CMMC 2.0 Rollout Update: The Wait is Over

关键要点

• CMMC 2.0将于2025年11月10日正式启动
• 第一阶段将立即要求CMMC 1级和2级合规自评估作为新合同授标前提条件
• 48 CFR法规包含持续合规认证要求，以及系统变更时需通知合同官员的强制规定
• 处理受控非密信息（CUI）的国防承包商需在2026年11月10日前完成第三方CMMC 2级评估

CMMC规则生效日期

根据2025年9月10日《联邦公报》官方公告，48 CFR CMMC规则的生效日期为2025年11月10日。这意味着几乎所有新国防部合同都将从该日期起要求CMMC合规。在初始推广阶段（首12个月），合规形式主要为CMMC 1级和2级自评估，但部分招标可能要求通过第三方C3PAO评估获得CMMC 2级认证。

48 CFR CMMC规则详解

CMMC计划通过两项法规实施：

• 32 CFR第170部分定义CMMC政策、成熟度等级、控制要求、角色职能和评估参数
• 48 CFR第204、212、217和272部分实施CMMC采购政策并创建标准化合同语言

48 CFR规则的关键要求包括：

• 对分包商的要求传递：强制要求向处理联邦合同信息（FCI）或CUI的分包商传递相应CMMC认证级别要求
• 持续合规授权：要求国防承包商在整个合同期内维持指定CMMC级别，包括提交处理CUI系统的数字字母型DoD唯一标识符（UID）
• 系统修改报告要求：对处理CUI的系统进行任何修改时需通知合同官员
• 高层领导确认：公司高级官员需完成年度合规确认

主要承包商合规动态

国防部主要承包商持续提醒处理CUI的分包商，根据现有合同的DFARS 7012和7020条款，他们需要自评估NIST 800-171 Rev. 2合规性并将评分提交至供应商绩效风险系统（SPRS）。所有处理CUI的国防工业基础（DIB）组织应尽快准备CMMC 2级第三方认证评估。

CMMC四级推进计划

1. 第一阶段（2025年11月10日启动）：要求CMMC 1级和2级合规自评估作为新合同前提条件
2. 第二阶段（2026年11月10日）：大多数处理CUI的DIB组织需获得CMMC 2级认证才能参与新合同
3. 第三阶段（2027年11月10日）：所有适用国防部合同必须包含2级和3级第三方评估要求
4. 第四阶段（2028年11月10日）：实现CMMC 2.0全面实施，所有合同均需满足相应级别要求

后续行动建议

国防供应链组织应立即启动CMMC 2级认证准备工作。豁免可能性极低，且仅适用于合同层面而非承包商。建议通过专业咨询服务机构制定个性化合规方案，确保持续获得国防部合同资格。