMC-Selbstbewertung oder ein Zertifikat für die erforderliche CMMC-Stufe verfügt. Leider hat derzeit nur das Verteidigungsministerium Zugang zum SPRS (dem System, in dem Unternehmen ihren CMMC-Status melden), sodass Auftragnehmer höherer Ebenen festlegen müssen, welche Unterlagen sie von Subunternehmern benötigen (z. B. Zertifizierungen oder SPRS-Screenshots), um die Konformität des Subunternehmers zu überprüfen. 

7) Wesentliche Änderungen vom Regelungsentwurf zur endgültigen Regelung

Die vorgeschlagene Regelung enthielt die Auflage für Auftragnehmer, die Vertragsbehörde innerhalb von 72 Stunden zu benachrichtigen, „wenn während der Vertragserfüllung Lücken in der Informationssicherheit oder Änderungen des Status des CMMC-Zertifikats oder der CMMC-Selbstbewertungsstufen auftreten“. Die vorgeschlagene Regelung definierte nicht genau, was das Verteidigungsministerium unter „Lücken in der Informationssicherheit“ verstand. In Anbetracht der Schwierigkeit, diese Anforderung zu erfüllen, und der Feststellung, dass die DFARS-Klausel bereits ausreichende Schutzmaßnahmen in der Definition des „aktuellen“ CMMC-Status, der jährlichen Bestätigungspflicht und der Meldung von Cybervorfällen innerhalb von 72 Stunden enthält, hat das Verteidigungsministerium die Anforderung für Auftragnehmer, „Verstöße gegen die Informationssicherheit“ oder Änderungen in Bezug auf die Einhaltung von 32 CFR Part 170 zu melden, aus der endgültigen CMMC-Vertragsklausel gestrichen. Damit ein CMMC-Status als „aktuell“ gilt, dürfen seit dem CMMC-Statusdatum keine Änderungen in der Einhaltung der Anforderungen in 32 CFR Part 170 vorgenommen worden sein.

Empfohlene Maßnahmen für Auftragnehmer zur Vorbereitung auf vertragliche CMMC-Anforderungen

Die Vorbereitung auf die CMMC-Konformität erfordert strategische Planung und Engagement. Hier sind die wichtigsten umsetzbaren Schritte, die Verteidigungsunternehmen unternehmen müssen, um ihre Berechtigung für DoD-Verträge aufrechtzuerhalten:

1. Identifizieren Sie alle Informationssysteme, die Sie zur Speicherung, Verarbeitung oder Übertragung von FCI oder CUI während der Erfüllung Ihrer DoD-Verträge und Unterverträge verwenden würden, sowie die Art der Informationen, die über jedes System gespeichert, verarbeitet oder übertragen werden. Anschließend können Sie beurteilen, welche CMMC-Level-Anforderungen für jedes der identifizierten Auftragnehmer-Informationssysteme gelten, und bewerten, ob diese Informationssysteme die Sicherheitsanforderungen für dieses Level erfüllen.
2. Stellen Sie sicher, dass Änderungen an der IT-Infrastruktur und den Sicherheitskontrollen rechtzeitig im Voraus geplant und geprüft werden, um Vorwürfe zu vermeiden, dass eine Änderung dieser Infrastruktur oder dieser Sicherheitskontrollen dazu führt, dass der Auftragnehmer die geltenden CMMC-Anforderungen nicht mehr erfüllt. Ein leitender Mitarbeiter des Unternehmens ist dafür verantwortlich, mindestens einmal jährlich eine Erklärung über die „kontinuierliche Einhaltung” der CMMC-Anforderungen abzugeben. Änderungen wie der Verzicht auf bestimmte Sicherheitskontrollen oder die gemeinsame Nutzung von FCI oder CUI in einem Informationssystem, für das der Auftragnehmer kein „aktuelles” CMMC-Zertifikat oder keine aktuelle Bewertung hat, könnten zu Vorwürfen führen, dass die Erklärung des Auftragnehmers zur kontinuierlichen Einhaltung nicht mehr zutreffend ist.
3. Halten Sie Ihren System Security Plan (SSP) weiterhin auf dem neuesten Stand und schließen Sie nicht erfüllte Anforderungen in Ihrem POA&M ab. Vergewissern Sie sich, dass die NIST-Anforderungen, die zur Erlangung eines bedingten CMMC-Status erfüllt sein müssen, erfüllt sind.
4. Beginnen Sie mit der Planung der Überwachung und Durchsetzung der CMMC-Konformität bei Ihren eigenen Subunternehmern und Lieferanten. Beginnen Sie damit, den Grad der CMMC-Konformität zu kategorisieren, den jeder Subunternehmer für die von ihm ausgeführten Arbeiten erreichen muss. Kommunizieren Sie mit den Subunternehmern und Lieferanten, die Sie derzeit einsetzen oder möglicherweise in Zukunft einsetzen werden, um DoD-Verträge zu erfüllen, um zu beurteilen, wo diese Subunternehmer/Lieferanten bei der Umsetzung der erforderlichen Sicherheitskontrollen stehen, die Sie voraussichtlich benötigen werden, sobald CMMC „live” geht. Überlegen Sie, wie Sie von Subunternehmern oder Lieferanten verlangen werden, dass sie nachweisen oder anderweitig dokumentieren, dass sie über die erforderliche aktuelle CMMC-Level-Zertifizierung oder -Bewertung verfügen, und wie Sie diese Anforderungen in Ihre Subunternehmerbedingungen einarbeiten werden.
5. Wenn eine Bewertung durch Dritte erforderlich ist, planen Sie diese rechtzeitig im Voraus. Die Anzahl der zugelassenen C3PAOs ist begrenzt, und wenn Sie sich frühzeitig um einen Termin bemühen, können Sie sicherstellen, dass die Bewertung rechtzeitig vor der Veröffentlichung einer Ausschreibung erfolgt, für die eine solche Bewertung und Zertifizierung erforderlich ist.
6. Weiterhin zeitnahe Meldung von Cybervorfällen innerhalb von 72 Stunden.

Schlussfolgerung

Mit dem Näherrücken des 10. November 2025, dem Datum des Inkrafttretens von Phase 1 der CMMC-Einführung, stehen Verteidigungsunternehmen vor einem transformativen Moment in Bezug auf die Einhaltung von Cybersicherheitsvorschriften. Foley verfolgt einen multidisziplinären Ansatz zur CMMC-Compliance und bietet seinen Kunden umfassende Beratung, um ihre Vertragsfähigkeit zu sichern und ein sicheres Verteidigungsökosystem aufrechtzuerhalten – von der Empfehlung der besten proaktiven strategischen Schritte zur Compliance über die Überprüfung der Anforderungen von Verteidigungsverträgen, die Verwaltung und Koordination des Compliance-Projekts, die Beauftragung und Überwachung von IT-Firmen, die Überprüfung von SSPs und POA&Ms bis hin zum Umgang mit Cybersicherheitsvorfällen.

Wenn Sie Fragen zur endgültigen Regelung oder zu den CMMC-Anforderungen haben, wenden Sie sich bitte an Jen Urban, Erin Toomey, Frank Murray oder Samuel Goldstick.