虚假CMMC合同条款的泛滥

尽管CMMC（网络安全成熟度模型认证）合同程序和条款尚未最终确定（截至2025年8月），国防分包商可能已在合同中看到CMMC条款。然而，美国国防部（DoD）目前并未在合同中加入CMMC要求，当前合同中出现的条款并非来自政府的合法CMMC条款。

问题似乎源于一些大型国防承包商的法务部门，他们决定提前行动，自行编写CMMC合规条款并强加给分包商。这并非CMMC计划的预期运作方式，导致国防分包商对CMMC义务产生极大困惑。

合法CMMC条款的特征

合法的CMMC合同条款将使用非常具体的语言，一旦最终确定，将在48 CFR 252.204-7021（更广为人知的名称是DFARS 7021）中展示。这些链接目前显示的是旧的CMMC 1.0合同条款，但内容将在CMMC 2.0合同条款最终确定时更新。拟议的新语言可以在DFARS 7021 CMMC合同条款草案中查看。

完整的CMMC合同条款文本、级别和评估要求只应从国防部流向主承包商，然后根据草案DFARS 7021条款的(d)(1)段向下传递给分包商。任何未使用最终语言的CMMC合同条款都不是国防部的官方要求。

虚假条款的常见问题

虚假的CMMC条款通常不定义合同所需的CMMC级别和评估类型。模糊的陈述如“分包商必须符合CMMC”很常见。收到没有关键级别和评估类型信息的CMMC合同条款的分包商将不知道他们预期处理什么信息（FCI或CUI），哪套要求适用于他们（FAR 52.204-21基本保障措施、NIST SP 800-171或NIST SP 800-172），以及他们应如何评估对这些要求的合规性（自我评估、C3PAO评估或DIBCAC评估）。

草案CMMC合同条款的(b)(1)段明确告诉承包商他们必须遵守的CMMC级别，以便在真实的CMMC合同中正确设定这些期望。

如果带有所谓CMMC要求的合同仅包含对DFARS 7021的引用，而不是DFARS 7021本身的文本，缺失的CMMC级别和评估类型信息也会成为问题。这在施加FAR 52.204-21和DFARS 7012义务（分别是当前FCI和国防部CUI保护计划）的合同中很常见。像“分包商必须遵守DFARS 252.204-7012”这样的条款很普遍。

与DFARS 7021 CMMC条款不同，FAR 52.204-21和DFARS 7012条款没有因处理信息类型而不同的要求。因此，对这些条款的引用不会像引用CMMC条款那样遗漏关键信息。

级别不匹配的风险

在错误级别施加CMMC要求的条款（例如，要求不处理CUI的分包商符合CMMC级别2）会带来类似问题。这可能导致分包商试图证明他们保护了不处理的信息时产生困惑，或导致分包商对需要更高级别保护的信息应用不足的保障措施。

根据草案CMMC条款的(d)(2)段，承包商只应向下传递适合他们传递给分包商的信息类型的CMMC要求。例如，主承包商应对仅处理FCI的分包商施加CMMC级别1自我评估要求，即使主承包商处理CUI并在同一合同下受CMMC级别2 C3PAO认证约束。

上游承包商的误解

上游承包商可能声称他们插入自己的CMMC条款是为分包商未来的CMMC要求做准备，但这显示了对CMMC计划运作方式的错误理解。CUI保护义务，包括CMMC义务，是按合同施加的。根据合同接收的信息必须始终使用该特定合同的要求处理。

一旦CMMC合同开始推出，CMMC要求将仅适用于那些带有合法CMMC条款的未来合同中处理的信息，而根据任何先前合同处理的信息不会突然继承CMMC合规义务，无论是直接由于监管变化还是间接来自其他合同。这些承包商正在保护自己免受不存在的问题，并在此过程中造成混乱。

分包商的应对策略

分包商应推动修复或从合同中删除所有可疑的CMMC条款，包括：

• 在48标题CMMC规则（包含CMMC合同程序和条款）生效前收到的所有CMMC条款
• 任何与DFARS 7021条款最终版本文本不匹配的CMMC条款
• 任何未说明级别和评估要求的CMMC条款
• 任何级别和评估要求与分包商预期处理的信息类型不匹配的CMMC条款

分包商应接受的唯一CMMC合同条款是DFARS 7021最终版本的完整文本，包括适合分包商预期处理的信息的级别和评估要求。

TrustedSec是CMMC注册从业者，可帮助回答CMMC问题并为未来评估做准备。如果您的组织需要协助或有任何问题，请与我们联系！