CMMC in Q2 2025: Your Top Questions Answered

June 10, 2025

目录

• 特朗普的放松管制会否影响CMMC 2.0？
• 当前CMMC实施时间表是什么？
• 未获CMMC认证能否投标国防合同？
• 能否提前获得CMMC认证？
• CMMC Level 2自评估最新动态
• 使用POA&M获得CMMC认证的最新要求
• MSSP是否需要参与CMMC Level 2评估？
• 是否需要在SPRS中提交CMMC Level 1自评估？
• CMMC Level 3认证最新进展
• CMMC要求何时与NIST 800-171 Rev 3匹配？
• 如何准备CMMC 2.0合规？
• 下一步行动

最后更新于2025年6月26日

随着美国国防部（DoD）网络安全成熟度模型认证（CMMC）2.0计划逐步全面实施，国防工业基地（DIB）承包商越来越难以筛选所有过时、被取代和冲突的信息。基于客户常见问题，本文分享最新且相关的CMMC更新，助您保持合规和认证正轨。

特朗普的放松管制会否影响CMMC 2.0？

尽管放松管制为CMMC实施时间表带来不确定性，但该计划对国家安全的中心重要性应能缓冲重大变化或直接取消。CMMC与其他网络安全倡议一样，享有广泛的两党支持，并在特朗普第一届政府期间推出。此外，它与国防供应商自2016年以来自我 attest 的合同网络安全义务一致。

CMMC 2.0最终规则已发布。然而，将CMMC语言纳入政府合同的DFARS 7021条款仍在处理中，可能受到审查。但尽管CMMC 2.0推出可能延迟，DIB组织不应推迟CMMC合规准备。CMMC是一个全面标准，许多国防中小型企业承认需要一至两年或更长时间才能实现CMMC Level 2认证。

当前CMMC实施时间表是什么？

CMMC 2.0将在DFARS 7021条款最终确定后，并在48 CFR规则在联邦公报发布后60天等待期结束后，纳入合同实施。此后，CMMC条款将作为三年分阶段推出过程的一部分，纳入新国防合同：

• 阶段1—自48 CFR规则生效日期起，国防部开始要求特定合同进行CMMC Level 1和Level 2自评估。包括在国防部供应商绩效风险系统（SPRS）数据库中更新分数，以及高级领导人确认分数准确。
• 阶段2—自阶段1起一年后，国防部开始要求基于第三方评估的CMMC Level 2认证。
• 阶段3—自阶段2起一年后，国防部开始要求需要更高安全性的特定合同进行CMMC Level 3认证。
• 阶段4—自阶段3起一年后，CMMC要求在所有国防合同中全面生效。

未获CMMC认证能否投标国防合同？

截至2025年4月，更新国防联邦采购条例（DFARS）以实施CMMC 2.0计划的48 CFR规则制定尚未完成。因此，CMMC 2.0合规要求尚未出现在国防合同中，CMMC认证也非投标先决条件。在48 CFR规则最终确定前，任何CMMC条款不得出现在合同中，包括现有合同。也无机制追溯应用CMMC要求。

但一旦CMMC 2.0要求开始出现在合同中，承包商需具备所需CMMC认证或自评估合规 attestation 及SPRS中的高管确认。合同生效后，DIB组织必须在合同期内维持CMMC认证和合规。

能否提前获得CMMC认证？

CMMC 2.0最终规则于2024年12月16日生效，允许国防部通过认证第三方评估组织（C3PAO）向DIB组织提供官方CMMC评估和认证。公司现可提前获得CMMC Level 2认证，以应对未来合同要求。CMMC Level 1仅需自评估。CMMC Level 3认证可应国防合同管理局（DCMA）国防工业基地网络安全评估中心（DIBCAC）要求进行，以C3PAO的CMMC Level 2认证为先决条件。

提前CMMC认证的一些好处包括：

• 与尚未CMMC认证的竞争对手区分
• 为寻找合作伙伴的主承包商提供安心
• 为寻求组织能保护CUI和其他敏感数据证明的利益相关者提供安心
• 增强网络安全和合规/治理以降低业务风险

CMMC Level 2自评估最新动态

截至2025年2月28日，DIB组织可在SPRS中输入CMMC Level 2自评估数据，类似NIST 800-171合规自 attestation 过程。您的企业是否应进行CMMC Level 2自评估并与国防部分享结果？这可能基于以下一或两个原因合理：

• 您希望展示强大的网络安全态势和保护CUI能力，以支持CMMC合同义务前的竞争机会和即将与C3PAO进行的CMMC Level 2审计。
• 您的公司是少数有资格通过自评估路径获得CMMC Level 2认证的企业，且希望提前认证。

许多处理CUI的DIB承包商将受益于CMMC Level 2自评估，以识别和主动解决合规差距和网络安全弱点，SPRS条目为可选。您的SPRS分数是国防部看待您网络安全态势的关键因素，必须准确以避免如虚假 claims 法案起诉的法律制裁。CMMC Level 2评估指南提供如何进行自评估的指导。自评估前需评估网络风险并确定CUI环境范围。

谁可通过自 attestation 获得CMMC Level 2认证？仅那些不处理受控技术信息（CTI）或任何其他形式国防CUI的极少数公司。使用自评估实现CMMC Level 2认证的公司需每三年自评估一次，并将结果输入SPRS。每年需公司高级官员确认SPRS分数正确性。

使用POA&M获得CMMC认证的最新要求

在CMMC 2.0下，行动计划和里程碑（POA&M）在有限基础上可接受用于CMMC Level 2认证，但必须在180天内关闭以从条件认证过渡到最终认证。国防部要求最终CMMC Level 2认证完全符合所有110项NIST SP 800-171控制，除非不合规已获批准。

有资格使用POA&M获得条件CMMC Level 2认证的条件如下：

• 您在SPRS中的总合规分数必须至少88分（满分110）。
• 任何POA&M仅适用于价值1分的控制。如果您的POA&M涉及SPRS中分配3或5分的“高重要性”控制，则无法获得认证。

MSSP是否需要参与CMMC Level 2评估？

自行处理、存储或传输CUI的托管服务提供商（MSP）和托管安全服务提供商（MSSP）需根据客户指定级别获得CMMC Level 2或Level 3认证。如果未CMMC认证的MSP或MSSP与寻求CMMC Level 2或Level 3认证的DIB组织合作，服务提供商必须与客户一起通过评估。

这为有DIB客户的MSP/MSSP带来困境。他们应：

• 获得自身CMMC认证。
• 保持未认证并参与所有客户评估。

对有许多DIB客户的服务提供商，获得一次CMMC认证可能比参与多次单独CMMC评估更具成本和资源效益。增加MSP/MSSP认证和参与CMMC评估潜在复杂性的是合规要求从您的服务提供商流向其服务提供商。如果MSP/MSSP将服务外包给另一供应商，如云服务提供商或帮助台提供商，该公司若未在所需级别CMMC认证，也可能需要参与评估。确保您已识别并覆盖CMMC环境中任何此类问题，特别是可能需要更换不合规供应商，是不要延迟CMMC认证之旅的主要原因。

是否需要在SPRS中提交CMMC Level 1自评估？

截至2025年4月，国防部SPRS系统提示所有DIB组织进行CMMC Level 1自评估。原因如下：

• 除少数现成物品例外，所有与美国政府做生意的实体都处理联邦合同信息（FCI），必须遵守FAR 52.204-21条款，证明能保护其系统上的FCI。
• 参与国防合同的国防供应商现必须遵守CMMC，要求每年自评估其范围内CMMC环境对抗FAR 52.204-21，并在SPRS中报告结果。
• FAR 52.204-21涵盖15项基本网络安全控制，NIST 800-171 Rev. 2和CMMC Level 1 extrapolate 为17项实践和59项相关评估目标。

尽管FAR 52.204-21包含在所有美国政府合同和流程中，国防部是第一个也是目前唯一要求合规验证的机构。CMMC计划为国防部提供执行问责的方法。注意CMMC Level 1合规不授予CMMC认证。DIB组织在CMMC Level 1只能合规或不合规，无论您自评估或基于第三方评估的SPRS分数。

CMMC Level 3认证最新进展

2025年1月17日，国防部发布新指南，说明如何确定给定合同应适用的CMMC级别。关于CMMC Level 3（专家），国防部寻求“避免过度使用CMMC Level 3要求”，并强调极少数合同需要CMMC Level 3认证。据国防部，以下三种情况之一可能表明需要CMMC Level 3：

• 承包商将接收与突破性、独特和/或先进技术相关的CUI。
• 合同涉及在单个IT系统或环境中聚合异常大量CUI。
• 对单个IT系统或环境的攻击将导致国防供应链广泛脆弱性。

如果您的公司参与涉及新敏感国防技术研发和/或为合同绩效目的收集大量CUI的合同，建议主动与合同官员核实是否需要CMMC Level 3认证。在CMMC Level 3，组织必须满足所有CMMC Level 1和Level 2要求， plus 实施24项NIST 800-172控制。寻求CMMC Level 3认证的组织还将面临两阶段评估过程。通过C3PAO的CMMC Level 2认证后，DIBCAC团队将进行CMMC Level 3评估。

CMMC要求何时与NIST 800-171 Rev 3匹配？

当前CMMC 2.0规则制定（特别是32 CFR）围绕NIST 800-171 Revision 2。因此，为将CMMC要求更新至NIST 800-171 Revision 3，国防部未来需要另一轮规则制定。同时，国防部已发布DFARS 7012条款的类别偏差，以支持针对NIST 800-171 R2的CMMC评估，直到R3规则制定完成。这旨在给DIB组织、C3PAO和国防部本身足够时间计划过渡到NIST 800-171 R3控制。

如何准备CMMC 2.0合规？

以下是每个DIB组织CMMC Level 2路线图的关键步骤：

• 分析预计国防业务和当前合同，确定所需CMMC级别。
• 基于CUI流入流出系统的方式，确定CMMC环境范围。
• 将流程要求传达给关键供应商，并通过检查其SPRS分数评估其CMMC合规状态。
• 进行差距评估。
• 基于差距评估优先排序和修复漏洞和其他问题。
• 记录网络安全政策和程序（如系统安全计划、事件响应计划、风险管理计划）。
• 开始构建合规报告/治理程序，以便向第三方审计员展示合规并验证SPRS中自 attestation 分数。
• 与C3PAO合作并安排第三方CMMC Level 2认证评估。
• 进行CMMC审计并处理任何发现/POA&M以实现最终CMMC认证。

下一步行动

要与CMMC专家开始对话优化您的CMMC 2.0合规路线图，请联系CBIZ Pivot Point Security。