CMMC in Q2 2025: Your Top Questions Answered

June 10, 2025

目录

• 特朗普的放松管制会否影响CMMC 2.0？
• 当前CMMC推出时间表是什么？
• 未获CMMC认证能否投标DoD合同？
• 能否提前获得CMMC认证？
• CMMC Level 2自评估最新动态
• 使用POA&M获得CMMC认证的最新情况
• MSSP是否需要参与CMMC Level 2评估？
• 是否需要在SPRS中发布CMMC Level 1自评估？
• CMMC Level 3认证最新进展
• CMMC要求何时匹配NIST 800-171 Revision 3？
• 如何准备CMMC 2.0合规？
• 下一步行动

最后更新于2025年6月26日

随着美国国防部（DoD）网络安全成熟度模型认证（CMMC）2.0计划逐步全面实施，国防工业基地（DIB）承包商越来越难以筛选所有过时、被取代和冲突的信息。基于客户常见问题，本文分享最新且最相关的CMMC更新，助您保持合规和认证正轨。

特朗普的放松管制会否影响CMMC 2.0？

尽管放松管制为CMMC实施时间线带来不确定性，但该计划对国家安全的中心重要性应能缓冲重大变化或彻底取消。与其他网络安全倡议一样，CMMC获得广泛两党支持，且在特朗普首个任期内推出。此外，它与国防供应商自2016年以来自我 attest 的合同网络安全义务一致。

CMMC 2.0最终规则已发布。然而，将CMMC语言纳入政府合同的DFARS 7021条款仍在处理中，可能接受审查。

但尽管CMMC 2.0推出可能延迟，DIB组织不应推迟CMMC合规准备。CMMC是综合标准，许多国防中小型企业承认需要一至两年或更长时间实现CMMC Level 2认证。

当前CMMC推出时间表是什么？

CMMC 2.0将在DFARS 7021条款最终确定后实施，并在48 CFR规则在联邦公报发布后60天等待期后生效。

此后，CMMC条款将作为三年分阶段推出过程的一部分纳入新DoD合同：

• 阶段1—自48 CFR规则生效日起，DoD将开始要求特定合同进行CMMC Level 1和Level 2自评估。这包括在DoD供应商绩效风险系统（SPRS）数据库中更新分数，以及高级领导者确认分数准确。
• 阶段2—阶段1开始一年后，DoD将开始要求基于第三方评估的CMMC Level 2认证。
• 阶段3—阶段2开始一年后，DoD将开始要求特定合同进行CMMC Level 3认证，以满足更高安全需求。
• 阶段4—阶段3开始一年后，CMMC要求将在所有DoD合同中全面生效。

未获CMMC认证能否投标DoD合同？

截至2025年4月，更新国防联邦采购条例（DFARS）合同要求以实施CMMC 2.0计划的Title 48 CFR规则制定尚未完成。因此，CMMC 2.0合规要求尚不能出现在DoD合同中，CMMC认证也非投标先决条件。

在48 CFR规则最终确定前，任何CMMC条款不能出现在合同中，包括现有合同。也无机制追溯应用CMMC要求。

但一旦CMMC 2.0要求开始出现在合同中，承包商需具备所需CMMC认证或自评估合规 attestation 及SPRS中的高管确认。合同期内，DIB组织必须维持CMMC认证和合规。

能否提前获得CMMC认证？

CMMC 2.0最终规则于2024年12月16日生效，允许DoD通过认证第三方评估组织（C3PAO）向DIB组织提供官方CMMC评估和认证。

公司现可提前未来合同要求获得CMMC Level 2认证。CMMC Level 1仅需自评估。CMMC Level 3认证可应请求由国防合同管理局（DCMA）国防工业基地网络安全评估中心（DIBCAC）执行，以C3PAO的CMMC Level 2认证为先决条件。

提前CMMC认证的一些好处包括：

• 与尚未CMMC认证的竞争对手区分
• 为寻找合作伙伴的主承包商提供安心
• 为寻求组织能保护CUI和其他敏感数据证明的利益相关者提供安心
• 增强网络安全和合规/治理以降低业务风险

CMMC Level 2自评估最新动态

截至2025年2月28日，DIB组织可在SPRS中输入CMMC Level 2自评估数据，类似NIST 800-171合规自 attestation 过程。

您的企业是否应进行CMMC Level 2自评估并与DoD分享结果？这可能出于以下一或两个原因合理：

• 您希望展示强大网络安全态势和保护CUI能力，以在CMMC合同义务和即将与C3PAO进行的CMMC Level 2审计前支持竞争机会。
• 您的公司是少数有资格以CMMC Level 2自评估作为CMMC Level 2认证路径的企业，且希望提前认证。

许多处理CUI的DIB承包商将从CMMC Level 2自评估中受益，以识别并主动解决合规差距和网络安全弱点，SPRS输入为可选。您的SPRS分数是DoD视您网络安全态势的关键因素，必须准确以避免如False Claims Act起诉的法律制裁。

CMMC Level 2评估指南提供如何进行自评估的指导。自评估前需评估网络风险并确定CUI环境范围。

谁可通过自 attestation 获得CMMC Level 2认证？仅那些不处理受控技术信息（CTI）或任何其他形式国防CUI的极少数公司。

可使用自评估实现CMMC Level 2认证的公司需每三年自评估一次并在SPRS中输入结果。每年需公司高级官员确认SPRS分数正确性。

使用POA&M获得CMMC认证的最新情况

在CMMC 2.0下，行动计划和里程碑（POA&M）在有限基础上可接受用于CMMC Level 2认证，但必须在180天内关闭以从条件认证过渡到最终认证。DoD要求最终CMMC Level 2认证完全符合所有110项NIST SP 800-171控制，除非非合规性已获批准。

有资格使用POA&M获得条件CMMC Level 2认证的条件如下：

• 您在SPRS中的总合规分数必须至少88分（满分110）。
• 任何POA&M仅可应用于价值1分的控制。如果您的POA&M涉及SPRS中分配3或5分的“高重要性”控制，则无法获得认证。

MSSP是否需要参与CMMC Level 2评估？

自行处理、存储或传输CUI的托管服务提供商（MSP）和托管安全服务提供商（MSSP）需实现CMMC Level 2或Level 3认证，取决于其客户指定级别。

如果未CMMC认证的MSP或MSSP与寻求CMMC Level 2或Level 3认证的DIB组织合作，服务提供商必须与其客户一起通过评估。

这为有DIB客户的MSP/MSSP带来困境。他们应：

• 获得自身CMMC认证。
• 保持未认证并参与所有客户评估。

对有许多DIB客户的服务提供商，获得一次CMMC认证可能比参与多次单独CMMC评估更具成本和资源效益。

增加MSP/MSSP认证和参与CMMC评估潜在复杂性的是合规要求从您的服务提供商流向其服务提供商。如果MSP/MSSP将服务外包给另一供应商，如云服务提供商或帮助台提供商，该公司若未在所需级别CMMC认证，也可能需要参与评估。

确保您已识别并覆盖CMMC环境中任何此类问题，特别是潜在需要更换不合规供应商，是不要延迟CMMC认证之旅的主要原因。

是否需要在SPRS中发布CMMC Level 1自评估？

截至2025年4月，DoD的SPRS系统提示所有DIB组织进行CMMC Level 1自评估。原因如下：

• 除少数现成物品例外，所有与美国政府做业务的实体处理联邦合同信息（FCI），且必须遵守FAR 52.204-21条款以证明能保护其系统上的FCI。
• 参与DoD合同的国防供应商现必须遵守CMMC，要求每年自评估其范围内CMMC环境对抗FAR 52.204-21并在SPRS中报告结果。
• FAR 52.204-21涵盖15项基本网络安全控制，NIST 800-171 Rev. 2和CMMC Level 1外推为17项实践和59项相关评估目标。

尽管FAR 52.204-21包含在所有美国政府合同和流程中，DoD是首个且目前唯一要求合规验证的机构。CMMC计划为DoD提供执行问责的方法。

注意CMMC Level 1合规不授予CMMC认证。DIB组织在CMMC Level 1只能合规或不合规，无论您自评估或基于第三方评估确定SPRS分数。

CMMC Level 3认证最新进展

2025年1月17日，DoD发布新指南关于如何确定给定合同应应用何CMMC级别。关于CMMC Level 3（专家），DoD寻求“避免过度使用CMMC Level 3要求”，并强调极少数合同需要CMMC Level 3认证。

据DoD，以下三种情况之一可能表明需要CMMC Level 3：

• 承包商将接收与突破性、独特和/或先进技术相关的CUI。
• 合同涉及在单一IT系统或环境中聚合异常大量CUI。
• 对单一IT系统或环境的攻击将导致国防供应链广泛漏洞。

如果您的公司参与涉及新敏感防御技术研发和/或为合同绩效目的收集大量CUI的合同，建议主动与合同官员核实是否需要CMMC Level 3认证。

在CMMC Level 3，组织必须满足所有CMMC Level 1和Level 2要求，外加实施24项NIST 800-172控制。寻求CMMC Level 3认证的组织还将面临两阶段评估过程。通过C3PAO的CMMC Level 2认证后，DIBCAC团队将进行CMMC Level 3评估。

CMMC要求何时匹配NIST 800-171 Revision 3？

当前CMMC 2.0规则制定（特别是32 CFR）围绕NIST 800-171 Revision 2。因此，为更新CMMC要求至NIST 800-171 Revision 3，DoD未来需另一轮规则制定。

同时，DoD已发布DFARS 7012条款的类别偏差，以支持针对NIST 800-171 R2的CMMC评估，直至R3规则制定完成。这旨在给予DIB组织、C3PAO和DoD自身充足时间计划过渡到NIST 800-171 R3控制。

如何准备CMMC 2.0合规？

以下是一些关键步骤，将成为每个DIB组织CMMC Level 2路线图的一部分：

• 分析预计DoD业务和当前合同以确定所需CMMC级别。
• 基于CUI流入流出系统的方式确定CMMC环境范围。
• 将流程要求传达给关键供应商，并通过检查其SPRS分数评估其CMMC合规状态。
• 进行差距评估。
• 基于差距评估优先修复漏洞和其他问题。
• 记录网络安全政策和程序（如系统安全计划、事件响应计划、风险管理计划）。
• 开始构建合规报告/治理程序，以便向第三方审计员展示合规并验证SPRS中自 attestation 分数。
• 与C3PAO合作并安排第三方CMMC Level 2认证评估。
• 接受CMMC审计并处理任何发现/POA&M以实现最终CMMC认证。

下一步行动

要开始与CMMC专家对话优化您的CMMC 2.0合规路线图，请联系CBIZ Pivot Point Security。