ApplePlanet.PL
  • REDAKCJA
  • WSPÓŁPRACA
  • POLITYKA PRYWATNOŚCI
No Result
View All Result
  • Apple
  • Nauka i technika
  • Sztuczna inteligencja AI
  • Security
  • Gry
  • Smartfony
  • Komputery & Tablety
  • Lora
sobota, 18 lipca, 2026
  • Apple
  • Nauka i technika
  • Sztuczna inteligencja AI
  • Security
  • Gry
  • Smartfony
  • Komputery & Tablety
  • Lora
No Result
View All Result
ApplePlanet.PL
No Result
View All Result
Home Bez kategorii

Branża komentuje wstrzymanie drugiej fazy certyfikacji CMMC

od Pan z ApplePlanet
18 lipca, 2026
w Bez kategorii
0
465
SHARES
1.5k
VIEWS
Udostępnij na FacebookuUdostępnij na Tweeterze

Departament Obrony USA podjął decyzję o zawieszeniu wymogu zewnętrznych audytów w ramach drugiej fazy programu Cybersecurity Maturity Model Certification (CMMC). Decyzja ta wynika z obaw o niewystarczającą skalowalność ekosystemu audytorów oraz rosnące koszty zgodności, które mogłyby wykluczyć mniejsze firmy z bazy przemysłowej obronności. Powołano specjalną grupę zadaniową (CMMC Reform Task Force), która w ciągu 60 dni przeprowadzi przegląd programu i przedstawi rekomendacje w połowie września.

Obowiązki prawne pozostają w mocy

Kluczowe jest zrozumienie, że zawieszenie dotyczy wyłącznie niezależnej weryfikacji zewnętrznej. Wszystkie dotychczasowe obowiązki w zakresie ochrony informacji niejawnych (CUI – Controlled Unclassified Information), wynikające z klauzuli DFARS 252.204-7012, pozostają w pełni wiążące. Firmy nadal muszą przeprowadzać samooceny, przesyłać wyniki do systemu SPRS (Supplier Performance Risk System) oraz wdrażać 110 wymagań normy NIST 800-171.

Eksperci ostrzegają, że poleganie wyłącznie na samoocenie bez zewnętrznej weryfikacji zwiększa ryzyko odpowiedzialności na mocy ustawy False Claims Act. W przeszłości Departament Sprawiedliwości USA wielokrotnie nakładał wysokie kary na firmy, które składały nieprawdziwe deklaracje dotyczące poziomu zabezpieczeń. Przykłady takich ugód obejmują:

  • Aerojet Rocketdyne: 9 mln USD (ok. 35 mln PLN)
  • Raytheon: 8,4 mln USD (ok. 33 mln PLN)
  • MORSE Corp: 4,6 mln USD (ok. 18 mln PLN)
  • Penn State: 1,25 mln USD (ok. 5 mln PLN)
  • Perspektywy branży: od audytów do odpowiedzialności

    W środowisku specjalistów ds. cyberbezpieczeństwa panują podzielone opinie co do przyszłości programu. Część ekspertów uważa, że zawieszenie audytów to krok w stronę zwiększenia elastyczności rynku. Chris Nyhuis, CEO Vigilant, podkreśla, że obecny system audytowy był zbyt kosztowny i powolny dla innowacyjnych firm. Sugeruje on, że zamiast polegać na zewnętrznych audytorach, należy położyć większy nacisk na osobistą odpowiedzialność kadry zarządzającej za prawdziwość składanych deklaracji.

    Z kolei inni eksperci, w tym Abdie Mohamed z NR Labs, zwracają uwagę na problem skali. Przy ponad 100 tysiącach firm w bazie przemysłowej i zaledwie około 100 autoryzowanych jednostkach audytujących (C3PAO), pierwotny model był matematycznie niemożliwy do zrealizowania. Mimo to, wielu specjalistów podkreśla, że audyt zewnętrzny jest jedynym skutecznym mechanizmem zapewniającym realną odpowiedzialność, a nie tylko „papierową zgodność”.

    Propozycje zmian i wyzwania strukturalne

    W trakcie trwającego przeglądu branża wskazuje na kilka obszarów wymagających poprawy:

    Właściwym rozwiązaniem nie jest osłabienie zewnętrznych ocen, lecz drastyczne ograniczenie ich zakresu, np. do 15–20 tysięcy podmiotów, które faktycznie przetwarzają najbardziej wrażliwe dane CUI – twierdzi Ned Butler z firmy Redspin.

    Wśród proponowanych rozwiązań wymienia się:

  • Uproszczenie procesu recertyfikacji po fuzjach i przejęciach.
  • Lepszą definicję tego, co stanowi informację CUI, aby nie obciążać podwykonawców, którzy nie mają z nią styczności.
  • Zwiększenie liczby certyfikowanych audytorów poprzez przyspieszenie procesów weryfikacji personelu (obecnie trwających nawet pół roku).
  • Automatyzację weryfikacji zgodności przy użyciu nowoczesnych narzędzi, co pozwoliłoby na skalowanie procesu bez nadmiernych kosztów dla małych przedsiębiorstw.
  • Dla firm z sektora obronnego obecny okres 60 dni nie powinien być czasem na wstrzymanie działań, lecz okazją do uszczelnienia systemów. Eksperci zgodnie podkreślają, że niezależnie od zmian w programie CMMC, wymogi bezpieczeństwa pozostają niezmienne, a brak przygotowania może skutkować nie tylko naruszeniem danych, ale i poważnymi konsekwencjami prawnymi w przypadku kontroli rządowej.

    Share186Tweet116
    Poprzedni artykuł

    Naukowcy odkryli w kosmosie nieuchwytne cząsteczki cukru

    Polub nas i bądź na bieżąco

    Ostatnie Wpisy

    • Branża komentuje wstrzymanie drugiej fazy certyfikacji CMMC 18 lipca, 2026
    • Naukowcy odkryli w kosmosie nieuchwytne cząsteczki cukru 18 lipca, 2026
    • Przeszczep tkanki jądra przywraca płodność u mężczyzn 18 lipca, 2026
    • Dron do zwalczania komarów niszczy owady w locie 18 lipca, 2026
    • Prywatny samolot Walta Disneya odrestaurowany po latach niszczenia na słońcu 18 lipca, 2026

    Informacje

    • Polityka prywatności
    • Redakcja
    • Współpraca
    • REDAKCJA
    • WSPÓŁPRACA
    • POLITYKA PRYWATNOŚCI

    Welcome Back!

    Login to your account below

    Forgotten Password?

    Retrieve your password

    Please enter your username or email address to reset your password.

    Log In

    Add New Playlist

    No Result
    View All Result
    • Apple
    • Sztuczna inteligencja AI
    • Komputery I tablety
    • Gry
    • Smartfony
    • Security
    • Nauka i technika
    • Lora
    • Współpraca
    • Redakcja