As novas cláusulas contratuais CMMC 2.0 propostas pelo Departamento de Defesa dos EUA aumentam os riscos de conformidade para os contratantes

Até agora, os contratantes e subcontratantes de defesa devem estar cientes do programa Cybersecurity Maturity Model Certification (CMMC) 2.0, um conjunto de controlos de cibersegurança obrigatórios impostos pelo Departamento de Defesa dos EUA (DoD) para aumentar a segurança de determinadas informações armazenadas ou transmitidas pelos sistemas de informação dos contratantes e subcontratantes de defesa. Em 15 de agosto de 2024, o DoD deu um passo importante na implementação do programa CMMC 2.0, propondo alterações aos seus regulamentos de aquisição e cláusulas contratuais para esclarecer como o DoD planeia impor os requisitos de segurança do CMMC 2.0 aos contratantes de defesa e aplicá-los contratualmente.

Os empreiteiros têm até 15 de outubro de 2024 para enviar comentários sobre essas alterações propostas ao Suplemento ao Regulamento Federal de Aquisições de Defesa (DFARS). As disposições novas ou revisadas do DFARS propostas nesta nova regra não serão incorporadas aos contratos do Departamento de Defesa até que o Departamento de Defesa emita uma regra final após o término do período para comentários.

Contexto do CMMC 2.0

O DoD refere-se à iteração atual do CMMC como “CMMC 2.0”, refletindo a evolução do programa desde a versão inicial proposta pelo DoD em 2020. Como lembrete, o CMMC 2.0 estabelece três «Níveis CMMC», com cada nível correspondendo a um conjunto específico de requisitos de cibersegurança que aumentam em rigor à medida que os níveis aumentam. O Nível CMMC 1 se aplicaria a contratos que exigem que o contratado armazene, processe ou transmita apenas Informações de Contratos Federais (FCI), e não a categoria mais sensível de dados conhecida como Informações Controladas Não Classificadas (CUI). O CMMC Nível 2 se aplicaria a contratos que exigem que o contratante ou subcontratantes armazenem, processem ou transmitam CUI usando sistemas de informação do contratante. O CMMC Nível 3, o nível de segurança mais alto, se aplicaria apenas a contratos específicos que exigem um nível mais alto de segurança cibernética.

O Departamento de Defesa propôs diferentes tipos de avaliações de segurança para os diferentes níveis CMMC. Para todos os contratos CMMC Nível 1 e para alguns contratos CMMC Nível 2, os contratantes devem realizar uma autoavaliação da sua conformidade com os controlos exigidos. Outros contratos CMMC Nível 2 exigiriam uma avaliação do sistema de informação do contratante por uma Organização de Avaliação Terceirizada CMMC (C3PAO). Os contratos CMMC Nível 3 também exigem uma avaliação de conformidade externa, mas esta será realizada por um avaliador do Departamento de Defesa (DOD) em vez de por uma C3PAO.

O DoD pretende implementar o programa CMMC ao longo de um período de três anos, com início no primeiro trimestre de 2025. Após esse período de três anos, todos os contratantes principais e subcontratantes do DoD deverão cumprir os requisitos aplicáveis na cláusula contratual do CMMC, exceto para contratos ou subcontratos exclusivamente para itens comercialmente disponíveis (COTS).

Fiscalização da conformidade dos contratantes com o CMMC 2.0

A regra recentemente proposta revela como o Departamento de Defesa dos EUA (DoD) pretende garantir o cumprimento dos requisitos de segurança CMMC 2.0 por parte dos contratantes e subcontratantes da defesa — incluindo como os responsáveis pelas contratações do DoD irão verificar a conformidade com o CMMC 2.0 como pré-requisito para um contratante receber um novo contrato ou mesmo exercer opções ao abrigo de um contrato existente.

• Sem CMMC, sem prémio

A regra proposta formaliza o procedimento que os responsáveis pela contratação usarão para validar se um contratante possui a certificação ou autoavaliação de nível CMMC exigida antes de receber a adjudicação do contrato. Antes de fazer a adjudicação, os responsáveis pela contratação analisarão o Sistema de Risco de Desempenho do Fornecedor (SPRS) para confirmar se o proponente aparentemente bem-sucedido possui os resultados de um certificado CMMC atual ou autoavaliação inserida no nível CMMC exigido pela solicitação. Como parte dessa determinação de elegibilidade, o responsável pela contratação pode solicitar ao proponente aparentemente bem-sucedido que forneça o(s) identificador(es) exclusivo(s) do DoD emitido(s) pelo SPRS para cada sistema de informação do contratante que processará, armazenará ou transmitirá FCI ou CUI durante a execução do contrato ou pedido a ser adjudicado no âmbito da solicitação. Os proponentes sem um certificado CMMC atual ou autoavaliação no nível exigido para cada um desses sistemas de informação do contratante não serão elegíveis para a adjudicação do contrato.

• Manutenção de um certificado CMMC «atual» ou autoavaliação

Os contratantes não só devem possuir um certificado CMMC atualizado ou uma autoavaliação para serem elegíveis para a adjudicação de um contrato, tarefa ou ordem de entrega, como também devem mantê-lo durante toda a vigência do contrato ou tarefa/ordem de entrega, e o responsável pela contratação não pode exercer uma opção se a certificação CMMC ou autoavaliação do contratante não estiver mais atualizada. A definição de «atualizado» varia de acordo com o nível CMMC exigido. Para o CMMC Nível 1, que requer apenas uma autoavaliação, a autoavaliação deve ter sido realizada no prazo de um ano. Para o CMMC Nível 2, o certificado de terceiros ou a autoavaliação do contratante não deve ter mais de três anos. Para o CMMC Nível 3, o certificado para a avaliação do DoD não deve ter mais de três anos. Para todos os três níveis CMMC, a definição de «atual» inclui o requisito de que não tenha havido «nenhuma alteração na conformidade CMMC» desde a data da avaliação ou certificado relevante.

• Requisitos de notificação

A regra proposta também exigiria que os contratantes notificassem o escritório contratante dentro de 72 horas “quando houver falhas na segurança da informação ou alterações no status do certificado CMMC ou nos níveis de autoavaliação CMMC durante a execução do contrato”. A regra proposta não define com precisão o que o DoD entende por «falhas na segurança da informação». Na medida em que o DoD pretende que esse termo abranja «incidentes cibernéticos», conforme usado no DFARS 252.204-7012, os contratantes já têm a obrigação de relatar «incidentes cibernéticos» que afetem os seus sistemas de informação cobertos dentro de 72 horas após a descoberta. No entanto, a notificação CMMC proposta acrescentaria um novo encargo aos contratantes, uma vez que exigiria que estes notificassem o responsável pela contratação individual para cada contrato do DoD que contivesse um requisito de certificação ou avaliação CMMC, em oposição ao requisito de notificação de «incidentes cibernéticos» existente, que permite aos contratantes apresentar um único relatório centralizado através do portal didbnet.dod.mil.

• Garantindo a conformidade dos subcontratados

As obrigações de conformidade com o CMMC se estendem a todos os níveis da cadeia de abastecimento que armazenam, processam ou transmitem FCI ou CUI nos seus sistemas de informação, o que significa que os contratantes e subcontratantes também precisam garantir que estão a tomar as medidas necessárias para assegurar que os seus próprios subcontratantes e fornecedores tenham o certificado ou avaliação CMMC «atual» necessário. Os contratantes devem estabelecer os requisitos corretos do nível CMMC para subcontratos e garantir que todos os subcontratados obtenham o nível CMMC exigido, ou superior, antes de adjudicar qualquer subcontrato. Os contratantes também devem repassar a cláusula contratual CMMC (DFARS 252.204-7021) em subcontratos sob contratos com um nível CMMC exigido, a menos que o subcontrato seja exclusivamente para a aquisição de itens comerciais prontos para uso (COTS). As compras de serviços comerciais ou produtos comerciais que não sejam itens COTS devem atender a qualquer requisito CMMC aplicável. Por último, os contratantes devem garantir que todos os subcontratantes e fornecedores cumpram e afirmem a conformidade contínua com os requisitos de segurança CMMC aplicáveis ao subcontratante com base no nível CMMC aplicável atribuído ao subcontrato.

Um desafio que o DoD não resolveu na regra proposta é a falta de visibilidade que os contratantes de nível superior têm sobre o status CMMC dos seus subcontratados. Embora um oficial de contratação do DoD possa simplesmente consultar o status CMMC de uma empresa no SPRS, os contratantes não conseguem aceder aos registos do SPRS dos seus potenciais subcontratados ou fornecedores. Assim, os contratantes provavelmente precisarão exigir que os potenciais subcontratantes apresentem certificações que atestem que o subcontratante possui a certificação ou avaliação CMMC atual necessária no nível exigido para o desempenho do subcontratante nos termos do contrato.

• Pontos principais para empreiteiros

Embora o DoD possa, em última instância, ajustar alguns aspetos da regra proposta com base nos comentários recebidos, a conclusão geral da regra proposta pelo DoD é clara: o DoD está a avançar com o seu plano trienal para implementar o CMMC 2.0, e os contratantes precisam de começar a preparar-se para essas mudanças, caso ainda não o tenham feito.

Aqui estão várias outras conclusões importantes para os contratantes a partir da regra proposta pelo Departamento de Defesa para implementar o CMMC 2.0 nos contratos de defesa:

• Identifique todos os sistemas de informação que utilizaria para armazenar, processar ou transmitir FCI ou CUI durante a execução dos seus contratos e subcontratos com o Departamento de Defesa, bem como o tipo de informação que é armazenada, processada ou transmitida através de cada sistema. Em seguida, pode avaliar quais os requisitos do nível CMMC que se aplicam a cada um dos sistemas de informação identificados do contratante e avaliar se esses sistemas de informação cumprem os requisitos de segurança para esse nível.
• Prepare-se para a exigência de relatar «quaisquer falhas na segurança da informação» ou alterações no seu nível CMMC dentro de 72 horas, incluindo garantir que a sua empresa estará preparada para relatar tais informações ao responsável pelos contratos do Departamento de Defesa para cada contrato sujeito a esta exigência CMMC. Conforme discutido acima, a regra proposta exigiria a notificação de cada responsável pela contratação para um contrato CMMC, em vez de um único relatório para um portal centralizado para todo o DoD (como é o caso da exigência atual de relatório de «incidente cibernético»).
• Certifique-se de que as alterações na infraestrutura de TI e nos controlos de segurança sejam planeadas e avaliadas com antecedência, para evitar alegações de que uma alteração nessa infraestrutura ou nesses controlos de segurança colocou o contratante em situação de não conformidade com os requisitos CMMC aplicáveis. Um alto funcionário da empresa é responsável por apresentar declarações de «conformidade contínua» com os requisitos CMMC pelo menos uma vez por ano. Alterações como a eliminação de determinados controlos de segurança ou o início da partilha de FCI ou CUI num sistema de informação para o qual o contratante não possui um certificado ou avaliação CMMC «atual» podem dar origem a alegações de que a declaração de conformidade contínua do contratante já não é precisa.
• Comece a planear a monitorização e a aplicação da conformidade com o CMMC nos seus próprios subcontratados e fornecedores. Comece a categorizar o nível de conformidade com o CMMC que espera que cada subcontratado precise atingir para o trabalho que realiza. Comunique-se com os subcontratados e fornecedores que utiliza atualmente, ou que antecipa utilizar no futuro, para executar contratos do Departamento de Defesa dos EUA (DoD) para avaliar em que ponto esses subcontratados/fornecedores se encontram na implementação dos controlos de segurança exigidos que antecipa que eles precisarão quando o CMMC entrar em vigor. Considere como exigirá que os subcontratados ou fornecedores certifiquem ou documentem que possuem a certificação ou avaliação do nível CMMC atual exigida e como incorporará esses requisitos nos termos e condições do seu subcontrato.

Caso tenha alguma dúvida sobre a regra proposta ou os requisitos do CMMC, entre em contacto com Frank Murray, Erin Toomey ou Caitlin Trevillyan.