Defesa dos EUA publica padroes de cyber para fornecedores

Os padrões estão na versão 1.0 do Cybersecurity Maturity Model Certification (CMCC), que tem cinco níveis de certificação. Elas começam a ser exigidas ainda este ano

O Departamento de Defesa dos Estados Unidos finalmente publicou, no último dia de Janeiro, os padrões de segurança cibernética que todos os seus fornecedores devem cumprir. De uma forma ou de outra, eles irão influenciar padrões semelhantes no mundo inteiro, tanto para finalidades civis quanto militares.

Os padrões estáo na versão 1.0 do Cybersecurity Maturity Model Certification (CMCC). Ele exige de qualquer empresa que faça negócios com o Departamento de Defesa, seja diretamente ou por meio de subcontrato, que atenda “pelo menos um nível básico de padrões de segurança cibernética” ao responder a solicitações de propostas.

O CMMC é baseado em orientações do NIST (Instituto Nacional de Padrões e Tecnologia) sobre proteção de informações “não-classificadas, controladas (CUI), em sistemas não-federais” e em “controles de segurança e privacidade para sistemas federais”. O CMCC descreve cinco níveis de certificação, abordando práticas e processos em segurança cibernética.

O nível 1 abrange a higiene cibernética básica; o 2 envolve certificação de processos de segurança cibernética para garantir que um contratado “documente, gerencie, revise e otimize efetivamente suas práticas em toda a empresa”; o nível 5 exige que o fornecedor padronize as práticas de segurança cibernética em toda a organização e se concentre na proteção da CUI contra ameaças persistentes avançadas (APTs).

Neste ano o DOD planeja publicar dez pedidos de informação e dez RFPs exigindo a certificação CMMC daqueles que forem contratados. Até o ano fiscal de 2026, todos os novos contratos do Departamento deverão conter os requisitos do CMMC atendidos, de acordo com a subsecretária de Defesa para Aquisição e Manutenção, Ellen Lord. O CMMC será um “lançamento complicado”, disse ela, e o prazo de cinco anos para torná-lo obrigatório em todos os contratos é considerado ‘realista’.

Com agências internacionais