Ако доставяте каквото и да е на Министерството на отбраната — от машинни части до софтуер, от логистични услуги до инженерни чертежи — часовникът за вашия бизнес вече тече. Програмата за сертифициране на модела за зрялост на киберсигурността (CMMC) официално влезе в договорите на Министерството на отбраната (DoD) на 10 ноември 2025 г., а фазата на сертифициране от трети страни, която следва на 10 ноември 2026 г., тихо ще дисквалифицира хиляди малки подизпълнители, които са предполагали, че имат повече време.
Най-неудобният факт за CMMC е, че това не е съвсем нов правилник. Това е механизъм за проверка на изискванията за киберсигурност, които са заложени в Допълнението към Федералния регламент за придобиване на отбрана (DFARS) още от 2017 г. Проучванията в индустрията все още показват, че по-малко от 15 процента от отбранителните изпълнители са внедрили напълно тези основни контроли NIST SP 800-171. Това е празнината, която CMMC е проектиран да разкрие — и празнината, която вече е договорно съществена за това дали ще спечелите или загубите търг.
Това ръководство е за собственици, оперативни директори и ИТ ръководители в малки предприятия, които внезапно се оказват пред необходимостта да преведат рамка от 110 контроли, ръководство за оценка с 320 цели и модел за сертифициране на три нива в нещо, което могат да бюджетират, планират и изпълнят преди приключването на следващата тръжна процедура.
Трите нива на разбираем език
CMMC 2.0 свива оригиналния модел от пет нива до три. Нивото, от което се нуждаете, се определя от вида правителствена информация, с която боравите, а не от размера на вашата компания или доларовата стойност на вашия договор.
Ниво 1 (Фундаментално) се прилага, ако единствената ви информация, свързана с DoD, е Информация за федерални договори (FCI) — непубличната информация, генерирана по или за договор, която правителството не е определило за публично оповестяване. Помислете за поръчки за покупка, графици за доставка, основни данни за заданието. Ниво 1 съответства на 17-те основни защитни контроли в клауза FAR 52.204-21 и се удовлетворява чрез годишна самооценка с потвърждение от висше длъжностно лице в Системата за риск при представянето на доставчиците (SPRS) на DoD.
Ниво 2 (Разширено) се прилага в момента, в който всяка Контролирана некласифицирана информация (CUI) влезе в досег с вашата среда. CUI е по-широка категория, която включва технически данни под експортен контрол, контролирана техническа информация, информация за военноморско ядрено задвижване, определени видове лична информация и други категории, дефинирани в Регистъра на CUI. Ниво 2 изисква внедряване на всички 110 контроли в NIST SP 800-171 Ревизия 2, оценени спрямо 320-те цели за оценка в NIST SP 800-171A. Повечето договори от Ниво 2 изискват тригодишна оценка от Сертифицирана организация за оценяване от трети страни (C3PAO). Малка част от договорите за "некритична CUI" може да позволяват годишна самооценка, но не трябва да приемате, че вашият договор отговаря на условията, освен ако служителят по договорите не го заяви изрично.
Ниво 3 (Експертно) е запазено за изпълнители, работещи с CUI, свързана с програмите с най-висок приоритет на DoD. То добавя 24 контроли от NIST SP 800-172 над 110-те от 800-171 и се оценява от Центъра за оценка на киберсигурността на отбранителната индустриална база (DIBCAC). Ако вече не знаете, че сте Ниво 3, почти сигурно не сте.
Практическото значение: ако вашият бизнес някога получава технически чертежи, спецификации, маркирани като CUI, данни под контрола на ITAR или нещо друго, което основният изпълнител описва като "контролирано", вие сте обект на Ниво 2 и трябва да бюджетирате съответно.
Какво се промени в окончателното правило
Изменението на DFARS, което кодифицира CMMC, влезе в сила на 10 ноември 2025 г. с поетапно четиригодишно въвеждане. Две части от правилото заслужават внимание, тъй като често се разбират погрешно.
Първо, клауза DFARS 252.204-7019 — самостоятелното изискване за извършване на основна самооценка по NIST SP 800-171 и публикуване на резултат в SPRS — беше включена в клаузите на CMMC и вече не съществува като отделна разпоредба. Много малки предприятия все още работят под предположението, че публикуването на резултат от самооценка е краят на тяхното задължение за съответствие. След 10 ноември 2025 г. това е абсолютният минимум, необходим за участие в търг, а след 10 ноември 2026 г. вече няма да е достатъчно за повечето договори с CUI.
Второ, DFARS 252.204-7021 прави сертифицирането по CMMC условие за възлагане на договор и изисква от изпълнителя да поддържа това сертифициране през целия период на изпълнение. Това означава, че вашето сертифициране не може тихомълком да изтече по средата на договора; ако това се случи, имате проблем със съответствието, който се пренася по веригата на доставки до основния изпълнител.
Трето, DFARS 252.204-7012 — клаузата за докладване на инциденти, която е в сила от 2017 г. — остава непроменена. Все още имате 72 часа, за да докладвате кибер инцидент, засягащ защитена отбранителна информация, и все още трябва да предоставите носители за форензичен анализ при поискване.
14-те семейства контроли, разяснени
110-те контроли от Ниво 2 са организирани в 14 семейства, които отразяват структурата на NIST SP 800-171. Разглеждането им на достъпен език помага да се види къде всъщност се крие същинската работа.
Контрол на достъпа (22 контроли) определя кой може да се вписва, какво може да вижда и какво може да прави след това. Очаквайте да направите опис на всеки потребител, роля и споделен акаунт във вашата среда.
Осъзнатост и обучение (3 контроли) изисква документирано обучение по сигурност за всички потребители и специфично за ролята им обучение за привилегированите потребители. Общите модули за фишинг не са достатъчни сами по себе си.
Одит и отчетност (9 контроли) изисква вашите системи да генерират, защитават и преглеждат регистрационни файлове (логове), достатъчни за възстановяване на случилото се по време на инцидент. Много малки предприятия се провалят тук не защото не могат да генерират логове, а защото никой не ги преглежда.
Управление на конфигурацията (9 контроли) изисква да установите базови нива (baselines) за всяка система, която обработва контролирана некласифицирана информация (CUI), и да управлявате промените в тези нива. Тук неоторизираният софтуер и „сенчестото ИТ“ (shadow IT) се превръщат в констатации от одита.
Идентификация и автентификация (11 контроли) е семейството за многофакторна автентификация. MFA за привилегировани акаунти не подлежи на преговори. MFA за всички акаунти, които имат достъп до CUI, е практическата интерпретация, която одиторите прилагат.
Реакция при инциденти (3 контроли) изисква тествана способност за реакция при инциденти с документирани процедури, обучение и докладване. 72-часовият срок по DFARS 7012 прави това изискване съвсем конкретно.
Поддръжка (6 контроли) контролира как извършвате поддръжка на системи, обработващи CUI, включително дистанционна поддръжка и надзор на доставчици, които имат достъп до вашата среда.
Защита на носителите (9 контроли) обхваща етикетирането, транспортирането, санирането и унищожаването на носители, съдържащи CUI — да, включително USB устройството, на което се съхраняват резервни копия на инженерни данни.
Сигурност на персонала (2 контроли) изисква проверка на служителите преди предоставяне на достъп до CUI и гарантира, че достъпът се прекратява при приключване на трудовите правоотношения.
Физическа защита (6 контроли) управлява физическия достъп до обекти, където се обработва CUI, включително журнали за посетители и предпазни мерки за оборудването.
Оценка на риска (3 контроли) изисква периодични оценки на риска и сканиране за уязвимости на системите в обхвата.
Оценка на сигурността (4 контроли) изисква документиран План за сигурност на системата (SSP) и План за действия и етапи (POA&M) — двата артефакта, които всеки одитор отваря първо.
Защита на системите и комуникациите (16 контроли) обхваща защитата на периметъра, криптирането при транзит, криптирането в покой и архитектурното отделяне на CUI от други данни.
Интегритет на системите и информацията (7 контроли) обхваща отстраняването на недостатъци, защитата от зловреден код и мониторинга.
110-те контроли се разширяват до 320 цели за оценка в NIST SP 800-171A. Всяка цел е отделен въпрос с отговор „да“ или „не“, който одиторът ще зададе, и всяка изисква доказателство — политика, екранна снимка на конфигурация, извадка от лог, подписано потвърждение. Създателите на хранилища за доказателства за съответствие обикновено изчисляват между 600 и 1200 индивидуални доказателства за чиста оценка за Ниво 2.
Колко всъщност струва това на един малък бизнес
Собственият анализ на регулаторното въздействие на Министерството на отбраната (DoD) оценява, че приблизително 229 818 от 337 968 засегнати субекта са малки предприятия. Реалните разходи варират повече, отколкото би признала която и да е презентация на доставчик.
Оценките на пропуските (Gap assessments) от независими консултанти варират от около 3 500 долара в ниския сегмент до 20 000 долара за задълбочен преглед на версия 2, включително проект на SSP. Това са най-добре похарчените пари, преди да се ангажирате с отстраняване на несъответствията, защото ви показват действителния мащаб на проекта.
Разходите за отстраняване на несъответствията (Remediation) за малки предприятия обикновено попадат в диапазона между 35 000 и 115 000 долара в зависимост от пропуските. Скъпите пера обикновено са: съвместим тенант на Microsoft 365 GCC High (или еквивалент), системи за откриване и реакция на крайни точки (EDR), многофакторна автентификация навсякъде, управлявана услуга за управление на информацията и събитията в областта на сигурността (SIEM) и трудът за написване и прилагане на изискваните политики.
Таксите за оценка от C3PAO за сертифициране на Ниво 2 обикновено варират от 20 000 до 75 000 долара за малка среда, като за по-големи или по-сложни среди сумите са по-високи. Сроковете за изпълнение в момента са от 3 до 6 месеца и се увеличават — има по-малко от 100 оторизирани C3PAO, обслужващи приблизително 80 000 изпълнители за Ниво 2, и капацитетът все още не догонва търсенето.
Текущи оперативни разходи — управлявани услуги, обучение, инструменти, време на вътрешния персонал — обикновено добавят между 10 000 и 20 000 долара годишно за малък бизнес, всяка година, за неопределено време.
Общата цена на притежание (TCO) за малка фирма на Ниво 2, включително първия цикъл на сертифициране, обикновено възлиза на 80 000 до 250 000 долара за три години. Ниво 1 е значително по-евтино, често постижимо за под 10 000 долара, ако вашата среда вече се управлява сравнително добре.
Тези цифри са неприятни. Те също така могат да бъдат заложени в цените на офертите. Ако вашите договори не могат да ги абсорбират, това е стратегически въпрос, на който си струва да си отговорите, преди да прекарате още едно тримесечие в преследване на поръчки от Министерството на отбраната.
Вратичката в Плана за действие и важни етапи (POA&M)
Финалното правило запазва ограничен механизъм за POA&M за Ниво 2. Можете да постигнете условна сертификация с отворени елементи, при условие че:
- Общият ви SPRS резултат е 88 или повече (от 110).
- Отворените елементи не са в списъка с контролни механизми с висока стойност, които трябва да бъдат напълно изпълнени към момента на оценката (многофакторна автентикация, FIPS-валидирана криптография, непрекъснат мониторинг на сигурността и малък брой други).
- Затворите всеки отворен елемент в рамките на 180 дни, като в този момент последваща оценка за приключване (closeout assessment) превръща условния ви статус във финален.
Плановете POA&M са полезни, но не са заместител на подготовката. Условна сертификация с неуспешно затваряне на елементите в 180-дневния срок е съществено по-лоша от забавена първоначална оценка, тъй като може да доведе до загуба на сертификация по средата на договора.
90-дневен път за малък изпълнител, започващ сега
Ако четете това в средата на 2026 г. и още не сте започнали, ето един реалистичен сгъстен график. Той предполага, че Ниво 2 е вашата цел и средата ви е типична за малък бизнес с 10 до 50 служители.
Дни 1 до 14: Обхват и инвентаризация. Идентифицирайте всяка система, потребителски акаунт и поток от данни, които имат досег с CUI (контролирана некласифицирана информация). Повечето малки предприятия силно надценяват обхвата на CUI в своята среда; целта е възможно най-малкият защитим анклав, който все пак изпълнява договорните задължения. Решете дали ще използвате специален CUI анклав (отделен Microsoft 365 GCC High тенант или еквивалент) или ще се опитате да постигнете съответствие в рамките на цялото предприятие. Анклавите почти винаги са по-евтини за малките фирми.
Дни 15 до 30: Оценка на пропуските. Ангажирайте регистрирана организация (RPO) или квалифициран консултант, който да извърши оценка на пропуските (gap assessment) по NIST SP 800-171 Rev. 2 спрямо 110-те контролни механизма и 320-те цели. Настоявайте за писмен доклад с констатации за всеки контролен механизъм, препоръки за отстраняване и проект на SSP (Системен план за сигурност).
Дни 31 до 60: Спринтове за отстраняване на пропуските. Заемете се първо с контролните механизми с висока стойност, тъй като те не могат да присъстват в POA&M. Въведете многофакторна автентикация (MFA) за всеки акаунт, който има досег с CUI. Мигрирайте работните процеси с CUI в тенант, отговарящ на изискванията. Внедрете EDR. Установете централизирано събиране на логове. Напишете или купете 14-те политически документа, които ръководството за оценка изисква.
Дни 61 до 75: Документация и обучение. Завършете SSP, проведете обучения за сигурност въз основа на ролите, организирайте първото си вътрешно учение за реагиране при инциденти и актуализирайте своя SPRS резултат. Създайте хранилището за доказателства, което оценителят ще поиска.
Дни 76 до 90: Предварителна оценка и резервация. Проведете вътрешна пробна оценка, като използвате NIST SP 800-171A като критерий. Затворете всички останали пропуски. Подайте заявка за насрочване на C3PAO — и приемете факта, че реалната оценка може да бъде след 90 до 180 дни от датата на заявката. Използвайте времето за чакане, за да прилагате контролните механизми; оценителите търсят доказателства за устойчива работа, а не току-що създадени политики.
Това е агресивен график. Той е постижим за организация с ангажираност от страна на ръководството, честен обхват и готовност за разходи. Организациите, които се опитват да вкарат съответствието в разгърната и недокументирана среда, обикновено се нуждаят от 9 до 12 месеца.
Счетоводство за проекта за съответствие
Две грешки във финансовото управление рутинно усложняват CMMC проектите в малките предприятия.
Първата е третирането на разходите за съответствие като един общ бюджет. Един чист сметкоплан разделя еднократните разходи за отстраняване на пропуски (които в много случаи са капитализируеми), периодичните абонаменти за софтуер (оперативни разходи), труда на вътрешния персонал (често разпределим между множество програми) и таксите за оценка (разход на ниво договор, който може да бъде допустим съгласно ставките за косвени разходи за договори с възстановяване на разходите). Изпълнителите в отбраната със счетоводни системи, съвместими с изискванията на DCAA, се нуждаят от особено прецизно проследяване на тези категории; погрешната класификация може да се появи години по-късно като оспорени разходи.
Втората грешка е липсата на проследяване на CMMC разходите по договори. Ако вашата инвестиция в съответствие е била продиктувана от изискване на конкретен договор, може да успеете да възстановите част от нея чрез допустими разходи или ценообразуване при последващи договори. Ако не можете да посочите кой договор е бил подкрепен от даден разход, няма как да защитите тезата си.
Счетоводството в обикновен текст с контрол на версиите се вписва добре в тази среда именно защото оставя одитируема следа. Всяка трансакция е четима от човек, всяка промяна е в контрола на версиите, а самите книги могат да бъдат прегледани от одитор на DCAA без специализирани инструменти от вендори. Няколко контролни механизма в NIST SP 800-171 — особено в семействата Audit and Accountability и Configuration Management — изискват подобни свойства в ИТ системите и има тиха елегантност в това финансовите записи да отговарят на същия стандарт.
Общи грешки, които трябва да се избягват
Няколко модела се повтарят при малките изпълнители, които се провалят на първата си оценка.
Третиране на MFA като опция. Многофакторната автентикация за привилегировани акаунти е най-честият неуспех при контролните механизми. Същевременно това е и най-евтиният проблем за отстраняване. Решете това още през първата седмица.
Неправилно класифициране на CUI. Или маркиране на твърде много информация като CUI (ненужно разширяване на обхвата и разходите), или маркиране на твърде малко (създаване на реален риск). Изисквайте яснота от вашия служител по договорите относно категориите CUI, преди да определите обхвата на проекта.
Смесване на ИТ сигурността със съответствието с изискванията за киберсигурност. Доставчик на управлявани услуги (MSP), който поддържа лаптопите ви обновени, не е същото като RPO или C3PAO. Уменията се припокриват, но работата по документацията, доказателствата и готовността за оценка е различна дисциплина.
Подценяване на документацията. Оценителите не приемат устни обяснения. Всеки контролен механизъм се нуждае от доказателство, което съществува днес, а не доказателство, което компанията би могла да предостави, ако бъде поискано. Изграждайте хранилището за доказателства успоредно с процеса на отстраняване на пропуските.
Вярването, че главният изпълнител (prime) ще се погрижи за това. Главните изпълнители прехвърлят своите изисквания за съответствие надолу по веригата чрез поддоговори. Те не са ваши оценители, нито ваши одитори, но със сигурност ще се откажат от подизпълнител, който застрашава тяхната собствена сертификация.
Поддържайте разходите си за съответствие видими и подлежащи на одит
Съответствието с киберсигурността вече е перо, което всеки изпълнител в отбранителната индустрия ще носи до края на жизнения цикъл на програмата. Точното проследяване на тези разходи — по договор, по група контроли, по разходи за отстраняване спрямо оперативни разходи — е разликата между проект, който можете да защитите при одит на DCAA, и проект, който тихо изяжда вашия марж. Beancount.io предлага счетоводство в обикновен текстов формат, което ви осигурява пълна прозрачност и контрол на версиите върху всеки финансов запис, без обвързване с конкретен доставчик и без непрозрачни отчети. Започнете безплатно и осигурете на счетоводните си книги същата готовност за одит, каквато CMMC изисква от вашата ИТ среда.