Pentagon, CMMC Faz II Gerekliliklerini Askıya Aldı: Savunma Sanayiinde Siber Güvenlik Dönüşümü Yazılım

Pentagon, CMMC Faz II Gerekliliklerini Askıya Aldı: Savunma Sanayiinde Siber Güvenlik Dönüşümü

ABD Savunma Bakanlığı, CMMC Faz II'yi askıya alarak savunma yüklenicilerinin siber güvenlik uyumluluğunda reform sinyali verdi.

ABD Savunma Bakanlığı (DoD), Siber Güvenlik Olgunluk Modeli Sertifikasyonu (CMMC) programının ikinci aşamasına (Faz II) yönelik gereklilikleri, programı kapsamlı bir şekilde gözden geçirme kararı alana kadar askıya aldı. Bu hamle, savunma sanayi tabanında (DIB) daha fazla inovasyonu teşvik etme amacı taşıyor. Başlangıçta 10 Kasım 2026'da yürürlüğe girmesi planlanan Faz II, federal sözleşme bilgileri (FCI) ve kontrollü sınıflandırılmamış bilgiler (CUI) ile çalışan savunma yüklenicileri ve alt yüklenicileri için zorunlu dış denetimleri getirecekti.

CMMC programının ilk aşaması (Faz I), şirketlerin kendi siber güvenlik uyumluluk seviyelerini beyan etmelerine izin verirken, Faz II ile birlikte hassas bilgilerle çalışan yüklenicilerin, uyumluluklarını Sertifikalı Üçüncü Taraf Değerlendirme Kuruluşları (C3PAO'lar) aracılığıyla bağımsız olarak doğrulatması gerekiyordu. Bu denetimler, ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından yayınlanan NIST SP 800-171 standardındaki 110 güvenlik kontrolüne uygunluğu kapsayacaktı.

DoD, daha önce DIB'de 220.000 ila 300.000 arasında şirketin faaliyet gösterdiğini ve bunlardan yaklaşık 80.000'inin CMMC Faz II kapsamında denetlenmesinin beklendiğini tahmin ediyordu. Ancak CyberSheath tarafından Ekim 2025'te yayınlanan bir rapor, savunma yüklenicilerinin yalnızca %1'inin Faz II denetimlerine tamamen hazır olduğunu hissettiğini ortaya koydu. Bu düşük hazırlık seviyesi, programın askıya alınmasının ardındaki nedenlerden biri olarak görülüyor.

Sistem Güvenliği

DoD, askıya alma kararını gerekçelendirirken, CMMC programının siber güvenliği artırmak yerine 'yüksek uyum maliyetleri ve bürokratik engeller' yarattığını belirtti. Küçük İşletme İdaresi (SBA) raporlarına atıfta bulunan Bakanlık, CMMC uyumluluğunun inovatif şirketleri DIB'den uzaklaştırdığını ve savaşçılara kritik yeteneklerin teslimatını geciktirdiğini vurguladı. Bu nedenle, programı baştan sona incelemek üzere 60 günlük bir 'CMMC Reform Görev Gücü' oluşturulacak.

Reform sürecinde, Savunma Bakanı Pete Hegseth'in edinim dönüşüm sistemi (ATS) stratejisi ile uyumlu hale getirme hedefi doğrultusunda, küçük, orta ve geleneksel olmayan işletmeler için engellerin azaltılması ve 'bürokratik uyumluluğun ölçeklenebilir, esnek siber güvenlik önlemleriyle değiştirilmesi' planlanıyor. DoD CIO'su A. Davies, geçiş döneminde NIST SP 800-171 Rev 2 standardına uyumluluğun öz değerlendirmeler ve seçici hükümet liderliğindeki değerlendirmelerle sağlanacağını, 'idari yük yerine somut siber hijyene' odaklanılacağını belirtti.

Uzmanların Görüşleri

Uzmanlar, askıya almanın uyum çabalarını terk etmek için bir fırsat olarak yorumlanmaması konusunda uyarıyor. Wisconsin Madison Üniversitesi Ulusal Güvenlik Girişimleri Direktörü Dave Schroeder, kararın arkasında yüklenicilerin Faz II'ye hazır olmamasının yattığını düşünüyor. KDM Konsorsiyumu kurucu üyesi Nelina Varenas ise, 'Bu gecikme, standartların gevşemesi olarak algılanmamalı; aksine, siber güvenlik uygulamalarının doğru ve eksiksiz uygulanması için değerli bir soluklanma fırsatıdır' diyerek, CMMC Seviye 1 öz değerlendirme gerekliliklerinin hala geçerli olduğunu hatırlatıyor.

CMMC'nin geleceği belirsizliğini korurken, savunma yüklenicileri için en akılcı yaklaşım, uyumluluk çalışmalarına devam etmek ve olası bir denetim için hazırlıklı olmak. DoD'nin reform süreci, siber güvenlik ve inovasyon arasında bir denge kurmayı hedefliyor. Ancak uzmanlar, bu sürecin bir duraklama değil, daha etkili bir uyumluluk sistemi kurma fırsatı olduğunu vurguluyor. Savunma sanayii firmaları, NIST 800-171 kontrollerine uyumu sürdürerek ve güvenlik kültürünü geliştirerek hem mevcut gereklilikleri karşılayabilir hem de gelecekteki olası sıkı denetimlere hazır hale gelebilir.

Kaynak: infosecurity-magazine.com

Paylaş: