Ak dodávate čokoľvek Ministerstvu obrany (DoD) — od opracovaných dielov po softvér, od logistických služieb po inžinierske výkresy — pre vaše podnikanie beží čas. Program CMMC (Model certifikácie vyspelosti v oblasti kybernetickej bezpečnosti) oficiálne vstúpil do zmlúv DoD 10. novembra 2025 a fáza certifikácie tretími stranami, ktorá nasleduje 10. novembra 2026, potichu diskvalifikuje tisíce malých subdodávateľov, ktorí predpokladali, že majú viac času.
Najnepríjemnejším faktom o CMMC je, že nejde o skutočne nový súbor pravidiel. Je to overovací mechanizmus pre požiadavky na kybernetickú bezpečnosť, ktoré sú súčasťou dodatku k nariadeniu o federálnom obstarávaní v oblasti obrany (DFARS) už od roku 2017. Prieskumy v odvetví stále ukazujú, že menej ako 15 percent dodávateľov v oblasti obrany plne implementovalo základné kontroly podľa NIST SP 800-171. Práve túto medzeru má CMMC odhaliť — a je to medzera, ktorá je teraz zmluvne podstatná pre to, či vyhráte alebo prehráte výberové konanie.
Táto príručka je určená majiteľom, prevádzkovým riaditeľom (COO) a vedúcim IT v malých podnikoch, ktorí zrazu potrebujú pretaviť rámec 110 opatrení, príručku na posudzovanie s 320 cieľmi a trojúrovňový model certifikácie do niečoho, čo môžu zahrnúť do rozpočtu, naplánovať a zrealizovať pred uzavretím najbližšej výzvy.
Tri úrovne ľudskou rečou
CMMC 2.0 redukuje pôvodný päťúrovňový model na tri. Potrebná úroveň je určená typom vládnych informácií, s ktorými narábate, nie veľkosťou vašej spoločnosti alebo finančnou hodnotou vašej zmluvy.
Úroveň 1 (Základná) sa uplatňuje, ak sú vašimi jedinými informáciami súvisiacimi s DoD informácie o federálnych zmluvách (FCI) — neverejné informácie vygenerované v rámci zmluvy alebo pre zmluvu, ktoré vláda neurčila na zverejnenie. Predstavte si objednávky, harmonogramy dodávok, základné údaje z opisu prác. Úroveň 1 sa mapuje na 17 základných ochranných opatrení v doložke FAR 52.204-21 a spĺňa sa prostredníctvom každoročného sebahodnotenia s potvrdením vedúceho pracovníka v systéme SPRS (Supplier Performance Risk System) ministerstva obrany.
Úroveň 2 (Pokročilá) sa uplatňuje v momente, keď sa akékoľvek kontrolované neutajované skutočnosti (CUI) dotknú vášho prostredia. CUI je širšia kategória, ktorá zahŕňa technické údaje podliehajúce kontrole vývozu, kontrolované technické informácie, informácie o námornom jadrovom pohone, určité typy osobne identifikovateľných informácií a ďalšie kategórie definované v registri CUI. Úroveň 2 vyžaduje implementáciu všetkých 110 opatrení z NIST SP 800-171 revízia 2, vyhodnotených voči 320 cieľom posudzovania v NIST SP 800-171A. Väčšina zmlúv na úrovni 2 vyžaduje trojročné posúdenie certifikovanou organizáciou posudzovateľov tretích strán (C3PAO). Malá časť zmlúv s „nekritickými CUI“ môže povoliť každoročné sebahodnotenie, ale nemali by ste predpokladať, že vaša zmluva spĺňa podmienky, pokiaľ to zmluvný úradník výslovne nepotvrdí.
Úroveň 3 (Expertná) je vyhradená pre dodávateľov narábajúcich s CUI spojenými s programami DoD s najvyššou prioritou. K 110 opatreniam z 800-171 pridáva 24 opatrení z NIST SP 800-172 a posudzuje ju centrum DIBCAC (Defense Industrial Base Cybersecurity Assessment Center). Ak už neviete, že ste na úrovni 3, takmer určite na nej nie ste.
Praktický dôsledok: ak váš podnik niekedy prijíma technické výkresy, špecifikácie označené ako CUI, údaje kontrolované ITAR alebo čokoľvek, čo hlavný dodávateľ označuje ako „kontrolované“, ste prevádzkou úrovne 2 a musíte si podľa toho naplánovať rozpočet.
Čo sa zmenilo v konečnom pravidle
Novela DFARS, ktorá kodifikuje CMMC, nadobudla účinnosť 10. novembra 2025 s fázovým štvorročným zavádzaním. Dve časti pravidla si zaslúžia pozornosť, pretože sú často nesprávne chápané.
Po prvé, doložka DFARS 252.204-7019 — samostatná požiadavka na vykonanie základného sebahodnotenia NIST SP 800-171 a zverejnenie výsledku v SPRS — bola zlúčená do doložiek CMMC a už neexistuje ako samostatné ustanovenie. Mnohé malé podniky stále fungujú v predpoklade, že zverejnenie výsledku sebahodnotenia je koncom ich povinnosti dodržiavať predpisy. Po 10. novembri 2025 je to úplné minimum potrebné na podanie ponuky a po 10. novembri 2026 to už pre väčšinu zmlúv s CUI nebude postačovať vôbec.
Po druhé, doložka DFARS 252.204-7021 robí z certifikácie CMMC podmienku pridelenia zmluvy a vyžaduje od dodávateľa, aby túto certifikáciu udržiaval počas celého obdobia plnenia. To znamená, že vaša certifikácia nemôže potichu expirovať uprostred zmluvy; ak sa tak stane, máte problém s dodržiavaním predpisov, ktorý sa prenáša v dodávateľskom reťazci až k hlavnému dodávateľovi.
Po tretie, doložka DFARS 252.204-7012 — doložka o hlásení incidentov, ktorá platí od roku 2017 — zostáva nedotknutá. Stále máte 72 hodín na nahlásenie kybernetického incidentu ovplyvňujúceho kryté informácie o obrane a stále musíte na požiadanie poskytnúť médiá na forenznú analýzu.
14 skupín kontrol, vysvetlených jednoducho
110 kontrol úrovne 2 je usporiadaných do 14 skupín, ktoré kopírujú štruktúru normy NIST SP 800-171. Ich prečítanie v zrozumiteľnom jazyku vám pomôže pochopiť, v čom práca v skutočnosti spočíva.
Riadenie prístupu (22 kontrol) určuje, kto sa môže prihlásiť, čo môže vidieť a čo môže robiť po prihlásení. Počítajte s inventarizáciou každého používateľa, roly a zdieľaného účtu vo vašom prostredí.
Povedomie a školenie (3 kontroly) vyžaduje zdokumentované školenie o bezpečnostnom povedomí pre všetkých používateľov a školenie založené na rolách pre privilegovaných používateľov. Samotné generické moduly o phishingu nestačia.
Audit a zodpovednosť (9 kontrol) vyžaduje, aby vaše systémy generovali, chránili a kontrolovali záznamy (logy) dostatočné na rekonštrukciu toho, čo sa stalo počas incidentu. Mnoho malých firiem tu zlyháva nie preto, že by nevedeli generovať logy, ale preto, že ich nikto nekontroluje.
Správa konfigurácií (9 kontrol) od vás žiada vytvoriť základné konfigurácie pre každý systém, ktorý narába s CUI (kontrolované neklasifikované informácie), a spravovať zmeny týchto konfigurácií. Tu sa nepovolený softvér a „tieňové IT“ stávajú nálezom auditu.
Identifikácia a autentifikácia (11 kontrol) je skupina týkajúca sa viacfaktorového overovania (MFA). MFA na privilegovaných účtoch je nepovinné. MFA na všetkých účtoch, ktoré pristupujú k CUI, je praktickou interpretáciou, ktorú audítori uplatňujú.
Odozva na incidenty (3 kontroly) vyžaduje otestovanú schopnosť reagovať na incidenty so zdokumentovanými postupmi, školením a ohlasovaním. Časový limit 72 hodín podľa DFARS 7012 to robí veľmi konkrétnym.
Údržba (6 kontrol) riadi spôsob vykonávania údržby na systémoch spracúvajúcich CUI, vrátane vzdialenej údržby a dohľadu nad dodávateľmi, ktorí zasahujú do vášho prostredia.
Ochrana médií (9 kontrol) pokrýva označovanie, prepravu, sanáciu a likvidáciu médií obsahujúcich CUI — áno, vrátane USB kľúča, na ktorom sú záložné kópie inžinierskych dát.
Bezpečnosť personálu (2 kontroly) vyžaduje preverovanie pred udelením prístupu k CUI a zabezpečuje ukončenie prístupu pri ukončení pracovného pomeru.
Fyzická ochrana (6 kontrol) upravuje fyzický prístup do priestorov, kde sa spracúvajú CUI, vrátane kníh návštev a zabezpečenia zariadení.
Posudzovanie rizík (3 kontroly) vyžaduje pravidelné hodnotenia rizík a skenovanie zraniteľností vašich systémov, ktoré spadajú do rozsahu.
Posudzovanie bezpečnosti (4 kontroly) vyžaduje zdokumentovaný Systémový bezpečnostný plán (SSP) a Plán opatrení a míľnikov (POA&M) — dva dokumenty, ktoré každý posudzovateľ otvára ako prvé.
Ochrana systémov a komunikácie (16 kontrol) pokrýva ochranu hraníc siete, šifrovanie pri prenose, šifrovanie uložených dát a architektonické oddelenie CUI od ostatných dát.
Integrita systémov a informácií (7 kontrol) pokrýva odstraňovanie chýb, ochranu pred škodlivým kódom a monitorovanie.
110 kontrol sa rozširuje na 320 cieľov posudzovania v norme NIST SP 800-171A. Každý cieľ je samostatná otázka typu áno/nie, ktorú sa posudzovateľ opýta, a každá si vyžaduje dôkaz — smernicu, snímku obrazovky s konfiguráciou, vzorku logov, podpísané potvrdenie. Tvorcovia repozitárov dôkazov o zhode zvyčajne odhadujú 600 až 1 200 jednotlivých dôkazov pre čisté posúdenie na úrovni 2.
Čo to v skutočnosti stojí malý podnik
Vlastná analýza regulačného vplyvu DoD odhaduje, že približne 229 818 z 337 968 dotknutých subjektov sú malé podniky. Realita nákladov sa líši viac, než pripustí akýkoľvek predajca.
Analýzy nedostatkov (Gap assessments) od nezávislých konzultantov sa pohybujú od približne 3 500 USD na dolnej hranici až po 20 000 USD za dôkladnú revíziu vrátane návrhu SSP. Sú to najlepšie investované peniaze predtým, než sa zaviažete k náprave, pretože vám povedia skutočný rozsah projektu.
Náklady na nápravu (Remediation) pre malé podniky sa bežne pohybujú medzi 35 000 USD a 115 000 USD v závislosti od zistených nedostatkov. Drahými položkami sú zvyčajne: compliant Microsoft 365 GCC High tenant (alebo ekvivalent), detekcia a odozva koncových bodov (EDR), viacfaktorové overovanie všade, riadená služba správy bezpečnostných informácií a udalostí (SIEM) a práca potrebná na napísanie a prevádzkovanie požadovaných smerníc.
Poplatky za posúdenie C3PAO pre certifikáciu úrovne 2 sa zvyčajne pohybujú od 20 000 USD do 75 000 USD pre malé prostredie, pričom pri väčších alebo komplexnejších prostrediach sú náklady vyššie. Čakacie doby sú momentálne 3 až 6 mesiacov a predlžujú sa — existuje menej ako 100 autorizovaných organizácií C3PAO, ktoré obsluhujú odhadovaných 80 000 dodávateľov na úrovni 2, a kapacity zatiaľ nestíhajú držať krok s dopytom.
Priebežné prevádzkové náklady — riadené služby, školenia, nástroje, čas interného personálu — zvyčajne pridávajú 10 000 USD až 20 000 USD ročne pre malý podnik, každý rok a na neurčito.
Celkové náklady na vlastníctvo pre malú firmu na úrovni 2, vrátane prvého certifikačného cyklu, sa bežne pohybujú medzi 80 000 USD a 250 000 USD počas troch rokov. Úroveň 1 je dramaticky lacnejšia, často dosiahnuteľná pod 10 000 USD, ak je vaše prostredie už teraz primerane dobre spravované.
Tieto čísla sú nepríjemné. Sú však tiež premietnuteľné do cenových ponúk. Ak ich vaše kontrakty nedokážu absorbovať, ide o strategickú otázku, na ktorú si treba odpovedať skôr, než strávite ďalší štvrťrok uchádzaním sa o zákazky DoD.
Kľučka v pláne opatrení a míľnikov (POA&M)
Finálne pravidlo zachováva obmedzený mechanizmus POA&M pre Úroveň 2. Podmienečnú certifikáciu s otvorenými položkami môžete dosiahnuť za predpokladu, že:
- Vaše celkové skóre SPRS je 88 alebo vyššie (zo 110).
- Otvorené položky nie sú na zozname kontrol s vysokou hodnotou, ktoré musia byť plne splnené v čase posúdenia (viacfaktorová autentifikácia, kryptografia s validáciou FIPS, nepretržité monitorovanie bezpečnosti a niekoľko ďalších).
- Každú otvorenú položku uzavriete do 180 dní, kedy záverečné posúdenie zmení váš podmienečný stav na finálny.
POA&M sú užitočné, ale nie sú náhradou za prípravu. Podmienečná certifikácia s neúspešným uzavretím po 180 dňoch je podstatne horšia než odložené počiatočné posúdenie, pretože môže viesť k strate certifikácie uprostred trvania zmluvy.
90-dňová cesta pre malého dodávateľa začínajúceho teraz
Ak toto čítate v polovici roka 2026 a ešte ste nezačali, tu je realistický zhustený harmonogram. Predpokladá, že vaším cieľom je Úroveň 2 a vaše prostredie je zhruba reprezentatívne pre malý podnik s 10 až 50 zamestnancami.
1. až 14. deň: Rozsah a inventarizácia. Identifikujte každý systém, používateľský účet a tok údajov, ktorý prichádza do styku s CUI. Väčšina malých podnikov dramaticky preceňuje rozsah CUI vo svojom prostredí; cieľom je čo najmenšia obhájiteľná enkláva, ktorá stále spĺňa zmluvné záväzky. Rozhodnite sa, či použijete vyhradenú enklávu pre CUI (oddelený tenant Microsoft 365 GCC High alebo ekvivalent), alebo sa pokúsite o súlad v rámci celého podniku. Enklávy sú pre malé prevádzky takmer vždy lacnejšie.
15. až 30. deň: Analýza medzier. Zapojte registrovanú poradenskú organizáciu (RPO) alebo kvalifikovaného konzultanta, aby vykonal analýzu medzier (gap assessment) podľa normy NIST SP 800-171 Rev. 2 voči 110 kontrolám a 320 cieľom. Trvajte na písomnej správe so zisteniami pre každú kontrolu, odporúčanou nápravou a návrhom SSP (System Security Plan).
31. až 60. deň: Šprinty nápravy. Najprv riešte kontroly s vysokou hodnotou, pretože tie nemôžu byť súčasťou POA&M. Zaveďte MFA na každom účte, ktorý narába s CUI. Presuňte pracovné zaťaženia s CUI do compliant tenantu. Nasaďte EDR. Zaveďte centralizovaný zber logov. Napíšte alebo zakúpte 14 politík, ktoré vyžaduje príručka na posudzovanie.
61. až 75. deň: Dokumentácia a školenie. Dokončite SSP, absolvujte školenie o bezpečnosti založené na rolách, vykonajte svoje prvé interné modelové cvičenie reakcie na incidenty a aktualizujte svoje skóre SPRS. Vybudujte úložisko dôkazov, ktoré bude posudzovateľ vyžadovať.
76. až 90. deň: Predbežné posúdenie a rezervácia. Vykonajte interné simulované posúdenie s použitím NIST SP 800-171A ako metodiky. Uzavrite všetky zostávajúce medzery. Odošlite žiadosť o naplánovanie C3PAO — a počítajte s tým, že skutočné posúdenie môže byť vzdialené 90 až 180 dní od dátumu žiadosti. Čas čakania využite na prevádzkovanie kontrol; posudzovatelia hľadajú dôkazy o nepretržitej prevádzke, nie čerstvo vytvorené smernice.
Toto je agresívne. Je to dosiahnuteľné pre organizáciu s odhodlaním vedenia, čestne definovaným rozsahom a ochotou investovať. Organizáciám, ktoré sa snažia dodatočne zaviesť súlad do rozsiahleho, nezdokumentovaného prostredia, to bežne trvá 9 až 12 mesiacov.
Účtovníctvo pre projekt súladu (Compliance)
Dve chyby vo finančnom riadení bežne komplikujú projekty CMMC v malých podnikoch.
Prvou je považovanie výdavkov na súlad za jeden balík. Čistý účtový rozvrh oddeľuje jednorazové náklady na nápravu (v mnohých prípadoch aktivovateľné ako kapitálové náklady), opakujúce sa predplatné softvéru (prevádzkové náklady), prácu interných zamestnancov (často prideliteľnú viacerým programom) a poplatky za posúdenie (náklady na úrovni zmluvy, ktoré môžu byť uznateľné v rámci sadzieb nepriamych nákladov pri prácach s úhradou nákladov). Dodávatelia v obrannom priemysle s účtovnými systémami relevantnými pre DCAA potrebujú sledovať tieto kategórie obzvlášť presne; nesprávna klasifikácia sa môže prejaviť po rokoch ako spochybnené náklady.
Druhou chybou je nesledovanie nákladov na CMMC podľa zmluvy. Ak bola vaša investícia do súladu vyvolaná konkrétnou zmluvnou požiadavkou, možno budete môcť získať časť späť prostrednívom uznateľných nákladov alebo tvorby cien pri následných zákazkách. Ak nedokážete určiť, ktorú zmluvu dané euro podporilo, nebudete môcť argumentovať v prospech preplatenia.
Plain-text účtovníctvo so správou verzií sa do tohto prostredia hodí práve preto, že zanecháva auditovateľnú stopu. Každá transakcia je čitateľná pre človeka, každá zmena je v správe verzií a samotné účtovné knihy môže kontrolovať audítor DCAA bez špecializovaných nástrojov od dodávateľov. Niekoľko kontrol v NIST SP 800-171 — najmä v oblastiach Audit a zodpovednosť a Správa konfigurácií — vyžaduje podobné vlastnosti v IT systémoch a v tom, že finančné záznamy spĺňajú rovnaký štandard, je tichá elegancia.
Bežné typy zlyhaní, ktorým sa treba vyhnúť
U malých dodávateľov, ktorí neuspejú pri prvom posúdení, sa opakuje niekoľko vzorcov.
Považovanie MFA za voliteľné. Viacfaktorová autentifikácia na privilegovaných účtoch je najčastejším zlyhaním kontroly. Je to zároveň najlacnejšia vec na nápravu. Vyriešte to v prvom týždni.
Nesprávna klasifikácia CUI. Buď označenie príliš veľkého množstva údajov ako CUI (zbytočné rozširovanie rozsahu a nákladov), alebo označenie príliš malého množstva (vytváranie skutočného rizika). Pred určením rozsahu projektu tlačte na svojho zmluvného dôstojníka, aby objasnil kategórie CUI.
Zámena IT bezpečnosti s kyberbezpečnostným súladom. Poskytovateľ riadených služieb (MSP), ktorý udržiava vaše notebooky aktualizované, nie je to isté ako RPO alebo C3PAO. Zručnosti sa prekrývajú, ale dokumentácia, dôkazy a práca na pripravenosti na posúdenie sú inou disciplínou.
Podceňovanie dokumentácie. Posudzovatelia neuznávajú ústne vysvetlenia. Každá kontrola potrebuje dôkazy, ktoré existujú dnes, nie dôkazy, ktoré by spoločnosť mohla vytvoriť v prípade požiadania. Úložisko dôkazov budujte priebežne počas nápravy.
Viera, že to vyrieši hlavný dodávateľ. Hlavní dodávatelia prenášajú svoje požiadavky na súlad prostredníctvom subdodávateľských zmlúv. Nie sú vaším posudzovateľom ani audítorom, ale bez váhania odstúpia od subdodávateľa, ktorý ohrozuje ich certifikáciu.
Udržujte svoje náklady na compliance viditeľné a auditovateľné
Súlad s kybernetickou bezpečnosťou je teraz položkou, ktorú bude každý dodávateľ v oblasti obrany znášať po zvyšok životnosti programu. Jasné sledovanie týchto nákladov — podľa zmluvy, podľa skupiny kontrol, podľa nákladov na nápravu verzus prevádzkových nákladov — predstavuje rozdiel medzi projektom, ktorý dokážete obhájiť pri audite DCAA, a projektom, ktorý ticho znižuje vašu maržu. Beancount.io ponúka plain-text účtovníctvo, ktoré vám poskytuje úplnú transparentnosť a kontrolu verzií nad každým finančným záznamom, bez viazanosti na konkrétneho dodávateľa a bez netransparentných reportov. Začnite zadarmo a vneste do svojho účtovníctva rovnakú pripravenosť na audit, akú vyžaduje CMMC od vášho IT prostredia.