CMMC实施时间表迈出重要一步

最近，CMMC rollout时间表完成了一个重要里程碑——创建CMMC合同条款的监管变更已提交至信息与监管事务办公室(OIRA)。本文将为想要了解何时会在合同中看到CMMC条款的承包商解析这意味着什么。

2025年9月10日更新：本文已更新，反映最终确定的CMMC合同条款于2025年11月10日开始实施。

确定CMMC要求时间的关键信息

承包商需要以下三方面信息来确定何时会在合同中看到CMMC要求：

• 承包商预期适用的CMMC级别和评估要求
• CMMC rollout的开始日期
• CMMC rollout的阶段划分

CMMC Rollout开始日期预估

定义CMMC计划及其要求的法规（即32 CFR 170）于2024年10月15日最终确定。该法规规定了CMMC将分三个阶段在三年内逐步实施，但未设定rollout的开始日期，也未定义将CMMC义务强加给承包商的合同程序。

创建CMMC合同程序（包括CMMC合同条款和CMMC分阶段rollout开始日期）的法规已于2025年9月10日最终确定并发布。CMMC rollout的开始日期为2025年11月10日。

CMMC Rollout阶段

CMMC的分阶段rollout在32 CFR 170.3中定义，包含四个阶段，规定了特定类型的CMMC要求何时开始出现在新的国防部合同中：

阶段1

开始时间：标题48 CMMC采购最终规则生效日期 开始日期：2025年11月10日

• 1级和2级自我评估：作为合同授予条件包含；在国防部酌情决定下，可能需要在CMMC rollout开始日期之前授予的合同的选项期内执行
• 2级C3PAO认证评估：在国防部酌情决定下，可能包含在某些合同中
• 3级DIBCAC认证评估：不包含在合同中

阶段2

开始时间：阶段1开始日期后一历年 开始日期：2026年11月10日

• 1级和2级自我评估：作为合同授予条件包含；在国防部酌情决定下，可能需要在CMMC rollout开始日期之前授予的合同的选项期内执行
• 2级C3PAO认证评估：作为合同授予条件包含；在国防部酌情决定下，可能延迟至选项期而非作为合同授予条件
• 3级DIBCAC认证评估：在国防部酌情决定下，可能包含在某些合同中

阶段3

开始时间：阶段2开始日期后一历年 开始日期：2027年11月10日

• 1级和2级自我评估：作为合同授予条件和选项执行条件包含
• 2级C3PAO认证评估：作为合同授予条件和选项执行条件包含
• 3级DIBCAC认证评估：作为合同授予条件包含；在国防部酌情决定下，可能延迟至选项期而非作为合同授予条件

阶段4（全面实施）

开始时间：阶段3开始日期后一历年 开始日期：2028年11月10日

• 1级和2级自我评估：作为合同授予条件和选项执行条件包含
• 2级C3PAO认证评估：作为合同授予条件和选项执行条件包含
• 3级DIBCAC认证评估：作为合同授予条件和选项执行条件包含

后续步骤

基于以上信息，承包商现在应合理了解他们最终将适用的CMMC级别和评估要求以及预期这些要求的时间。承包商应在收到CMMC合同条款之前开始努力达到相应级别的合规性。需要2级或3级认证评估的承包商可能还希望与CMMC第三方评估组织(C3PAO)和/或DIBCAC安排必要的第三方评估，以便为阶段2和3的合同要求做好准备。

与其他合规框架不同，CMMC计划区分了帮助承包商实施合规的组织（CMMC注册从业者组织或RPO）和为承包商进行认证评估的组织或C3PAO。TrustedSec是一个CMMC RPO，可帮助理解和实施CMMC要求。如需协助，请与我们联系！