CMMC 2.0正式发布:美国国防供应链网络安全新规详解

美国国防部CMMC 2.0网络安全成熟度模型认证计划已正式确定实施时间表,要求国防承包商在特定时间节点前完成相应级别的合规认证,否则将失去竞标资格。

CMMC 2.0 Rollout Update: The Wait is Over

2025年9月10日

关键要点

  • CMMC 2.0将于2025年11月10日开始实施
  • 第一阶段将立即要求CMMC 1级和2级合规自我评估作为新合同授予的前提条件
  • 48 CFR规则还包括持续CMMC合规认证要求,以及任何时候对处理受控非密信息(CUI)的系统进行更改时都必须通知合同官员
  • 处理CUI的国防承包商需要最迟在2026年11月10日前准备好进行第三方CMMC 2级评估

什么是CMMC规则生效日期?

根据2025年9月10日《联邦公报》的官方公告,48 CFR CMMC规则的生效日期为2025年11月10日。

这意味着几乎所有新的国防部合同都将从该日期起要求CMMC合规。在此初始CMMC实施阶段(前12个月),合规很可能采取CMMC 1级和2级自我评估的形式。然而,一些招标可能包括通过第三方C3PAO评估获得CMMC 2级认证的要求。

什么是48 CFR CMMC规则?

两项法规实施了CMMC计划:

  • 32 CFR第170部分定义了CMMC政策、成熟度级别和控制/要求、角色、豁免运作方式以及评估参数
  • 48 CFR第204、212、217和272部分实施了CMMC采购政策并创建了标准化合同语言

32 CFR规则自2024年12月起生效。然而,需要最终的48 CFR规则来授权在国防部合同和招标中添加CMMC语言。

48 CFR规则内的其他重要要求包括:

  • 对分包商的要求传递:48 CFR规定了在供应链中向所有处理联邦合同信息(FCI)或CUI的分包商在适当的CMMC认证级别上强制传递要求
  • 持续合规要求:48 CFR要求国防承包商在整个合同期间保持合同中指定的CMMC级别
  • 报告系统修改的要求:48 CFR将进一步要求国防承包商和分包商在合同过程中任何时候对处理CUI的系统进行任何修改时通知合同官员
  • 高级领导层确认:公司高级官员必须完成所有必需的CMMC合规确认

主要承包商对CMMC合规有何看法?

国防部主要承包商继续提醒处理CUI的分包商,根据当前合同中的DFARS 7012和DFARS 7020条款,他们已经需要自我评估其符合NIST 800-171 Rev. 2的情况,并将其评估分数提交给国防部的供应商绩效风险系统(SPRS)。

CMMC四阶段实施将如何展开?

2025年11月10日,国防部的分阶段CMMC实施将正式开始。以下是四个实施阶段的简要说明:

  • 阶段1将立即要求CMMC 1级和2级合规自我评估作为新合同授予的前提条件。国防部在阶段1期间可能还需要CMMC 2级第三方认证评估
  • 阶段2将在阶段1开始一年后(2026年11月10日)开始。此时,大多数处理CUI的国防工业基础(DIB)组织将需要CMMC 2级认证才能参与新合同或续签合同
  • 阶段3将在阶段2开始一年后(2027年11月10日)开始。到此时,所有适用的国防部合同必须包括2级和3级第三方评估作为合同授予的条件
  • 阶段4——完整的CMMC 2.0实施——将在阶段3开始一年后(2028年11月10日)开始。现在所有国防部合同、招标和选项期都将要求CMMC 1级、2级或3级合规

下一步是什么?

自2020年9月发布CMMC 1.0以来已经过去了五年——但CMMC计划终于到来。如果您在2026年需要CMMC 2级第三方认证,您没有时间可以浪费。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次