CMMC 2.0 Brings Increased Flexibility — and Increased Risks — for Contractors

Os contratantes de defesa e seus subcontratantes e cadeias de abastecimento que se preparavam para o desafio de cumprira Certificação do Modelo de Maturidade em Cibersegurança (CMMC) receberam recentemente uma boa notícia do Departamento de Defesa dos Estados Unidos (DoD): O DoD está reformulando a direção estratégica da CMMC por meio de uma nova estrutura “CMMC 2.0” que oferece flexibilidade adicional à cadeia de suprimentos de defesa na forma como ela lida com os requisitos de segurança cibernética para contratos de defesa. Essa flexibilidade adicional inclui a capacidade de autocertificar a conformidade em algumas circunstâncias, em vez de obter certificações de terceiros, e de usar Planos de Ação e Marcos (comumente referidos como POA&Ms) para lidar com certos requisitos que um contratante ainda não cumpriu na data da adjudicação do contrato. Embora essa flexibilidade aprimorada seja uma boa notícia para os contratados, ela acarreta um risco maior, dado o recente anúncio do Departamento de Justiça dos Estados Unidos de uma nova“Iniciativa Civil contra Fraudes Cibernéticas”que dará maior ênfase a possíveis alegações falsas relacionadas à conformidade de um contratado federal com os requisitos contratuais de segurança cibernética e notificação de incidentes cibernéticos. Neste artigo, discutimos as mudanças significativas anunciadas na nova estrutura CMMC 2.0 e o impacto dessas mudanças nas empresas que executam — ou pretendem executar — contratos de defesa, incluindo como subcontratadas ou fornecedoras.

Menos níveis e requisitos de segurança cibernética

O “CMMC 2.0”, como o Departamento de Defesa dos EUA denominou a sua estrutura CMMC revista, reduz o número de níveis de certificação de cinco para três: Nível 1 (Básico), para contratantes que terão acesso apenas a informações sobre contratos federais; Nível 2 (Avançado), para contratantes que terão acesso a informações controladas não classificadas (CUI); e Nível 3 (Especialista), para contratantes que terão acesso a CUI e trabalharão em programas de máxima prioridade para o Departamento de Defesa. O novo Nível 1 corresponderá ao antigo Nível 1, enquanto o novo Nível 2 corresponderá ao antigo Nível 3 e o novo Nível 3 corresponderá ao antigo Nível 5.

Além disso, o CMMC 2.0 elimina todas as práticas exclusivas do CMMC, o que significa que, para os níveis 2 e 3 do CMMC 2.0, todas as práticas de cibersegurança exigidas virão da Publicação Especial (SP) 800-171 do Instituto Nacional de Padrões e Tecnologia (NIST) e da NIST SP 800-172 (anteriormente conhecida como Draft NIST SP 800-171B). Especificamente, o CMMC 2.0 Nível 2 exigirá a conformidade com 110 práticas de cibersegurança alinhadas com a NIST SP 800-171, que muitos contratantes do Departamento de Defesa dos EUA já são obrigados a implementar de acordo com a cláusula DFARS 252.204-7012. O nível correspondente no CMMC 1.0 exigiria que os contratantes cumprissem as 110 práticas do NIST SP 800-171, além de outras 20 práticas e três processos. Além disso, o CMMC 2.0 Nível 3, que está atualmente em desenvolvimento, será baseado em um subconjunto de requisitos da NIST SP 800-172, além de exigir a conformidade com todas as 110 práticas de segurança cibernética alinhadas com a NIST SP 800-171. O nível correspondente no CMMC 1.0 teria exigido que os contratantes cumprissem práticas adicionais que não se originavam do NIST SP 800-171 ou do NIST 800-172, além de cinco processos. Assim, o CMMC 2.0 reduz o número de práticas de cibersegurança exigidas e alinha totalmente esses requisitos com o NIST SP 800-171 e o NIST SP 800-172, conforme aplicável.

Autoavaliações agora são possíveis para alguns empreiteiros, mas apresentam riscos

O CMMC 2.0 também flexibiliza a exigência anterior de que todos os contratados, subcontratados e fornecedores do Departamento de Defesa dos EUA (DoD) sejam submetidos e aprovados em avaliações realizadas por Organizações de Avaliação Terceirizadas do CMMC (C3PAOs) para obter a certificação CMMC. De acordo com o CMMC 2.0, todas as empresas no Nível 1 e um subconjunto de empresas no Nível 2 podem demonstrar conformidade com o seu respectivo nível CMMC por meio de autoavaliações anuais realizadas por um funcionário sênior da empresa.

No Nível 2, a autoavaliação será permitida para «aquisições não prioritárias». O Departamento de Defesa determinará, contrato a contrato, se os dados em questão no contrato tornarão o contrato uma «aquisição prioritária». A capacidade de realizar autoavaliações para o Nível 1 e muitos contratos sob o Nível 2 deve reduzir o custo do processo de avaliação para empresas que podem fazer uma autoavaliação em vez de contratar um C3PAO. Para “aquisições prioritárias” que exigem o CMMC Nível 2, os contratados continuarão a precisar ser certificados pelos C3PAOs a cada três anos.

Embora a capacidade de confiar em autoavaliações em vez de certificações de terceiros ofereça maior flexibilidade aos contratantes e fornecedores da defesa, o plano do Departamento de Defesa de implementar a autoavaliação por meio do atestado de um funcionário sênior da empresa aumentará o risco de alegações de que o autoatestado do contratante constituiu uma declaração falsa, caso o autoatestado seja posteriormente considerado impreciso. As alegações falsas podem sujeitar um contratante a indenizações triplas e penalidades legais severas por alegação, de acordo com a Lei de Alegações Falsas. Com o recente lançamento da sua nova Iniciativa Civil contra a Fraude Cibernética, o Departamento de Justiça dos EUA anunciou a sua intenção de usar a Lei de Alegações Falsas para “responsabilizar entidades ou indivíduos que colocam em risco as informações ou os sistemas dos EUA ao... deturpar conscientemente as suas práticas ou protocolos de segurança cibernética”, aumentando a probabilidade de aplicação da Lei de Alegações Falsas no contexto das autoatestações CMMC. Além disso, os denunciantes podem entrar com uma ação em nome do governo nos termos da Lei de Reivindicações Falsas e participar da recuperação. Além disso, a apresentação de declarações falsas constitui crime federal. À luz desses riscos civis e criminais crescentes, alguns contratantes que, de outra forma, seriam elegíveis para autoatestar as suas práticas de cibersegurança podem optar por confiar em certificações de terceiros. As entidades que realizam certificações de terceiros podem então enfrentar a exposição à Lei de Reivindicações Falsas se as suas certificações forem falsas, levando o contratante a apresentar declarações falsas.

Além disso, os contratantes que pretendem buscar oportunidades de contrato (ou subcontratação) CMMC Nível 2 provavelmente desejarão passar por uma avaliação por um C3PAO, caso o DoD designe uma oportunidade importante de Nível 2 como uma “aquisição prioritária” que exija certificação de terceiros. A menos que o DoD identifique critérios claros para determinar o que é uma «aquisição prioritária», os potenciais proponentes que desejam apenas fazer uma autoavaliação no Nível 2, ou que não conseguem concluir uma avaliação C3PAO até ao prazo final para a apresentação de propostas, podem considerar a possibilidade de apresentar protestos pré-adjudicação contestando a classificação de uma aquisição como «aquisição prioritária». O DoD também ainda não esclareceu se os contratantes principais podem permitir que os subcontratantes façam uma autoavaliação no Nível 2 quando o contrato principal é considerado uma «aquisição prioritária» que requer uma avaliação C3PAO.

Para o CMMC Nível 3, as avaliações serão realizadas por funcionários do governo, e não por C3PAOs, a cada três anos. As avaliações de Nível 3 funcionarão de forma semelhante à «Avaliação Elevada» exigida para determinados contratos existentes ao abrigo do DFARS 252.204-7020.

POA&Ms permitidos como «IOUs» temporários para determinados requisitos

O DoD afirmou que o CMMC 2.0 permitirá maior flexibilidade na implementação, uma vez que o DoD permitirá que as empresas, em determinadas circunstâncias limitadas, adotem POA&Ms para obter a certificação. A intenção do DoD é especificar certas práticas de cibersegurança como a «base» que o contratante deve cumprir antes da adjudicação do contrato, mas permitir que o contratante cumpra os restantes requisitos «dentro de um prazo claramente definido». Esta alteração eliminaria a natureza estrita de aprovação/reprovação do CMMC 1.0, segundo a qual a não obtenção de um único dos controlos de segurança exigidos impediria a certificação. O DoD espera que os POA&Ms estejam em vigor por um período de tempo fixo, como até 180 dias, momento em que o contratante deve cumprir todas as práticas CMMC aplicáveis ou enfrentar medidas contratuais. O DoD também pretende identificar um subconjunto de práticas CMMC tão fundamentais que não podem ser cumpridas com POA&Ms.

Quando as empresas precisam estar em conformidade com o CMMC 2.0?

Em 2020, o Departamento de Defesa dos EUA (DoD) emitiu uma regra provisória para iniciar a implementação faseada dos requisitos CMMC 1.0 nos contratos do DoD. O anúncio do DoD sobre o CMMC 2.0 efetivamente pressiona o botão «reset» nessa regulamentação, já que o DoD anunciou que o CMMC 2.0 será implementado por meio de sua própria regra provisória, ainda a ser emitida. O DoD estima que o processo de regulamentação do CMMC 2.0 levará entre nove e 24 meses. Presumivelmente, isso significa que todos os contratados precisarão se preparar para a conformidade com o CMMC 2.0 até novembro de 2023, o mais tardar.

Até que a regulamentação CMMC 2.0 esteja concluída, o DoD não incluirá nenhum requisito CMMC em quaisquer solicitações do DoD. O DoD afirmou que está a explorar oportunidades para oferecer incentivos aos contratantes que obtiverem voluntariamente a certificação CMMC 2.0 Nível 2 no período intermediário antes da CMMC 2.0 se tornar obrigatória, mas até que as C3PAOs possam ser certificadas para a CMMC 2.0, a obtenção da CMMC 2.0 Nível 2 só poderá ser alcançada por meio de autoavaliação.

O que os contratantes, subcontratantes e fornecedores do Departamento de Defesa devem fazer agora?

Com o recente anúncio do DoD sobre o CMMC 2.0, o DoD efetivamente adiou a exigência de certificação CMMC para os seus contratados e eliminou a necessidade de avaliações C3PAO para muitos deles. Daqui para frente, os contratados, subcontratados e fornecedores do DoD devem tomar as seguintes medidas para se preparar para a eventual implementação da certificação CMMC:

Fique atento aos anúncios sobre propostas de regulamentação relacionadas ao CMMC;
Acompanhe o site CMMC do Departamento de Defesa dos EUA para obter informações detalhadas sobre a estrutura CMMC 2.0, que o Departamento de Defesa pretende disponibilizar até o final de novembro de 2021;
Realizar autoavaliações NIST SP 800-171, conforme exigido pela DFARS 252.204-7020;
Manter os padrões de segurança cibernética identificados na autoavaliação NIST SP 800-171 da empresa, o que a preparará para o CMMC 2.0 Nível 2 (se necessário);
Se a empresa antecipar a necessidade de uma certificação CMMC 2.0 Nível 3 no futuro, analise as informações detalhadas sobre o CMMC 2.0 Nível 3 quando forem divulgadas para determinar quaisquer etapas necessárias para atender aos requisitos do CMMC 2.0 Nível 3; e
Revisar e reforçar os programas de conformidade para garantir o cumprimento da Lei de Reivindicações Falsas, incluindo políticas e práticas robustas para lidar com denúncias de denunciantes que poderiam se tornar processos judiciais ao abrigo da Lei de Reivindicações Falsas se não fossem bem tratadas.

Para discutir como os requisitos revisados do CMMC do Departamento de Defesa podem afetar os seus negócios do ponto de vista dos contratos governamentais, entre em contacto com David T. Ralston ([email protected]), Frank S. Murray ([email protected]), Erin L. Toomey ([email protected]) ou Julia Di Vito ([email protected]). Para discutir como os requisitos revisados do CMMC do Departamento de Defesa podem afetar os seus negócios do ponto de vista da segurança cibernética, entre em contacto com Jennifer L. Urban ([email protected]) ou Samuel D. Goldstick ([email protected]). Para discutir quaisquer preocupações sobre a aplicação da Lei de Reivindicações Falsas (False Claims Act) sob a nova Iniciativa Civil contra Fraudes Cibernéticas (Civil Cyber-Fraud Initiative) do Departamento de Justiça, entre em contacto com Matthew D. Krueger ([email protected]).

Declaração de exoneração de responsabilidade

Este blogue é disponibilizado por Foley & Lardner LLP ("Foley" ou "a Firma") apenas para fins informativos. Não se destina a transmitir a posição jurídica da Sociedade em nome de qualquer cliente, nem a prestar aconselhamento jurídico específico. As opiniões expressas neste artigo não reflectem necessariamente a posição da Foley & Lardner LLP, dos seus sócios ou dos seus clientes. Por conseguinte, não actue de acordo com esta informação sem procurar aconselhamento junto de um advogado licenciado. Este blogue não se destina a criar, e a sua receção não constitui, uma relação advogado-cliente. A comunicação com a Foley através deste sítio Web, por correio eletrónico, publicação no blogue ou outro, não cria uma relação advogado-cliente para qualquer assunto jurídico. Por conseguinte, qualquer comunicação ou material que transmita a Foley através deste blogue, seja por correio eletrónico, publicação no blogue ou qualquer outra forma, não será tratado como confidencial ou proprietário. A informação neste blogue é publicada "COMO ESTÁ" e não se garante que seja completa, exacta ou actualizada. A Foley não faz representações ou garantias de qualquer tipo, expressas ou implícitas, quanto ao funcionamento ou conteúdo do sítio. A Foley renuncia expressamente a todas as outras garantias, garantias, condições e representações de qualquer tipo, expressas ou implícitas, quer surjam ao abrigo de qualquer estatuto, lei, utilização comercial ou de outra forma, incluindo garantias implícitas de comercialização, adequação a um determinado fim, título e não infração. Em nenhuma circunstância a Foley ou qualquer um dos seus parceiros, oficiais, funcionários, agentes ou afiliados serão responsáveis, direta ou indiretamente, sob qualquer teoria da lei (contrato, delito, negligência ou outra), perante si ou qualquer outra pessoa, por quaisquer reclamações, perdas ou danos, diretos, indirectos, especiais, incidentais, punitivos ou consequenciais, resultantes ou ocasionados pela criação, utilização ou confiança neste site (incluindo informações e outros conteúdos) ou quaisquer sites de terceiros ou as informações, recursos ou materiais acedidos através de tais sites. Em algumas jurisdições, o conteúdo deste blogue pode ser considerado publicidade de advogados. Se aplicável, tenha em atenção que resultados anteriores não garantem um resultado semelhante. As fotografias destinam-se apenas a fins de dramatização e podem incluir modelos. As imagens não implicam necessariamente o estatuto atual de cliente, parceiro ou empregado.

Um homem mais velho, de óculos, fato escuro de risca-de-giz, camisa branca e gravata estampada, sorri para a câmara contra um fundo cinzento liso, personificando o profissionalismo dos melhores escritórios de advogados especializados no apoio a litígios.

[email protected]

Washington, D.C.

Um homem de fato e gravata vermelha sorri para a câmara com um fundo desfocado de um escritório de advogados por detrás, reflectindo o profissionalismo dos advogados de Chicago especializados em apoio a litígios.

[email protected]

Washington, D.C. 202.295.4163

Mulher com cabelo castanho liso, vestindo um blazer preto e um top verde, sorridente, de pé num cenário de escritório interior desfocado, representando advogados em Chicago especializados em direito de propriedade intelectual.

[email protected]

Detroit 313.234.7138

Uma mulher com cabelo louro comprido, vestindo um blazer preto, um top preto e um colar de pérolas em camadas, sorri num ambiente interior profissional - reflectindo a confiança polida frequentemente vista entre os advogados de Chicago e os especializados em direito de propriedade intelectual.

[email protected]

Milwaukee 414.297.5864

Informações relacionadas

Ver todas as publicações

16 de janeiro de 2026 Perspetivas sobre tecnologias inovadoras

Aumento das saídas de criptomoedas em 2025: impulso cresce para um 2026 ainda maior

Após mais de uma década de especulações sobre quando as empresas de ativos digitais finalmente entrariam nos mercados públicos em grande escala, 2025 trouxe o avanço tão esperado. As empresas relacionadas com criptomoedas não se limitaram a testar o apetite do mercado — elas o validaram.

9 de janeiro de 2026 Perspetivas sobre o Direito do Trabalho e Emprego

Navegando pela IA no local de trabalho quando as políticas federais e estaduais entram em conflito

18 de dezembro de 2025 Perspetivas sobre tecnologias inovadoras

Podcast sobre semicondutores – Centros de dados: o papel da IA e dos semicondutores na transformação de um setor

Centros de dados: o papel da IA e dos semicondutores na transformação de um setor Principais conclusões A IA está a impulsionar uma procura sem precedentes por dados...

Pesquisas populares

CMMC 2.0 traz maior flexibilidade — e maiores riscos — para os contratantes

Menos níveis e requisitos de segurança cibernética

Autoavaliações agora são possíveis para alguns empreiteiros, mas apresentam riscos

POA&Ms permitidos como «IOUs» temporários para determinados requisitos

Quando as empresas precisam estar em conformidade com o CMMC 2.0?

O que os contratantes, subcontratantes e fornecedores do Departamento de Defesa devem fazer agora?

Autor(es)

David T. Ralston

Frank S. Murray

Erin L. Toomey

Jennifer L. Urban

Informações relacionadas

Aumento das saídas de criptomoedas em 2025: impulso cresce para um 2026 ainda maior

Navegando pela IA no local de trabalho quando as políticas federais e estaduais entram em conflito

Podcast sobre semicondutores – Centros de dados: o papel da IA e dos semicondutores na transformação de um setor