2024년 10월 11일, 사이버 보안 성숙도 모델 인증(CMMC) 최종 규칙이 발표되었다. 연방관보에는 10월 15일 게재될 예정이다. CMMC는 연방계약정보(FCI) 및 대외비밀에 해당하는 CUI를 취급하는 방위기업들이 적절한 수준으로 보호하고 있는지 확인하기 위한 인증 프로그램이다.
이번 최종 규칙의 핵심은 CMMC 프로그램의 구조를 간소화하고, 특히 중소기업들이 더 쉽게 준수할 수 있도록 지원하는 데 중점을 둔다. 기존 5단계 평가 체계는 3단계로 축소되었으며, 각 단계는 다음과 같이 설정된다.
CMMC 레벨 1: 연방 계약 정보(FCI)의 기본 보호 수준, 자가 평가
CMMC 레벨 2: CUI를 일반적으로 보호해야 하는 경우, 자가 평가 또는 제3자 평가 요구
CMMC 레벨 3: 고급 지속 위협에 대응하기 위한 더 높은 수준의 보호가 필요한 경우, 국방 산업 기지 사이버 보안 평가 센터(DIBCAC)의 평가 요구
이번 규칙은 연방 조달 규정(FAR) 및 미국 국가표준기술연구소(NIST)에서 제시한 사이버 보안 요구사항과도 일치하도록 구성되었으며, 특히 CMMC 레벨 3 인증을 위한 NIST SP 800-172 기준 24개 요구사항을 명확히 규정한다.
이번 CMMC 규칙 변경에 따라, 방산 기업들은 사이버 보안 상태를 점검하고 CMMC 평가에 대비해야 한다. 특히, CUI 또는 FCI를 처리하는 기업들은 계약을 유지하기 위해 해당 정보를 적절히 보호할 수 있도록 관련 인증을 준비하는 것이 중요하다. 클라우드 서비스 활용을 통해 사이버 보안 요구 사항을 충족할 수 있으며, DoD DIB 사이버 보안 지원 프로그램을 활용할 수도 있다.
미 국방부 계약서에 CMMC 요구사항을 포함시키는 규정은 2025년 초에 발표될 예정이다. 즉 제안요청서 및 계약서에 CMMC가 등장하는 시기는 내년 초가 될 것이다. 따라서 기업들은 자신들이 취급하는 정보의 중요성에 따라 적합한 인증 수준을 확보하는 것이 필수적이다.
출처:
Comentários