O Departamento de Defesa implementa formalmente os requisitos de certificação do modelo de maturidade de cibersegurança para os contratantes do Departamento de Defesa

Em 30 de novembro de 2020, o Departamento de Defesa dos Estados Unidos (DoD) começará a implementar a nova estrutura de Certificação do Modelo de Maturidade em Cibersegurança (CMMC), que eventualmente exigirá que todos os contratados, subcontratados e fornecedores do DoD recebam avaliações de cibersegurança de organizações de avaliação terceirizadas.

Requisitos de segurança cibernética existentes para contratados do Departamento de Defesa dos EUA

Atualmente, o Departamento de Defesa impõe requisitos de segurança cibernética aos contratados por meio da cláusula 252.204-7012 do Suplemento ao Regulamento Federal de Aquisições de Defesa (DFARS), Proteção de Informações de Defesa Abrangidas e Notificação de Incidentes Cibernéticos, que exige que o contratante implemente os 110 controlos de segurança estabelecidos na Publicação Especial (SP) 800-171 do Instituto Nacional de Padrões e Tecnologia (NIST) em qualquer sistema de informação que processe, armazene ou transmita Informações Controladas Não Classificadas. Em 29 de setembro de 2020, o DoD emitiu uma regra provisória adotando um novo requisito de Avaliação NIST SP 800-171 para contratados, subcontratados e fornecedores que devem implementar o NIST SP 800-171, que entra em vigor em 30 de novembro de 2020 e é separado da estrutura CMMC. Para obter mais informações sobre o novo requisito de avaliação NIST SP 800-171, consulte onosso Alerta ao Clientede 20 de outubro de 2020 sobre esse tema.

A Estrutura CMMC

A regra provisória de 29 de setembro de 2020 também implementa no DFARS a estrutura CMMC que o DoD vem desenvolvendo nos últimos dois anos. A estrutura CMMC define cinco níveis de maturidade de cibersegurança, com base nos quais os contratados, subcontratados e fornecedores do DoD serão avaliados para determinar a extensão e a maturidade dos processos e práticas de cibersegurança dos seus sistemas de informação. Daqui em diante, os avaliadores certificados que trabalham para as Organizações de Avaliação de Terceiros CMMC (“C3PAOs”) avaliarão as práticas e processos de cibersegurança dos contratantes do DoD para determinar o seu nível de certificação CMMC, e essas certificações C3PAO terão validade de até três anos. O CMMC Accreditation Body (CMMC-AB), uma entidade de acreditação independente do DoD, é responsável por gerir, controlar e administrar o processo de avaliação, certificação, formação e acreditação do CMMC para a cadeia de abastecimento da defesa. O CMMC-AB estabelece os critérios ou requisitos utilizados para certificar as C3PAOs e os Avaliadores Certificados. O CMMC-AB ainda se encontra numa fase inicial de acreditação das C3PAOs e dos Avaliadores Certificados e indicou que pretende, em última instância, listar as C3PAOs e os Avaliadores Certificados aprovados no seu site, na secção«Marketplace». Os Avaliadores Certificados serão aprovados para certificar contratantes até um nível CMMC específico, por isso será importante que as empresas que pretendem contratar os serviços de um C3PAO se certifiquem de que o Avaliador Certificado que realiza a avaliação está autorizado a certificar contratantes para o nível CMMC que pretendem alcançar.

O modelo CMMC e os requisitos de cibersegurança correspondentes a cada nível CMMC estão disponíveis no site do Departamento de Defesa dos EUA. Cada nível CMMC exige que o contratante tenha implementado um número crescente de práticas e processos de cibersegurança, sendo o Nível 1 o menos oneroso e o Nível 5 o que exige o programa de cibersegurança mais robusto. Por exemplo:

• O nível 1 corresponde aos requisitos básicos de proteção da cláusula 52.204-21 do Regulamento Federal de Aquisições (Federal Acquisition Regulation, “FAR”), Proteção Básica dos Sistemas de Informação dos Contratantes Abrangidos, e todos os contratantes, subcontratantes e fornecedores do Departamento de Defesa, exceto fornecedores de itens exclusivamente COTS, deverão satisfazer pelo menos o nível 1 para contratos que incluam requisitos CMMC.
  
  
• O nível 3 é mais semelhante à cláusula DFARS 252.204-7012, Proteção de Informações de Defesa Cobertas e Relatórios de Incidentes Cibernéticos, pois inclui todos os 110 controlos de segurança da NIST SP 800-171, mas também adiciona um requisito para implementar 20 práticas de segurança adicionais e 3 processos não incluídos na NIST SP 800-171.

Existem algumas diferenças fundamentais entre a estrutura CMMC e a estrutura de conformidade de cibersegurança existente ao abrigo da cláusula DFARS 252.204-7012. Em primeiro lugar, não há «crédito parcial» no CMMC: se um contratante não puder demonstrar conformidade com todos os controlos, práticas e processos de segurança exigidos para um nível de certificação específico, ele não poderá ser certificado nesse nível, ponto final. Um contratante não pode receber certificação em um nível superior com base em um «plano de ação» para corrigir deficiências encontradas durante o processo de certificação. 

Em segundo lugar, como o nome CMMC indica, a sua estrutura foi concebida para avaliar a «maturidade» dos processos de cibersegurança de um contratante, avaliando em que medida determinados processos foram «institucionalizados»,ou seja, incorporados ou enraizados nas operações de uma organização. Assim, o CMMC vai além de uma avaliação sobre se o contratante implementou os controlos de segurança designados (na linguagem do CMMC, “práticas”) no seu sistema de informação; o CMMC exige uma análise mais aprofundada sobre se o contratante institucionalizou determinados “processos” que demonstram a maturidade das práticas de cibersegurança da organização. Por exemplo, para obter uma certificação CMMC Nível 3, o contratante deve estabelecer, manter e disponibilizar recursos para um plano de implementação das práticas de cibersegurança exigidas. A simples adoção de uma política de cibersegurança por escrito não seria suficiente; o contratante precisaria de demonstrar que o seu plano de cibersegurança inclui a alocação de recursos para implementar as práticas necessárias e treinar o seu pessoal sobre elas.

Implementação faseada do CMMC

O DoD utilizará uma implementação faseada dos requisitos CMMC e, de 30 de novembro de 2020 a 30 de setembro de 2025, o DoD poderá incluir um requisito de certificação CMMC em algumas solicitações, mas não exigirá certificados CMMC para todos os contratos. Durante esse período de implementação faseada, o DoD exigirá certificados CMMC para contratos “somente se o documento de requisitos ou a declaração de trabalho exigir que o contratado tenha um nível CMMC específico”, e a inclusão de um requisito CMMC em uma solicitação deverá ser aprovada pelo Gabinete do Subsecretário de Defesa para Aquisições e Sustentabilidade.

A partir de 1 de outubro de 2025, todas as solicitações e contratos do Departamento de Defesa com valor superior ao limite de microcompras, exceto aqueles exclusivamente para itens COTS, identificarão o nível CMMC aplicável ao contrato e proibirão a adjudicação a um proponente que não possua um certificado CMMC no nível exigido.

Se uma solicitação exigir que um contratante tenha um nível CMMC específico, essa solicitação conterá a nova cláusula DFARS 252.204-7021, Conformidade do Contratante com o Requisito de Nível de Certificação do Modelo de Maturidade de Cibersegurança, que exigirá que o contratante tenha um certificado CMMC atual (com menos de 3 anos) no nível CMMC exigido e mantenha o certificado no nível exigido durante a vigência do contrato. O proponente vencedor do contrato deve ter uma certificação de um C3PAO no nível CMMC designado (ou superior) registrado no DoD no momento da adjudicação do contrato. Assim, um proponente não precisa ter sua certificação CMMC obtida no momento da apresentação das propostas, mas apenas no momento da adjudicação. 

Subcontratados

A cláusula DFARS 252.204-7021 exigirá que um contratante principal garanta que os seus subcontratados e fornecedores tenham o nível adequado de certificação CMMC, conforme determinado pelo contratante principal, antes da adjudicação de um subcontrato ao abrigo de um contrato principal que inclua a cláusula. A nova cláusula CMMC também exigirá que o contratante repasse a cláusula CMMC aos seus subcontratados, o que significa que todos os subcontratados e fornecedores na cadeia de abastecimento de um contrato do Departamento de Defesa (exceto fornecedores de produtos comercialmente disponíveis (COTS)) devem ter pelo menos uma certificação CMMC Nível 1 ou superior, dependendo das informações que receberão.

Os contratantes, subcontratantes e fornecedores do Departamento de Defesa dos EUA devem estar preparados para a implementação do CMMC

Os contratantes, subcontratantes e fornecedores do Departamento de Defesa dos EUA devem antecipar a necessidade de obter a certificação CMMC de uma C3PAO em um futuro não muito distante, especialmente se já tiverem contratos que exijam conformidade com os controlos de segurança NIST SP 800-171. Seja uma empresa contratante principal, subcontratante ou fornecedora do Departamento de Defesa dos EUA, ela deve considerar tomar as seguintes medidas para se preparar para a eventual exigência da certificação CMMC:

• Analise os rascunhos de solicitações e pedidos de informação para contratos futuros para verificar se mencionam um nível CMMC previsto para esse tipo de requisito;
  
  
• Analise o modelo CMMC para determinar o nível CMMC que a empresa atinge atualmente e quaisquer medidas necessárias para atingir o nível CMMC previsto que se aplicará ao tipo de trabalho da empresa (para a maioria das empresas que atualmente executam contratos sujeitos ao DFARS 252.204-7012, esse nível seria o CMMC Nível 3);
  
  
• Acompanhe o site do Órgão de Acreditação CMMC para obter uma lista de C3PAOs e Avaliadores Certificados aprovados, autorizados a realizar avaliações CMMC e aprovados para certificar a sua organização no Nível CMMC para o qual pretende se qualificar;
  
  
• Se a empresa estiver a tentar obter um contrato que exija certificação CMMC, certifique-se de que a certificação CMMC necessária seja obtida o mais rápido possível, pois ela deve ser obtida antes da adjudicação do contrato;
  
  
• Desenvolver controlos internos relativos à forma de transmitir os futuros requisitos CMMC aos subcontratados e fornecedores, incluindo (i) determinar a melhor forma de identificar e determinar quais os subcontratados ou fornecedores que necessitarão de acesso ou poderão criar CUI ao abrigo de um contrato do Departamento de Defesa; (ii) usar essas informações para determinar e documentar a base para designar o nível CMMC apropriado para cada subcontrato ou ordem de compra; e (iii) exigir documentação ou confirmação dos subcontratados ou fornecedores de que eles foram certificados no nível CMMC necessário antes da adjudicação de um subcontrato ou emissão de uma ordem de compra;
  
  
• Discuta com os membros da cadeia de abastecimento da empresa para determinar se todos os fornecedores necessários serão capazes de cumprir os requisitos CMMC que se aplicam a eles e comece a explorar fontes alternativas se determinados fornecedores importantes parecerem incapazes ou não estiverem dispostos a obter a certificação CMMC exigida.

Para discutir como os novos requisitos CMMC do Departamento de Defesa dos EUA podem afetar os seus negócios do ponto de vista dos contratos governamentais, entre em contacto com David T. Ralston ([email protected]), Frank S. Murray ([email protected]), Erin L. Toomey ([email protected]) ou Julia Di Vito ([email protected]). Para discutir como os novos requisitos CMMC do Departamento de Defesa dos EUA podem afetar os seus negócios do ponto de vista da segurança cibernética, entre em contacto com Jennifer L. Urban ([email protected]) ou Samuel D. Goldstick ([email protected]).