CMMC 2.0 en NIST 800-171 in 2026: Een stappenplan voor certificering voor kleine defensie-aannemers

14 min leestijdMike ThriftMike Thrift
CMMC 2.0 en NIST 800-171 in 2026: Een stappenplan voor certificering voor kleine defensie-aannemers

Als u iets levert aan het Ministerie van Defensie (DoD) — van bewerkte onderdelen tot software, van logistieke diensten tot technische tekeningen — loopt de klok voor uw bedrijf. Het Cybersecurity Maturity Model Certification (CMMC)-programma is officieel opgenomen in DoD-contracten op 10 november 2025, en de daaropvolgende fase van certificering door derden op 10 november 2026 zal in stilte duizenden kleine onderaannemers diskwalificeren die dachten dat ze meer tijd hadden.

Het meest ongemakkelijke feit over CMMC is dat het niet echt een nieuw reglement is. Het is een verificatiemechanisme voor cybersecurity-eisen die al sinds 2017 zijn ingebed in de Defense Federal Acquisition Regulation Supplement (DFARS). Sectoronderzoeken tonen nog steeds aan dat minder dan 15 procent van de defensieleveranciers deze onderliggende NIST SP 800-171-controles volledig heeft geïmplementeerd. Dat is de kloof die CMMC moet blootleggen — en de kloof die nu contractueel bepalend is voor het winnen of verliezen van een aanbesteding.

Deze gids is bedoeld voor eigenaren, COO's en IT-leads bij kleine bedrijven die plotseling een raamwerk van 110 controles, een beoordelingsgids met 320 doelstellingen en een certificeringsmodel met drie niveaus moeten vertalen naar iets dat ze kunnen budgetteren, plannen en leveren voordat de volgende aanbesteding sluit.

De drie niveaus in duidelijke taal

CMMC 2.0 brengt het oorspronkelijke model met vijf niveaus terug naar drie. Het niveau dat u nodig heeft, wordt bepaald door het soort overheidsinformatie dat u verwerkt, niet door de grootte van uw bedrijf of de geldwaarde van uw contract.

Level 1 (Fundamenteel) is van toepassing als uw enige DoD-gerelateerde informatie Federale Contractinformatie (FCI) is — de niet-openbare informatie gegenereerd onder of voor een contract die de overheid niet heeft aangewezen voor openbare vrijgave. Denk aan inkooporders, leveringsschema's, basisgegevens uit de taakomschrijving. Level 1 komt overeen met de 17 basisbeveiligingscontroles in FAR-clausule 52.204-21 en wordt voldaan via een jaarlijkse zelfevaluatie met een bevestiging van een hogere functionaris in het Supplier Performance Risk System (SPRS) van de DoD.

Level 2 (Geavanceerd) is van toepassing op het moment dat Gecontroleerde Niet-Geclassificeerde Informatie (CUI) uw omgeving raakt. CUI is een bredere categorie die onder meer technisch exportgegevens, gecontroleerde technische informatie, informatie over nucleaire voortstuwing van de marine, bepaalde soorten persoonlijk herleidbare informatie en andere categorieën omvat die zijn gedefinieerd in het CUI-register. Level 2 vereist de implementatie van alle 110 controles in NIST SP 800-171 Revisie 2, geëvalueerd tegen de 320 beoordelingsdoelstellingen in NIST SP 800-171A. De meeste Level 2-contracten vereisen een driejaarlijkse beoordeling door een Certified Third-Party Assessor Organization (C3PAO). Een klein deel van de "niet-kritieke CUI"-contracten staat mogelijk een jaarlijkse zelfevaluatie toe, maar u moet er niet van uitgaan dat uw contract in aanmerking komt, tenzij de contractbeheerder dit expliciet aangeeft.

Level 3 (Expert) is gereserveerd voor leveranciers die CUI verwerken die verband houdt met de programma's met de hoogste prioriteit van de DoD. Het voegt 24 controles uit NIST SP 800-172 toe aan de 110 van 800-171, en wordt beoordeeld door het Defense Industrial Base Cybersecurity Assessment Center (DIBCAC). Als u niet al weet dat u Level 3 bent, bent u dat vrijwel zeker niet.

De praktische implicatie: als uw bedrijf ooit technische tekeningen, specificaties met de aanduiding CUI, ITAR-gecontroleerde gegevens of iets anders ontvangt dat de hoofdaannemer omschrijft als "gecontroleerd", bent u een Level 2-bedrijf en moet u dienovereenkomstig budgetteren.

Wat is er veranderd in de definitieve regelgeving

Het DFARS-amendement dat CMMC codificeert, is op 10 november 2025 in werking getreden met een gefaseerde uitrol van vier jaar. Drie onderdelen van de regel verdienen aandacht omdat ze vaak verkeerd worden begrepen.

Ten eerste is DFARS-clausule 252.204-7019 — de afzonderlijke vereiste om een basis NIST SP 800-171-zelfevaluatie uit te voeren en een score in SPRS te plaatsen — opgenomen in de CMMC-clausules en bestaat deze niet langer als een afzonderlijke bepaling. Veel kleine bedrijven werken nog steeds in de veronderstelling dat het plaatsen van een zelfevaluatiescore het einde van hun nalevingsverplichting is. Na 10 november 2025 is dit het absolute minimum dat nodig is om te bieden, en na 10 november 2026 is het voor de meeste CUI-contracten helemaal niet meer voldoende.

Ten tweede maakt DFARS 252.204-7021 CMMC-certificering een voorwaarde voor contracttoekenning en vereist het dat de leverancier die certificering gedurende de gehele uitvoeringsperiode behoudt. Dat betekent dat uw certificering niet stilletjes mag verlopen tijdens het contract; als dat wel gebeurt, heeft u een nalevingsprobleem dat via de toeleveringsketen doorwerkt naar de hoofdaannemer.

Ten derde blijft DFARS 252.204-7012 — de clausule voor incidentrapportage die sinds 2017 van kracht is — intact. U heeft nog steeds 72 uur de tijd om een cyberincident te melden dat gevolgen heeft voor gedekte defensie-informatie, en u moet op verzoek nog steeds media verstrekken voor forensische analyse.

De 14 beheersmaatregelen-families ontrafeld

De 110 beheersmaatregelen van Level 2 zijn onderverdeeld in 14 families die de structuur van NIST SP 800-171 volgen. Door ze in gewone taal te lezen, ziet u waar het werk zich daadwerkelijk bevindt.

Toegangsbeheer (22 beheersmaatregelen) regelt wie kan inloggen, wat zij kunnen zien en wat zij kunnen doen zodra zij binnen zijn. Verwacht dat u elke gebruiker, rol en gedeeld account in uw omgeving moet inventariseren.

Bewustwording en training (3 beheersmaatregelen) vereist gedocumenteerde beveiligingsbewustwordingstraining voor alle gebruikers en op rollen gebaseerde training voor bevoorrechte gebruikers. Algemene phishing-modules zijn op zichzelf niet voldoende.

Audit en verantwoording (9 beheersmaatregelen) vereist dat uw systemen logs genereren, beschermen en beoordelen die voldoende zijn om te reconstrueren wat er tijdens een incident is gebeurd. Veel kleine bedrijven falen hier niet omdat ze geen logs kunnen genereren, maar omdat niemand ze beoordeelt.

Configuratiebeheer (9 beheersmaatregelen) vraagt u om baselines vast te stellen voor elk systeem dat CUI verwerkt en om wijzigingen aan die baselines te beheren. Dit is waar ongeoorloofde software en "shadow IT" een auditbevinding worden.

Identificatie en authenticatie (11 beheersmaatregelen) is de familie voor multifactorauthenticatie. MFA op bevoorrechte accounts is ononderhandelbaar. MFA op alle accounts die toegang hebben tot CUI is de praktische interpretatie die auditoren toepassen.

Incidentrespons (3 beheersmaatregelen) vereist een geteste incidentrespons-capaciteit met gedocumenteerde procedures, training en rapportage. De DFARS 7012 72-uurs termijn maakt dit concreet.

Onderhoud (6 beheersmaatregelen) regelt hoe u onderhoud uitvoert aan systemen die CUI verwerken, inclusief onderhoud op afstand en het toezicht op leveranciers die uw omgeving aanraken.

Mediabescherming (9 beheersmaatregelen) omvat etikettering, transport, opschoning en vernietiging van media die CUI bevatten — ja, inclusief de USB-stick met reservekopieën van technische gegevens.

Personeelsbeveiliging (2 beheersmaatregelen) vereist screening voordat toegang tot CUI wordt verleend en zorgt ervoor dat de toegang wordt beëindigd wanneer het dienstverband eindigt.

Fysieke beveiliging (6 beheersmaatregelen) regelt de fysieke toegang tot faciliteiten waar CUI wordt verwerkt, inclusief bezoekerslogs en beveiliging van apparatuur.

Risicobeoordeling (3 beheersmaatregelen) vereist periodieke risicobeoordelingen en kwetsbaarheidsscans van de systemen die binnen de scope vallen.

Beveiligingsbeoordeling (4 beheersmaatregelen) vereist een gedocumenteerd System Security Plan (SSP) en een Plan of Action and Milestones (POA&M) — de twee documenten die elke assessor als eerste opent.

Systeem- en communicatiebeveiliging (16 beheersmaatregelen) omvat grensbeveiliging, versleuteling tijdens transport, versleuteling in rust en architecturale scheiding van CUI van andere gegevens.

Systeem- en informatie-integriteit (7 beheersmaatregelen) omvat het verhelpen van fouten, bescherming tegen kwaadaardige code en monitoring.

De 110 beheersmaatregelen breiden zich uit naar 320 beoordelingsdoelstellingen in NIST SP 800-171A. Elke doelstelling is een afzonderlijke ja-of-nee vraag die de assessor zal stellen, en elke doelstelling vereist bewijsmateriaal — een beleid, een screenshot van een configuratie, een logbestand, een ondertekende verklaring. Bouwers van opslagplaatsen voor nalevingsbewijzen schatten doorgaans 600 tot 1.200 individuele bewijsstukken in voor een succesvolle Level 2-beoordeling.

Wat dit daadwerkelijk kost voor een kleine onderneming

De eigen analyse van de regelgevingsimpact van het DoD schat dat ongeveer 229.818 van de 337.968 getroffen entiteiten kleine ondernemingen zijn. De realiteit van de kosten varieert meer dan de verkoopbrochures van leveranciers willen toegeven.

Gap-analyses door onafhankelijke consultants variëren van ongeveer $3.500 aan de lage kant tot $20.000 voor een grondige Rev. 2 beoordeling inclusief een concept SSP. Dit is het beste geld dat u kunt uitgeven voordat u zich vastlegt aan herstelwerkzaamheden, omdat het u de omvang van het eigenlijke project vertelt.

Herstelkosten voor kleine bedrijven liggen gewoonlijk tussen $35.000 en $115.000, afhankelijk van de kloof. De dure posten zijn meestal: een conforme Microsoft 365 GCC High tenant (of het equivalent), endpoint detection and response (EDR), overal multifactorauthenticatie, een managed security information and event management (SIEM) service, en de arbeid om het vereiste beleid te schrijven en uit te voeren.

C3PAO beoordelingskosten voor Level 2-certificering variëren doorgaans van $20.000 tot $75.000 voor een kleine omgeving, waarbij grotere of complexere omgevingen hoger uitvallen. De doorlooptijden zijn momenteel 3 tot 6 maanden en nemen toe — er zijn minder dan 100 geautoriseerde C3PAO's voor naar schatting 80.000 Level 2-contractanten, en de capaciteit houdt nog geen gelijke tred met de vraag.

Lopende exploitatiekosten — beheerde diensten, training, instrumenten, tijd van intern personeel — voegen doorgaans $10.000 tot $20.000 per jaar toe voor een klein bedrijf, elk jaar, voor onbepaalde tijd.

De totale eigendomskosten voor een klein Level 2-bedrijf, inclusief de eerste certificeringscyclus, liggen gewoonlijk tussen $80.000 en $250.000 over drie jaar. Level 1 is aanzienlijk goedkoper, vaak haalbaar voor minder dan $10.000 als uw omgeving al redelijk goed wordt beheerd.

Deze cijfers zijn ongemakkelijk. Ze zijn echter ook meeberekenbaar in offertes. Als uw contracten deze niet kunnen dragen, is dat een strategische vraag die beantwoord moet worden voordat u nog een kwartaal besteedt aan het najagen van DoD-opdrachten.

De maas in de wet voor het Plan van aanpak en mijlpalen (POA&M)

De definitieve regel handhaaft een beperkt POA&M-mechanisme voor Niveau 2. U kunt een voorwaardelijke certificering verkrijgen met openstaande punten, mits:

  • Uw totale SPRS-score 88 of hoger is (van de 110).
  • De openstaande punten niet op de lijst van hoogwaardige beheersingsmaatregelen staan die volledig moeten zijn voldaan op het moment van beoordeling (multi-factor authenticatie, door FIPS gevalideerde cryptografie, continue beveiligingsmonitoring en een klein aantal andere).
  • U elk openstaand punt binnen 180 dagen sluit, waarna een afsluitende beoordeling uw voorwaardelijke status omzet in een definitieve status.

POA&M's zijn nuttig, maar ze zijn geen vervanging voor voorbereiding. Een voorwaardelijke certificering met een mislukte afsluiting na 180 dagen is wezenlijk slechter dan een uitgestelde initiële beoordeling, omdat dit kan leiden tot het verlies van certificering halverwege een contract.

Een traject van 90 dagen voor een kleine aannemer die nu begint

Als u dit halverwege 2026 leest en nog niet bent begonnen, volgt hier een realistisch, gecomprimeerd schema. Het gaat ervan uit dat Niveau 2 uw doel is en dat uw omgeving representatief is voor een klein bedrijf met 10 tot 50 werknemers.

Dag 1 tot 14: Scope en inventarisatie. Identificeer elk systeem, elke gebruikersaccount en elke gegevensstroom die CUI raakt. De meeste kleine bedrijven overschatten de omvang van CUI in hun omgeving aanzienlijk; het doel is de kleinste verdedigbare enclave die nog steeds aan de contractuele verplichtingen voldoet. Beslis of u een speciale CUI-enclave gaat gebruiken (een gescheiden Microsoft 365 GCC High-tenant of equivalent) of probeert te voldoen aan de eisen voor de gehele organisatie. Enclaves zijn voor kleine bedrijven bijna altijd goedkoper.

Dag 15 tot 30: Gap-analyse. Schakel een Registered Practitioner Organization (RPO) of gekwalificeerde consultant in om een NIST SP 800-171 Rev. 2 gap-analyse uit te voeren op basis van de 110 beheersingsmaatregelen en 320 doelstellingen. Eis een schriftelijk rapport met bevindingen per maatregel, aanbevolen herstelmaatregelen en een concept-SSP.

Dag 31 tot 60: Herstelsprints. Pak eerst de hoogwaardige beheersingsmaatregelen aan, omdat deze niet in een POA&M kunnen worden opgenomen. Stel MFA in op elk account dat CUI raakt. Migreer CUI-workloads naar een compliant tenant. Implementeer EDR. Zet gecentraliseerde logverzameling op. Schrijf of koop de 14 beleidsdocumenten die de beoordelingsgids verwacht.

Dag 61 tot 75: Documentatie en training. Voltooi het SSP, voltooi de op rollen gebaseerde beveiligingstraining, voer uw eerste interne tabletop-oefening voor incidentrespons uit en werk uw SPRS-score bij. Bouw de bewijslast-repository op waar de beoordelaar om zal vragen.

Dag 76 tot 90: Pre-assessment en boeking. Voer een interne proefbeoordeling uit met NIST SP 800-171A als leidraad. Dicht de resterende gaten. Dien een verzoek in voor de C3PAO-planning — en accepteer dat de werkelijke beoordeling mogelijk 90 tot 180 dagen na de aanvraagdatum plaatsvindt. Gebruik de wachttijd om de beheersingsmaatregelen in de praktijk te brengen; beoordelaars zoeken naar bewijs van voortdurende werking, niet naar vers opgestelde beleidsregels.

Dit is agressief. Het is haalbaar voor een organisatie met betrokkenheid van het management, een eerlijke scope en de bereidheid om te investeren. Organisaties die proberen compliance achteraf toe te voegen aan een ongeorganiseerde, ongedocumenteerde omgeving doen er doorgaans 9 tot 12 maanden over.

Boekhouding voor het compliance-project

Twee fouten in het financieel beheer bemoeilijken routinematig CMMC-projecten bij kleine bedrijven.

De eerste is het behandelen van compliance-uitgaven als één grote pot. Een helder grootboekrekeningschema maakt onderscheid tussen eenmalige herstelkosten (in veel gevallen te activeren), terugkerende softwareabonnementen (operationele kosten), arbeid van intern personeel (vaak toe te wijzen aan meerdere programma's) en beoordelingskosten (kosten op contractniveau die mogelijk toegestaan zijn onder indirecte kostentarieven voor werk op basis van kostprijsvergoeding). Defensie-aannemers met DCAA-relevante boekhoudsystemen moeten deze categorieën bijzonder nauwkeurig bijhouden; een verkeerde classificatie kan jaren later opduiken als betwiste kosten.

De tweede is het niet bijhouden van CMMC-kosten per contract. Als uw compliance-investering werd ingegeven door een specifieke contractvereiste, kunt u mogelijk een deel terugvorderen via toegestane kosten of prijsstelling bij vervolgopdrachten. Als u niet kunt aantonen welk contract een bepaalde uitgave ondersteunde, kunt u die claim niet maken.

Plain-text, versiebeheerde boekhouding past precies in deze omgeving omdat het een controleerbaar spoor achterlaat. Elke transactie is leesbaar voor mensen, elke wijziging staat in versiebeheer en de boeken zelf kunnen door een DCAA-auditor worden gecontroleerd zonder gespecialiseerde software van leveranciers. Verschillende beheersingsmaatregelen in NIST SP 800-171 — met name in de families Audit and Accountability en Configuration Management — vereisen vergelijkbare eigenschappen in IT-systemen, en er schuilt een zekere elegantie in het feit dat de financiële administratie aan dezelfde standaard voldoet.

Veelvoorkomende valkuilen om te vermijden

Enkele patronen herhalen zich bij kleine aannemers die hun eerste beoordeling niet halen.

MFA als optioneel beschouwen. Multi-factor authenticatie op geprivilegieerde accounts is de meest voorkomende tekortkoming. Het is ook het goedkoopst om op te lossen. Regel dit in de eerste week.

CUI verkeerd classificeren. Ofwel te veel als CUI markeren (waardoor de scope en kosten onnodig toenemen), ofwel te weinig markeren (waardoor reële risico's ontstaan). Dring bij uw contractbeheerder aan op duidelijkheid over CUI-categorieën voordat u de scope van het project bepaalt.

IT-beveiliging verwarren met cybersecurity-compliance. Een managed service provider die uw laptops up-to-date houdt, is niet hetzelfde als een RPO of C3PAO. De vaardigheden overlappen elkaar, maar de documentatie, bewijsvoering en het werk om klaar te zijn voor de beoordeling is een andere discipline.

Documentatie onderschatten. Beoordelaars geven geen punten voor mondelinge toelichtingen. Voor elke maatregel is bewijs nodig dat vandaag al bestaat, niet bewijs dat het bedrijf zou kunnen produceren als erom gevraagd wordt. Bouw de bewijslast-repository op terwijl u de herstelwerkzaamheden uitvoert.

Geloven dat de hoofdaannemer het wel regelt. Hoofdaannemers (primes) geven hun compliance-eisen door via onderaannemingscontracten. Zij zijn niet uw beoordelaar en niet uw auditor, maar ze zullen absoluut afscheid nemen van een onderaannemer die hun eigen certificering in gevaar brengt.

Houd uw compliance-kosten zichtbaar en auditeerbaar

Cybersecurity-compliance is nu een post die elke defensie-aannemer gedurende de gehele looptijd van het programma zal dragen. Het nauwkeurig bijhouden van deze kosten — per contract, per controlegroep, per sanering versus operationele uitgaven — is het verschil tussen een project dat u kunt verdedigen tijdens een DCAA-audit en een project dat ongemerkt uw marge uitholt. Beancount.io biedt plain-text accounting die u volledige transparantie en versiebeheer geeft over elk financieel record, zonder vendor lock-in en zonder black-box rapportages. Begin gratis en breng dezelfde audit-gereedheid naar uw boekhouding die CMMC vereist van uw IT-omgeving.