上周标志着网络安全成熟度模型认证2.0(CMMC)计划的重要里程碑。该计划由美国国防部(DoD)发起,旨在确保承包商信息系统中敏感国防信息的安保。国防部发布了合同条款,规定从最快两个月后起,CMMC合规将成为合同授予的先决条件。 去年,国防部最终确定了CMMC计划的技术要求,并将其编纂为《联邦法规汇编》第32卷第170部分。这些法规正式确立了CMMC计划及其评估认证体系,但未提供国防部合同官员在国防部合同中强制执行CMMC合规性的机制。 2025年9月10日颁布的最终规则(即"CMMC合同规则")填补了这一空白,允许国防部自2025年11月10日起,将CMMC合规性作为获得合同授予的资格条件。
本文首先回顾CMMC计划的要点,随后阐明国防承包商及分包商从《CMMC合同规则》中应重点关注的内容,最后针对该计划将在未来数月乃至数年内逐步纳入国防合同的趋势,提出若干行动建议以提升贵机构的CMMC准备状态。
CMMC究竟是什么?
CMMC是美国国防部用于验证国防承包商是否符合其既有网络安全要求的机制。自2019年首次公布以来,该机制历经多次延期与改革,但被视为强化国防工业基地(DIB)安全防护的关键举措。在网络攻击日益频繁且复杂的当下,该机制确保承包商能够有效守护国防部数据安全。
从宏观层面看,CMMC计划要求国防承包商根据其处理信息的敏感程度满足网络安全基准要求,并每年提交合规证明。该模型包含以下三个认证等级,从联邦合同信息(FCI)的基本保护措施到受控非机密信息(CUI)的更严格要求:
- 一级 仅包含 与联邦计算机系统(FCI)签订的合同,要求遵守《联邦采购条例》(FAR)第52.204-21条款中列出的15项安全控制措施,即"受保护承包商信息系统的基本防护措施"。一级合规要求每年进行一次自我评估,并提交年度合规确认书。
- 二级要求包含 涉及受控未分类信息(CUI)的合同,并需遵守美国国家标准与技术研究院(NIST)特别出版物(SP)800-171第2版规定的110项安全控制措施。 根据承包商在其信息系统中处理、存储或传输的CUI类型,部分需满足CMMC二级要求的承包商可进行年度自我评估,其余则需经认证第三方评估机构(C3PAO)实施验证检查。无论通过自我评估还是C3PAO认证,二级合规证明均需每三年更新一次。
- 三级是 更严格的安全等级,适用于国防部认定为特别敏感的涉及受控未分类信息(CUI)的合同。寻求获得CMMC三级合同的承包商必须遵守NIST SP 800-171第2版中的110项安全控制措施,以及NIST SP 800-172中的24项附加控制措施。 承包商在取得二级C3PAO认证后,若欲获取CMMC三级认证,还需通过国防合同管理署(DCMA)下属国防工业基地网络安全评估中心(DIBCAC)的认证。该三级DIBCAC评估须每三年进行一次,以维持CMMC三级(DIBCAC)资质状态。
承包商从CMMC合同规则中获得的关键要点
1) CMMC要求将在不到两个月内开始出现在国防部招标文件和合同中
《CMMC合同规则》赋予国防部自主权,可自2025年11月10日起在招标文件中纳入CMMC合同条款,从而将CMMC合规性作为合同授予的条件。
2) 国防部分阶段推行CMMC期间的预期情况
《CMMC合同规则》援引了《联邦法规汇编》第32卷第170.3条所规定的CMMC要求分阶段实施计划。该法规宣布国防部计划在未来三年内分四个阶段实施CMMC。
- 第一阶段:自2025年11月10日起,适用招标文件和合同将要求具备CMMC一级(自我评估)或二级(自我评估)资质作为合同授予条件。 国防部还可酌情要求:对于2025年11月10日前签订的合同,在2025年11月10日后行使的选项须达到CMMC一级(自我认证)或二级(自我认证)标准;同时在部分采购中以CMMC二级(C3PAO认证)替代二级(自我认证)要求。
- 第二阶段:自2026年11月10日起,相关招标文件和合同将要求将CMMC二级C3PAO评估作为合同授予的条件。 国防部有权酌情将CMMC二级(C3PAO)要求推迟至选项期实施,而非作为合同授予条件。国防部还可酌情在部分采购中纳入CMMC三级(DIBCAC)要求。
- 第三阶段:自2027年11月10日起,相关招标文件和合同将要求将CMMC二级(C3PAO)评估作为合同授予的条件,并作为国防部行使2025年11月10日后授予合同期权期的前提条件。 国防部还将把CMMC三级(C3PAO)要求纳入适用招标文件和合同的授予条件。国防部可酌情将CMMC三级(C3PAO)要求推迟至选择期执行,而非作为合同授予条件。
- 第四阶段:自2028年11月10日起,CMMC要求将纳入所有适用的国防部招标文件和合同,并适用于2028年11月10日前授予合同的选项期。
3) 哪些国防部合同受到影响?
当CMMC合同规则于2025年11月10日生效后,若项目办公室或需求方认定承包商需达到特定CMMC等级,合同官员可开始在招标文件和合同中加入《国防联邦采购条例补充条款》(DFARS)第252.204-7021条,并在DFARS第252.204-7025条中明确采购所需的CMMC等级。 此规定适用于商业产品、商业服务招标文件及合同,涵盖所有价值等级的合同。
最终规则中规定的唯一例外是:DFARS条款252.204-7021不适用于仅为采购商用现成产品(COTS)而进行的招标和合同。 COTS物品是指同时满足以下条件的供应品:(i) 在商业市场上以大量形式销售;(ii) 通过合同或分包合同(无论层级)向政府提供时,无需修改,且以与商业市场销售形式完全一致的形态交付。 因此,任何形式的产品修改——即使该修改属于商业市场标准范畴——都将使产品丧失COTS属性,并可能导致合同需满足CMMC合规要求。
此外,合同官员有权根据国防部需求,对2025年11月10日前授予的现有合同进行双边修改,纳入《国防联邦采购条例补充条款》(DFARS) 252.204-7021条款。承包商应在合同中接受该DFARS条款前,仔细审查此类修改并确保合规。
自2028年11月10日起,若"项目办公室或需求部门认定承包商在履行合同、任务订单或交付订单时,需使用承包商信息系统处理、存储或传输联邦受控信息(FCI)或受控未分类信息(CUI)",则美国国防部必须在招标文件和合同中纳入《国防联邦采购条例补充条款》(DFARS)第252.204-7021条款,但仅采购商用现成产品(COTS)的合同除外。 因此,自2028年11月10日起,除仅涉及商用现成产品的合同外,国防部几乎所有招标文件和合同都将要求达到某种程度的CMMC合规性。
4) 无CMMC认证,无合同
在向中标方授予合同之前,国防部必须通过SPRS系统核实该投标方是否具备所需的CMMC等级资质。 换言之,最终规则设立了执法通道,授权合同官员将认证(或根据等级要求自我声明)作为合同资格条件。这是重大操作转变——通过授权在国防部招标文件和合同中使用CMMC《国防联邦采购条例补充条款》,并将CMMC合规性作为合同授予条件,实现CMMC从政策层面向采购环节的转移。
5) “有条件”的CMMC状态可为尚未完成部分网络安全工作的承包商提供临时(重申,是临时)缓冲期
值得注意的是,CMMC合同规则允许向持有"有条件"CMMC二级或三级资质的承包商授予合同,只要该有条件资质的有效期少于180天,从而提供了一定灵活性。要将"有条件"的二级或三级资质转换为最终CMMC资质,承包商必须成功完成针对未达标要求的行动计划与里程碑(POA&M)的闭环处理。 由于"有条件"状态仅在180天内有效,承包商必须确保在获得有条件批准后的180天内完成所有未达标要求的整改。CMMC法规明确规定了有条件批准必须满足的特定物理安全要求,此类要求不得纳入POA&M计划。
若承包商未能在180天期限内完成所需整改,其CMMC条件性认证状态将失效,国防部可采取标准合同补救措施,包括终止合同。此外,在承包商达到所需CMMC等级认证前,将无资格承接任何包含CMMC要求的后续合同。
6) 下放考量及验证分包商CMMC状态流程的实施
CMMC合同条款(DFARS 252.204-7021)必须由总承包商及更高层级分包商纳入分包合同中,该条款适用于涉及处理、存储或传输联邦机密信息(FCI)或受控未分类信息(CUI)的分包合同。 这要求上级承包商评估其分包商需处理、存储和传输的信息类型,以确定是否必须将CMMC要求下达,以及分包商应达到何种CMMC合规等级。 在授予受CMMC要求约束的分包合同(仅涉及商用现成产品COTS的分包合同除外)前,总承包商或更高层级分包商有责任确认分包商持有符合要求CMMC级别的有效自我评估报告或认证证书。 遗憾的是,目前仅国防部可访问SPRS系统(企业申报CMMC状态的平台),因此上级承包商需确定要求分包商提供的验证材料(如认证文件或SPRS系统截图),以核查分包商的合规性。
7) 从拟议规则到最终规则的关键变更
拟议规则要求承包商在合同执行期间"出现任何信息安全漏洞或CMMC证书状态/CMMC自我评估等级变更时"须在72小时内通知合同办公室。该规则未明确界定国防部所称"信息安全漏洞"的具体含义。 鉴于该要求难以落实,且认为《国防联邦采购条例补充条款》中关于"当前"CMMC状态的定义、年度确认要求以及72小时内报告网络事件的规定已包含充分保障措施,国防部最终从CMMC合同条款中删除了承包商报告"信息安全漏洞"或32 CFR第170部分合规状态变更的要求。 要维持CMMC状态的"当前"有效性,自状态认定之日起,必须确保对32 CFR第170部分要求的合规性未发生任何变更。
承包商为满足合同CMMC要求所建议的行动事项
为满足CMMC合规要求,必须制定战略规划并作出坚定承诺。以下是国防承包商确保持续获得国防部合同资格的关键可执行步骤:
- 在履行国防部合同及分包合同时,请列明所有用于存储、处理或传输联邦机密信息(FCI)或受控未分类信息(CUI)的信息系统,并说明每套系统存储、处理或传输的信息类型。随后可评估这些已识别承包商信息系统应适用的CMMC等级要求,并判断其是否满足该等级的安全要求。
- 确保对IT基础设施和安全控制措施的变更需提前充分规划并审核,以避免因该基础设施或安全控制措施的变更导致承包商被指控不符合适用的CMMC要求。公司高级管理人员负责至少每年提交一次关于持续符合CMMC要求的确认声明。 若承包商在未持有"有效"CMMC证书或评估报告的情况下,于信息系统中取消特定安全控制措施或开始共享关键基础设施信息(FCI)或受控未分类信息(CUI),此类变更可能引发承包商"持续合规"声明失效的指控。
- 继续保持系统安全计划(SSP)的最新状态,并完成计划行动与措施(POA&M)中未满足的要求。确认已满足实现CMMC条件性状态所需的NIST要求。
- 开始规划对分包商和供应商的CMMC合规性监控与执行工作。着手为各分包商按其承担的工作内容划定预期需达成的CMMC合规等级。 与当前合作或未来可能合作的分包商及供应商进行沟通,评估他们在实施国防部合同所需安全控制措施方面的现状——这些控制措施是您预期CMMC正式实施后他们必须具备的。考虑如何要求分包商或供应商证明其已获得当前所需的CMMC等级认证或评估,并制定相应方案将这些要求纳入分包合同条款。
- 如需第三方评估,请提前安排。经批准的C3PAO机构数量有限,尽早预约可确保在需要此类评估和认证的招标文件发布前及时完成评估。
- 继续在72小时内及时报告网络安全事件。
结论
随着CMMC第一阶段实施的生效日期——2025年11月10日临近,国防承包商正面临网络安全合规性的变革时刻。 福里律师事务所采用多学科方法推进CMMC合规工作,为客户提供端到端咨询服务,助力保障其合同资格并维护安全防务生态系统——涵盖以下全流程支持:制定最佳主动性合规战略方案、审查国防合同要求、统筹管理合规项目、聘用及监督IT服务商、审核安全方案(SSP)与计划与行动方案(POA&M),以及处理网络安全事件。
若您对最终规则或CMMC要求有任何疑问,请联系珍·厄本、艾琳·图米、弗兰克·默里或塞缪尔·戈德斯蒂克。
