ABD Savunma Bakanlığı (DoD), Siber Güvenlik Olgunluk Modeli Sertifikasyonu (CMMC) Faz II gerekliliklerini, programın yeniden değerlendirilmesine kadar askıya aldığını duyurdu. Bu karar, savunma sanayi tabanında (DIB) daha fazla yeniliğe izin vermek amacıyla alındı. Başlangıçta 10 Kasım 2026'da yürürlüğe girmesi planlanan Faz II, federal sözleşme bilgileri (FCI) ve kontrollü sınıflandırılmamış bilgiler (CUI) işleyen savunma yüklenicileri ve alt yüklenicileri için siber hijyeni artırmayı hedefliyordu.
CMMC, ABD savunma yüklenicileri için zorunlu bir siber güvenlik sertifikasyon programıdır. Faz I, şirketlerin kendi uyum seviyelerini beyan etmelerine izin verirken, Faz II, hassas bilgilerle çalışan yüklenicilerin bağımsız bir dış denetim kuruluşu (C3PAO) tarafından denetlenmesini gerektiriyordu. Bu denetimler, NIST SP 800-171 standardındaki 110 güvenlik kontrolüne uyumu doğrulamayı amaçlıyordu. DoD, daha önce DIB'de 220.000 ila 300.000 şirketin faaliyet gösterdiğini ve bunlardan yaklaşık 80.000'inin CMMC Faz II'ye tabi olmasının beklendiğini tahmin etmişti.
Ekim 2025'te yayınlanan bir CyberSheath raporu, savunma yüklenicilerinin yalnızca %1'inin CMMC Faz II denetimlerine tam olarak hazır olduğunu hissettiğini ortaya koydu. Ayrıca, Faz III ve Faz IV'ün sırasıyla Kasım 2027 ve Kasım 2028'de tamamlanması planlanmıştı. Faz III, en hassas verileri içeren sözleşmeler için DoD liderliğinde seviye 3 denetimlerini getirecekti. Faz IV ise tüm DoD yüklenicileri ve alt yüklenicileri için tam CMMC uyumunu zorunlu kılacaktı.
Sonuç ve Değerlendirme
DoD, CMMC Faz II'nin askıya alınmasını gerekçelendirirken, programın DIB firmaları için siber güvenliği artırmak yerine 'yasaklayıcı uyum maliyetleri ve bürokratik yükler' yarattığını savundu. Açıklamada, 'Küçük İşletme İdaresi (SBA) dahil olmak üzere son veriler, CMMC uyumunun yenilikçi şirketleri DIB'den çıkmaya zorladığını ve bunun da savaşçılara kritik yeteneklerin teslimatını geciktireceğini doğruladı' denildi. Bu nedenle DoD, programı tepeden tırnağa incelemek üzere 60 günlük bir 'CMMC Reform Görev Gücü' kuracak.
Uzmanların Görüşleri
Görev gücü, Savunma Bakanı Pete Hegseth'in edinim dönüşüm sistemi (ATS) stratejisiyle uyumlu hale getirilmesini sağlayacak. Bu, küçük, orta ve geleneksel olmayan işletmelerin önündeki engelleri kaldırmayı ve 'bürokratik uyumu ölçeklenebilir, dayanıklı siber güvenlik önlemleriyle değiştirmeyi' içeriyor. DoD'nin CIO'su A. Davies, 'Güçlü siber güvenlik ve operasyonel dayanıklılık, Amerikan yeniliğini korumak ve savaşçı hazırlığını desteklemek için kritik olmaya devam ediyor. DIB'in her ikisini de başarabileceğine inanıyoruz, gereksiz hükümet bürokrasisini azaltırken' dedi.
Teknik Analiz
Geçiş döneminde DoD, NIST SP 800-171 Rev 2 standardına uyumu öz değerlendirmeler ve seçici hükümet liderliğindeki değerlendirmeler yoluyla uygulayacağını belirtti. 'İdari yükten ziyade somut siber hijyene odaklanılacak' denildi. Uzmanlar, bu askıya almanın ardından firmaların uyum çalışmalarını bırakmamaları konusunda uyarılarda bulundu. Wisconsin Madison Üniversitesi Ulusal Güvenlik Girişimleri Direktörü Dave Schroeder, askıya almanın muhtemelen yeterli sayıda yüklenicinin Faz II'ye hazır olmamasından kaynaklandığını belirtti.
KDM Konsorsiyumu'nun kurucu üyesi Nelina Varenas, firmaların bu gecikmeyi uyum çabalarını terk etme fırsatı olarak yorumlamaması gerektiğini vurguladı. 'Öncelikle, DoD duyurusunda belirtildiği gibi, tüm CMMC Seviye 1 öz değerlendirme gereklilikleri yürürlükte kalmaya devam ediyor' dedi. 'Bu geri adım atma zamanı değil; uyumun doğru yapıldığından emin olma zamanı.' Varenas, askıya almanın standartların gevşetilmesi olarak yanlış yorumlanmaması gerektiğini, bunun yerine siber güvenlik uygulamalarının doğru ve eksiksiz bir şekilde uygulanması için değerli bir soluklanma süresi olarak görülmesi gerektiğini sözlerine ekledi.
Kaynak: infosecurity-magazine.com