A cláusula contratual CMMC está aqui: o que os contratantes de defesa precisam saber

A semana passada marcou um marco importante no programa Cybersecurity Maturity Model Certification 2.0 (CMMC), o programa do Departamento de Defesa dos Estados Unidos (DoD) destinado a garantir a segurança das informações confidenciais do DoD nos sistemas de informação dos contratantes, uma vez que o DoD emitiu a cláusula contratual que tornará a conformidade com o CMMC um pré-requisito para a adjudicação de contratos a partir de dois meses. No ano passado, o DoD finalizou os requisitos técnicos do programa CMMC, codificando os requisitos em 32 C.F.R. Parte 170. Essas regulamentações estabeleceram formalmente o programa CMMC e o Ecossistema de Avaliação e Certificação CMMC, mas não forneceram o mecanismo pelo qual os responsáveis pela contratação do DoD fariam cumprir a conformidade com o programa CMMC nos contratos do DoD. A regra final de 10 de setembro de 2025 (a “Regra de Contratação CMMC”) preencheu essa lacuna e permite que o DoD comece a usar a conformidade com o CMMC como condição de elegibilidade para receber uma adjudicação de contrato, a partir de 10 de novembro de 2025. 

Este artigo começa por apresentar uma atualização sobre o programa CMMC, depois identifica alguns pontos-chave para empreiteiros e subempreiteiros da defesa a partir da Regra de Contratação CMMC e, por fim, recomenda algumas medidas para melhorar a postura de preparação da sua organização para o CMMC, à medida que o programa começa a ser implementado nos contratos de defesa nos próximos meses e anos.  

O que é CMMC, afinal?

O CMMC é o mecanismo do Departamento de Defesa dos EUA para verificar se os contratantes de defesa estão em conformidade com os seus requisitos de cibersegurança pré-existentes. O CMMC sofreu vários atrasos e reformas desde que foi anunciado originalmente em 2019, mas é visto como fundamental para fortalecer a segurança em toda a base industrial de defesa (DIB) e garantir que os contratantes estejam a proteger os dados do Departamento de Defesa em um momento em que os ciberataques estão a aumentar em frequência e complexidade. 

Em alto nível, o programa CMMC exige que os contratantes de defesa cumpram os padrões de referência de cibersegurança com base na sensibilidade das informações que tratam e forneçam atestados anuais de conformidade. O modelo inclui os três níveis de certificação a seguir, que variam de proteções básicas para Informações de Contratos Federais (FCI) a requisitos mais rigorosos para informações controladas não classificadas (CUI):

• O nível 1 inclui apenas contratos com a FCI e exige a conformidade com os 15 controlos de segurança atualmente enumerados na cláusula 52.204-21 do Regulamento Federal de Aquisições (FAR), Proteção Básica dos Sistemas de Informação dos Contratantes Abrangidos. A conformidade com o nível 1 exige uma autoavaliação, que deve ser realizada anualmente, e uma confirmação anual de conformidade.
• O nível 2 inclui contratos com CUI e exige a conformidade com os 110 controlos de segurança da Publicação Especial (SP) 800-171, Rev. 2, do Instituto Nacional de Padrões e Tecnologia (NIST). Dependendo do tipo de CUI processado, armazenado ou transmitido pelos contratantes nos seus sistemas de informação, alguns contratantes sujeitos a um requisito CMMC Nível 2 poderão realizar uma autoavaliação anual, enquanto outros precisarão de uma verificação feita por uma organização avaliadora terceirizada certificada (C3PAO). As certificações de conformidade do Nível 2, seja por autoavaliação ou certificação C3PAO, são exigidas a cada 3 anos.
• O nível 3 é um nível de segurança mais rigoroso que será exigido para contratos envolvendo CUI que o Departamento de Defesa considere especialmente sensíveis. Os contratantes que desejam obter contratos CMMC de nível 3 terão de cumprir os 110 controlos de segurança da NIST SP 800-171, Rev. 2, bem como os 24 controlos adicionais da NIST SP 800-172.  Após obter a certificação C3PAO de nível 2, os contratantes que desejam obter uma certificação CMMC de nível 3 precisarão obter uma certificação do Centro de Avaliação de Cibersegurança DIB (DIBCAC) da Agência de Gestão de Contratos de Defesa (DCMA). Essa avaliação DIBCAC de nível 3 deve ser realizada a cada três anos para manter o status CMMC de nível 3 (DIBCAC).

Principais conclusões para empreiteiros a partir da regra de contratação CMMC

1) Os requisitos CMMC podem começar a aparecer nas solicitações e contratos do Departamento de Defesa dos EUA em menos de dois meses

A Regra de Contratação CMMC dá ao Departamento de Defesa dos EUA (DoD) a discricionariedade de começar a incluir a Cláusula Contratual CMMC nas solicitações e, assim, tornar a conformidade com a CMMC uma condição para a adjudicação do contrato, a partir de 10 de novembro de 2025. 

2) O que esperar durante a implementação faseada do CMMC pelo Departamento de Defesa dos EUA

A Regra de Contratação CMMC faz referência à implementação faseada dos requisitos CMMC, conforme estabelecido em 32 C.F.R. § 170.3. Esse regulamento anunciou a intenção do Departamento de Defesa dos EUA (DoD) de implementar o CMMC em quatro fases ao longo dos próximos três anos.  

• Fase 1: A partir de 10 de novembro de 2025, as solicitações e contratos aplicáveis exigirão o CMMC Nível 1 (Auto) ou Nível 2 (Auto) como condição para a adjudicação do contrato. O DoD também tem o poder discricionário de exigir o CMMC Nível 1 (Auto) ou Nível 2 (Auto) para opções exercidas após 10 de novembro de 2025, em contratos emitidos antes de 10 de novembro de 2025, bem como incluir o CMMC Nível 2 (C3PAO) em vez do Nível 2 (Auto) para algumas aquisições.
• Fase 2: A partir de 10 de novembro de 2026, as solicitações e contratos aplicáveis exigirão avaliações CMMC Nível 2 C3PAO como condição para a adjudicação do contrato. O Departamento de Defesa terá o poder discricionário de adiar a inclusão do CMMC Nível 2 (C3PAO) para um período opcional, em vez de como condição para a adjudicação do contrato. O Departamento de Defesa também terá o poder discricionário de incluir a exigência do CMMC Nível 3 (DIBCAC) para algumas aquisições.
• Fase 3: A partir de 10 de novembro de 2027, as solicitações e contratos aplicáveis exigirão avaliações CMMC Nível 2 (C3PAO) como condição para a adjudicação do contrato e como condição para o DoD exercer um período de opção sobre um contrato adjudicado após 10 de novembro de 2025. O DoD também incluirá a exigência do CMMC Nível 3 (C3PAO) como condição para a adjudicação de contratos para solicitações e contratos aplicáveis. O DoD terá o poder discricionário de adiar a exigência do CMMC Nível 3 (C3PAO) para um período opcional, em vez de como condição para a adjudicação do contrato.
• Fase 4: A partir de 10 de novembro de 2028, os requisitos do CMMC serão incluídos em todas as solicitações e contratos aplicáveis do Departamento de Defesa dos Estados Unidos (DoD) e nos períodos opcionais dos contratos adjudicados antes de 10 de novembro de 2028.

3) Quais contratos do Departamento de Defesa são afetados?

Quando a Regra de Contratação CMMC entrar em vigor em 10 de novembro de 2025, se o escritório do programa ou a atividade exigida determinar que um contratado deve ter um nível CMMC específico, os responsáveis pela contratação poderão começar a inserir nas solicitações e contratos a cláusula DFARS 252.204-7021 e especificar o nível CMMC exigido para a aquisição na cláusula DFARS 252.204-7025. Isso inclui solicitações e contratos para produtos comerciais e serviços comerciais e contratos de todos os valores. 

A única exceção prevista na Regra Final é que a cláusula DFARS 252.204-7021 não se aplica a solicitações e contratos exclusivamente para a aquisição de itens comercialmente disponíveis (COTS). Os itens COTS são itens de fornecimento que são: (i) vendidos em quantidades substanciais no mercado comercial; e (ii) oferecidos ao Governo, ao abrigo de um contrato ou subcontrato em qualquer nível, sem modificação, na mesma forma em que são vendidos no mercado comercial. Como resultado, qualquer tipo de modificação do produto, mesmo que tal modificação seja do tipo padrão no mercado comercial, tornaria o produto um item não COTS e potencialmente sujeitaria o contrato aos requisitos de conformidade CMMC. 

Além disso, os responsáveis pela contratação têm o poder discricionário de modificar bilateralmente os contratos existentes adjudicados antes de 10 de novembro de 2025, para incluir a DFARS 252.204-7021 «com base nas necessidades do Departamento de Defesa». Os contratantes devem analisar cuidadosamente essas modificações e garantir a conformidade antes de aceitar a cláusula DFARS no seu contrato.

A partir de 10 de novembro de 2028, o Departamento de Defesa dos Estados Unidos (DoD) deverá incluir a cláusula DFARS 252.204-7021 em solicitações e contratos, exceto contratos exclusivamente para itens COTS, se o “gabinete do programa ou atividade exigente determinar que o contratante é obrigado a usar sistemas de informação do contratante no cumprimento do contrato, ordem de serviço ou ordem de entrega para processar, armazenar ou transmitir FCI ou CUI”. Como resultado, a partir de 10 de novembro de 2028, essencialmente todas as solicitações e contratos do DoD, exceto aqueles exclusivamente para itens COTS, exigirão algum nível de conformidade com o CMMC.

4) Sem CMMC, sem contrato 

Antes de adjudicar um contrato a um proponente vencedor, o DoD deve verificar se o proponente possui o nível CMMC exigido no SPRS antes de adjudicar o contrato a tal proponente. Por outras palavras, a Regra Final fornece uma porta de entrada para a aplicação que permite aos responsáveis pela contratação exigir a certificação (ou autoatestado, dependendo do nível) como condição para a elegibilidade do contrato. Esta é uma mudança operacional significativa — transferir o CMMC da política para a aquisição, autorizando o uso da cláusula CMMC DFARS nas solicitações e contratos do DoD e exigindo a conformidade com o CMMC como condição para a adjudicação do contrato. 

5) O estatuto CMMC «condicional» pode proporcionar uma suspensão temporária (repito, temporária) para os contratantes que ainda têm algum trabalho a realizar em matéria de cibersegurança.

É importante ressaltar que a Regra de Contratação CMMC oferece certa flexibilidade ao permitir a adjudicação a um contratante que possua um status CMMC Nível 2 e Nível 3 «condicional», se o período de status condicional for inferior a 180 dias. Para converter um status «condicional» Nível 2 ou Nível 3 em um status CMMC final, o contratante deve concluir com sucesso o seu Plano de Ação e Marcos (POA&M) para os requisitos ainda não atendidos.  Como o status "condicional" só é aceitável por 180 dias, o contratante deve garantir que corrige quaisquer requisitos não atendidos dentro de 180 dias após a aprovação condicional. Os regulamentos CMMC identificam certos requisitos de segurança física que devem ser atendidos para aprovação condicional, e tais requisitos não podem fazer parte de um POA&M. 

Se o contratante não realizar a remediação necessária dentro do prazo de 180 dias, o status CMMC condicional expirará e o DoD poderá exercer as medidas contratuais padrão, incluindo a rescisão do contrato. Além disso, o contratante não será elegível para contratos adicionais com o requisito CMMC até que alcance o status de nível CMMC necessário.

6) Considerações sobre o fluxo descendente e implementação de processos para verificar o estado CMMC do subcontratado 

A cláusula contratual CMMC, DFARS 252.204-7021, deve ser incluída pelos contratantes principais e subcontratantes de nível superior em subcontratos que contenham a exigência de processar, armazenar ou transmitir FCI ou CUI. Isso coloca a responsabilidade sobre os contratantes de nível superior de avaliar quais tipos de informações os seus subcontratantes precisarão processar, armazenar e transmitir, para determinar se os requisitos CMMC devem ser repassados e qual nível de conformidade CMMC se aplicará ao subcontratante.  Antes de adjudicar um subcontrato sujeito a um requisito CMMC (exceto subcontratos exclusivamente para itens COTS), o contratante principal ou subcontratado de nível superior é responsável por confirmar que o subcontratado possui uma autoavaliação CMMC atualizada ou certificado para o nível CMMC exigido. Infelizmente, apenas o DoD tem atualmente acesso ao SPRS (o sistema no qual as empresas comunicam o seu estado CMMC), pelo que os contratantes de nível superior terão de determinar que documentação exigirão aos subcontratantes (por exemplo, certificações ou capturas de ecrã do SPRS) para verificar a conformidade do subcontratante. 

7) Principais alterações da regra proposta para a regra final

A regra proposta continha uma exigência para que os contratantes notificassem o escritório contratante dentro de 72 horas “quando houvesse qualquer falha na segurança da informação ou alterações no status do certificado CMMC ou nos níveis de autoavaliação CMMC durante a execução do contrato”. A regra proposta não definia com precisão o que o DoD entendia por “falhas na segurança da informação”. Reconhecendo a dificuldade em cumprir este requisito e determinando que a cláusula DFARS já inclui salvaguardas suficientes na definição do estado «atual» do CMMC, o requisito de confirmação anual e a comunicação de incidentes cibernéticos no prazo de 72 horas, o DoD removeu o requisito de os contratantes comunicarem «falhas na segurança da informação» ou alterações em conformidade com 32 CFR Parte 170 da cláusula final do contrato CMMC. Para que um estado CMMC seja «atual», não deve haver alterações na conformidade com os requisitos da 32 CFR Parte 170 desde a data do estado CMMC.

Ações recomendadas para os contratantes se prepararem para os requisitos contratuais do CMMC

A preparação para a conformidade com o CMMC requer planeamento estratégico e comprometimento. Aqui estão as principais medidas práticas que os contratantes de defesa devem tomar para garantir a elegibilidade contínua para contratos com o Departamento de Defesa:

1. Identifique todos os sistemas de informação que utilizaria para armazenar, processar ou transmitir FCI ou CUI durante a execução dos seus contratos e subcontratos com o Departamento de Defesa, bem como o tipo de informação que é armazenada, processada ou transmitida através de cada sistema. Em seguida, pode avaliar quais os requisitos do nível CMMC que se aplicam a cada um dos sistemas de informação identificados do contratante e avaliar se esses sistemas de informação cumprem os requisitos de segurança para esse nível.
2. Certifique-se de que as alterações na infraestrutura de TI e nos controlos de segurança sejam planeadas e avaliadas com antecedência, para evitar alegações de que uma alteração nessa infraestrutura ou nesses controlos de segurança colocou o contratante em situação de não conformidade com os requisitos CMMC aplicáveis. Um alto funcionário da empresa é responsável por apresentar declarações de «conformidade contínua» com os requisitos CMMC pelo menos uma vez por ano. Alterações como a eliminação de determinados controlos de segurança ou o início da partilha de FCI ou CUI num sistema de informação para o qual o contratante não possui um certificado ou avaliação CMMC «atual» podem dar origem a alegações de que a declaração de conformidade contínua do contratante já não é precisa.
3. Continue a manter o seu Plano de Segurança do Sistema (SSP) atualizado e encerre os requisitos não cumpridos no seu POA&M. Confirme se os requisitos do NIST que devem ser cumpridos para obter um status CMMC condicional foram cumpridos.
4. Comece a planear a monitorização e a aplicação da conformidade com o CMMC nos seus próprios subcontratados e fornecedores. Comece a categorizar o nível de conformidade com o CMMC que espera que cada subcontratado precise atingir para o trabalho que realiza. Comunique-se com os subcontratados e fornecedores que utiliza atualmente, ou que antecipa utilizar no futuro, para executar contratos do Departamento de Defesa dos EUA (DoD) para avaliar em que ponto esses subcontratados/fornecedores se encontram na implementação dos controlos de segurança exigidos que antecipa que eles precisarão quando o CMMC entrar em vigor. Considere como exigirá que os subcontratados ou fornecedores certifiquem ou documentem que possuem a certificação ou avaliação do nível CMMC atual exigida e como incorporará esses requisitos nos termos e condições do seu subcontrato.
5. Se for necessária uma avaliação por terceiros, agende-a com bastante antecedência. Há um número limitado de C3PAOs aprovados, e agendar com antecedência garantirá uma avaliação oportuna antes da emissão de uma solicitação que exija tal avaliação e certificação.
6. Continue a comunicar atempadamente os incidentes cibernéticos no prazo de 72 horas.

Conclusão

À medida que nos aproximamos da data de 10 de novembro de 2025, data efetiva da Fase 1 da implementação do CMMC, os contratantes de defesa enfrentam um momento transformador na conformidade com a cibersegurança. A Foley adota uma abordagem multidisciplinar para a conformidade com o CMMC, fornecendo aos clientes consultoria completa para ajudar a garantir a elegibilidade dos seus contratos e manter um ecossistema de defesa seguro — desde recomendar as melhores medidas estratégicas proativas para conformidade, revisar os requisitos dos contratos de defesa, gerenciar e coordenar o projeto de conformidade, contratar e supervisionar empresas de TI, revisar SSPs e POA&Ms, até lidar com incidentes de segurança cibernética.

Caso tenha alguma dúvida sobre a Regra Final ou os requisitos do CMMC, entre em contacto com Jen Urban, Erin Toomey, Frank Murray ou Samuel Goldstick.