Industrielle Fertigung
Industrielles Internet der Dinge | Industrielle Materialien | Gerätewartung und Reparatur | Industrielle Programmierung |
home  MfgRobots >> Industrielle Fertigung >  >> Manufacturing Technology >> Industrietechnik

Die 6 wichtigsten Fragen zum CMMC

Was Hersteller wissen müssen

Cybersicherheit ist kein neues Thema in der Fertigung. In dem Moment, als vernetzte Geräte, innovative Software und fortschrittliche Robotiksysteme ihren Weg in die Produktion fanden, war Cybersicherheit Teil des Gesprächs. Cybersicherheit machte neben Industrie-4.0-Artikeln Schlagzeilen, aber die Begeisterung für auffällige neue Technologien dominierte das Gespräch.

Hersteller neigen dazu, Cybersicherheit auf die lange Bank zu schieben. Das wird für viele keine Option mehr sein. Die Fertigungsindustrie rangiert ständig unter den Top 5 der Branchen, die am anfälligsten und am stärksten von Cyberangriffen betroffen sind. Die Sektoren Gesundheitswesen, Finanzdienstleistungen und Regierungsbehörden haben in Bezug auf Sicherheits-Compliance und Risikomanagement einen höheren Standard. Die Fertigungsindustrie hat noch keinen höheren Standard und ist daher noch anfälliger für Cyberkriminalität.

Die Cybersecurity Maturity Model Certification (CMMC) belastet die Branche und im Folgenden sind die 6 kritischen Fragen aufgeführt, die Hersteller stellen müssen.

Was ist die CMMC?

CMMC steht für Cybersecurity Maturity Model Certification. Diese Zertifizierung verfolgt einen einzigartigen Ansatz, um sicherzustellen, dass wichtiges geistiges Eigentum geschützt bleibt. CMMC wird zunächst nur für Hersteller und Lieferanten benötigt, die Controlled Unclassified Information (CUI) für das Verteidigungsministerium (DoD) verarbeiten.

Die Cybersecurity Maturity Model Certification (CMMC) ist die Methode, um zu bescheinigen, dass für die rund 300.000 Auftragnehmer und Unterauftragnehmer in der DoD-Lieferkette die angemessenen Stufen der Cybersicherheitsprozesse und -schutzmaßnahmen vorhanden sind. Der CMMC-Prozess erfordert nun, dass eine CMMC Third Party Assessment Organization (C3PAO) bescheinigt, dass Unternehmen Beschwerde einlegen und dass CUI sicher ist.

Der CMMC umfasst 5 Reifegrade, die von „Basic Cybersecurity Hygiene“ bis „Advanced/Progressive“ reichen. Mit zunehmendem Reifegrad steigen auch die Regeln und Richtlinien, die ein Unternehmen befolgen muss, um zertifiziert zu werden und konform zu bleiben.

Warum wird die CMMC erstellt?

Das Verteidigungsministerium erkannte Cyberangriffe als erhebliche Bedrohung an, insbesondere für die kleinen bis mittelgroßen Subunternehmer, die die größeren Primzahlen unterstützen. Böse Akteure erkannten, dass die Primes mehr Ressourcen aufwendeten, um Angriffe zu verhindern, und dass ihre Lieferkette ein leichteres Ziel war. Die Cybersicherheitsanforderungen des National Institute of Standards and Technology (NIST) Special Publication (SP) 800-171 wurden entwickelt, um sensible Informationen für Auftragnehmer zu schützen, die mit dem Department of Defense (DoD) zusammenarbeiten, um die Defence Federal Acquisition Regulation Supplement (DFARS) 252.204 einzuhalten -7012-Klausel. Als das DoD schätzte, dass nur ein kleiner Prozentsatz der Lieferkette diesen Richtlinien entsprach, wurde die Cybersecurity Maturity Model Certification (CMMC) geschaffen.

Cyber-Angriffe sind leider alltäglich. „Da über 80 Prozent der nationalen Verteidigungsinformationen in den Netzwerken der Partner leben, ist es kein Gespräch mehr darüber, was Sie tun oder was ich tue; Es ist wichtiger, was wir als Kollektiv tun, um die Landesverteidigung zu schützen“, sagte Katie Arrington, Sonderassistentin des stellvertretenden Verteidigungsministers für Beschaffung für Cyber ​​und eine der Hauptbefürworter der CMMC.

Im Dezember 2018 haben chinesische Hacker Berichten zufolge Informationen von Auftragnehmern der Navy gestohlen, darunter Schiffswartungsdaten und Raketenpläne. Diese Aktionen stellen eine direkte Bedrohung der nationalen Sicherheit dar. Selbst wenn ein großer DoD-Lieferant wie Lockheed Martin über ein erstklassiges Cybersicherheitsprogramm verfügt, muss sich jeder Subunternehmer und Lieferant in der DoD-Lieferkette ebenfalls schützen, sonst werden sie zu einem Einstiegspunkt für Cyberkriminelle. Nur ein schwaches Glied in der DoD-Lieferkette kann das ganze Land gefährden.

Braucht mein Unternehmen die CMMC?

Jedes Unternehmen sollte in die Stärkung seiner Cybersicherheit investieren. Laut der Radware-Umfrage belaufen sich die geschätzten Kosten pro Cyberangriff auf 4,6 Millionen $ 1 . 13 % der Umfrageteilnehmer erlebten einen Cyberangriff, der ihr Unternehmen 10 Millionen US-Dollar oder mehr kostete, eine Zahl, die sich zwischen 2018 und 2019 in nur einem Jahr verdoppelt hat. Die Cybersicherheitsexperten des New Jersey Manufacturing Extension Program (NJMEP) schlagen vor, dass jeder Hersteller dies tun würde Profitieren Sie vom Erreichen des Äquivalents von „Intermediate Cyber ​​Hygiene“ oder Level 2 des CMMC als Best Practice. Für DoD-Auftragnehmer hängt der Reifegrad davon ab, wo in der DoD-Lieferkette ein Unternehmen steht.

Die Identifizierung, welche der fünf CMMC-Reifegrade ein DoD-Lieferant, Unterauftragnehmer oder Hersteller einhalten muss, wird entweder vom DoD-Hauptauftragnehmer bestimmt oder kann durch eine CMMC-Lückenanalyse aufgedeckt werden. Alle Lieferanten, Subunternehmer oder Hersteller, die mit dem DoD irgendwelche Arbeiten ausführen, egal wie minimal sie sind, benötigen ein gewisses Maß an CMMC, aber der Reifegrad hängt von den Informationen ab, die Unternehmen verarbeiten, und den durchgeführten Arbeiten.

Wenn ein Unternehmen der Defense Industrial Base (DIB) keine kontrollierten nicht klassifizierten Informationen (CUI), aber Bundesvertragsinformationen (FCI) besitzt, muss es die FAR-Klausel 52.204-21 erfüllen und muss mindestens auf CMMC Level 1 zertifiziert sein.

Wann muss ich mit dem Zertifizierungsprozess beginnen?

Jetzt. DoD-Lieferanten, Subunternehmer und Hersteller sollten so schnell wie möglich damit beginnen, CMMC zu werden, um das Risiko zu vermeiden, wichtige DoD-Verträge zu verlieren. Von Anfang bis Ende kann der Prozess bis zu einem Jahr dauern. Im Juni 2020 begann CMMC auf RFIs zu erscheinen. Unternehmen können damit rechnen, dass in RFPs CMMC ab September 2020 erwähnt wird und die Bewertungen im Herbst 2020 beginnen.

Es wird von entscheidender Bedeutung sein, jetzt zu handeln und mit einem Berater zusammenzuarbeiten, der mit dem CMMC und dem Framework, aus dem das CMMC hervorgegangen ist, NIST 8001-171, bestens vertraut ist. Die Zertifizierung beginnt mit einer Bewertung, um festzustellen, wo im CMMC-Reifegrad eine Organisation derzeit ansässig ist. Der nächste Schritt wäre eine eingehende Gap-Analyse und dann der Übergang zur Full-Service-Korrektur. Jeder CMMC-Reifegrad erfordert einen anderen Zeit- und Arbeitsaufwand. Ein möglichst schneller Einstieg entlastet jedoch Unternehmen, Führung und Belegschaft.

Was passiert, wenn ich nicht zertifiziert werde?

Für DoD-Auftragnehmer, Subunternehmer, Lieferanten oder Hersteller…

Das Erreichen des erforderlichen CMMC-Levels kann den Unterschied ausmachen, ob Sie den nächsten DoD-Vertrag abschließen oder nicht. Die Hauptauftragnehmer des DoD werden damit beginnen, von allen Unterauftragnehmern die Einhaltung dieser kritischen neuen Regeln zu verlangen. Jeder Hersteller, der sich nicht an diese Richtlinien hält und das richtige CMMC-Niveau erreicht, wird nicht in der Lage sein, DoD-Geschäfte weiterzuführen.

Für Nicht-DoD-Hersteller…

Ab sofort sind DoD-Auftragnehmer die einzigen, die Gefahr laufen, DoD-Arbeit zu verlieren, wenn sie das CMMC nicht erwerben. Kleine und mittelständische Hersteller sind jedoch immer der Gefahr ausgesetzt, dass ein Cyberangriff ihr Geschäft vollständig lahmlegt, manchmal bis zu dem Punkt, an dem sie sich finanziell nie wieder erholen können. Diese Zertifizierung bietet Nicht-DoD-Herstellern eine fantastische Basis für Cybersicherheit und Best Practices. Abhängig von den Ergebnissen einer Cybersicherheitsbewertung kann ein Unternehmen bestimmen, welcher Reifegrad für ihn am besten geeignet ist.

Wer kann alle meine anderen Fragen zum CMMC beantworten?

Der Erwerb des CMMC kann eine Herausforderung sein, insbesondere ohne die richtige Unterstützung. Die Zertifizierung steckt noch in den Kinderschuhen, was für Hersteller ein schwieriges Umfeld schafft, sich alleine zurechtzufinden. Das Erkunden von Websites wie acq.osd.mil/cmmc/faq.html oder die Zusammenarbeit mit Beratern wie NJMEP sind die besten Möglichkeiten, um zu beginnen und helfen dabei, einen entmutigenden Prozess in einen optimierten Mehrwert für jedes Unternehmen zu verwandeln.

Es kann einschüchternd sein, die CMMC zu verstehen, welche Unternehmen betroffen sind, wann zu handeln ist, und den erforderlichen Reifegrad zu identifizieren. Gehen Sie es nicht alleine an. Cybersicherheit ist wichtig, kann aber komplex sein. Die Zusammenarbeit mit dem richtigen Team und der Zugriff auf die richtigen Informationen werden von unschätzbarem Wert sein.

Seien Sie vorsichtig

Es gab so viele Fragen zu diesem Thema und so viele Entwicklungen während der Einführung. Schon früh gaben viele Unternehmen an, helfen zu können und verlangten einen erheblichen Betrag, auch wenn die endgültige Fassung der Leitlinien noch nicht einmal beschlossen oder kommuniziert worden war. Es gibt unzählige Unternehmen, die Lösungen oder Dienstleistungen verkaufen, um zu helfen, und es kann schwierig sein, zu bestimmen, wem man vertrauen kann. Dies kann nicht einfach an einen Managed Service Provider (MSP) ausgelagert werden, der behauptet, mit den Anforderungen vertraut zu sein.

1.https://www.radware.com/newsevents/pressreleases/c-suite-2019


Industrietechnik

  1. Cloud-Sicherheit ist die Zukunft der Cybersicherheit
  2. Fünf Fragen zu Drittanbietern und Cybersicherheit
  3. Die vier wichtigsten Fragen zu Russlands Serialisierungsgesetzen, beantwortet
  4. Die wichtigsten Herausforderungen auf dem Weg zu Industrie 4.0
  5. Die Top 5 Vorteile von SaaS für Hersteller
  6. Top 10 Cybersicherheitsunternehmen für das verarbeitende Gewerbe
  7. Die 3 wichtigsten Vorteile der Gerätefinanzierung
  8. 3 häufig gestellte Fragen zum Laserschneiden in der Metallindustrie
  9. Die 5 stärksten Metalle, die Sie kennen sollten
  10. Häufig gestellte Fragen zum Sandguss