Departament Obrony USA podjął decyzję o zawieszeniu wymogu zewnętrznych audytów w ramach drugiej fazy programu Cybersecurity Maturity Model Certification (CMMC). Decyzja ta wynika z obaw o niewystarczającą skalowalność ekosystemu audytorów oraz rosnące koszty zgodności, które mogłyby wykluczyć mniejsze firmy z bazy przemysłowej obronności. Powołano specjalną grupę zadaniową (CMMC Reform Task Force), która w ciągu 60 dni przeprowadzi przegląd programu i przedstawi rekomendacje w połowie września.
Obowiązki prawne pozostają w mocy
Kluczowe jest zrozumienie, że zawieszenie dotyczy wyłącznie niezależnej weryfikacji zewnętrznej. Wszystkie dotychczasowe obowiązki w zakresie ochrony informacji niejawnych (CUI – Controlled Unclassified Information), wynikające z klauzuli DFARS 252.204-7012, pozostają w pełni wiążące. Firmy nadal muszą przeprowadzać samooceny, przesyłać wyniki do systemu SPRS (Supplier Performance Risk System) oraz wdrażać 110 wymagań normy NIST 800-171.
Eksperci ostrzegają, że poleganie wyłącznie na samoocenie bez zewnętrznej weryfikacji zwiększa ryzyko odpowiedzialności na mocy ustawy False Claims Act. W przeszłości Departament Sprawiedliwości USA wielokrotnie nakładał wysokie kary na firmy, które składały nieprawdziwe deklaracje dotyczące poziomu zabezpieczeń. Przykłady takich ugód obejmują:
Perspektywy branży: od audytów do odpowiedzialności
W środowisku specjalistów ds. cyberbezpieczeństwa panują podzielone opinie co do przyszłości programu. Część ekspertów uważa, że zawieszenie audytów to krok w stronę zwiększenia elastyczności rynku. Chris Nyhuis, CEO Vigilant, podkreśla, że obecny system audytowy był zbyt kosztowny i powolny dla innowacyjnych firm. Sugeruje on, że zamiast polegać na zewnętrznych audytorach, należy położyć większy nacisk na osobistą odpowiedzialność kadry zarządzającej za prawdziwość składanych deklaracji.
Z kolei inni eksperci, w tym Abdie Mohamed z NR Labs, zwracają uwagę na problem skali. Przy ponad 100 tysiącach firm w bazie przemysłowej i zaledwie około 100 autoryzowanych jednostkach audytujących (C3PAO), pierwotny model był matematycznie niemożliwy do zrealizowania. Mimo to, wielu specjalistów podkreśla, że audyt zewnętrzny jest jedynym skutecznym mechanizmem zapewniającym realną odpowiedzialność, a nie tylko „papierową zgodność”.
Propozycje zmian i wyzwania strukturalne
W trakcie trwającego przeglądu branża wskazuje na kilka obszarów wymagających poprawy:
Właściwym rozwiązaniem nie jest osłabienie zewnętrznych ocen, lecz drastyczne ograniczenie ich zakresu, np. do 15–20 tysięcy podmiotów, które faktycznie przetwarzają najbardziej wrażliwe dane CUI – twierdzi Ned Butler z firmy Redspin.
Wśród proponowanych rozwiązań wymienia się:
Dla firm z sektora obronnego obecny okres 60 dni nie powinien być czasem na wstrzymanie działań, lecz okazją do uszczelnienia systemów. Eksperci zgodnie podkreślają, że niezależnie od zmian w programie CMMC, wymogi bezpieczeństwa pozostają niezmienne, a brak przygotowania może skutkować nie tylko naruszeniem danych, ale i poważnymi konsekwencjami prawnymi w przypadku kontroli rządowej.