ABD Savunma Bakanlığı (DoD), Siber Güvenlik Olgunluk Modeli Sertifikasyonu (CMMC) programının Faz II gereksinimlerini, programı gözden geçirene kadar askıya aldığını duyurdu. Bu hamle, savunma sanayi tabanında (DIB) daha fazla yeniliğe izin vermek amacıyla yapıldı. Başlangıçta 10 Kasım 2026'da yürürlüğe girmesi planlanan Faz II, DoD'nin federal sözleşme bilgileri ve kontrollü sınıflandırılmamış bilgileri işleyen savunma yüklenicileri ve alt yüklenicileri için siber hijyeni artırmayı hedefliyordu.
CMMC Faz I, şirketlerin siber güvenlik uyum seviyelerini kendi kendilerine bildirmelerine izin verirken, Faz II, hassas bilgilerle çalışan yüklenicilerin bu uyumun bağımsız bir kuruluş tarafından denetlenmesini gerektirecekti. Özellikle, CMMC Faz II, kontrollü sınıflandırılmamış bilgileri işleyen yüklenicilerin, NIST SP 800-171'de belirtilen 110 güvenlik kontrolüne uygunluğu doğrulamak için Sertifikalı Üçüncü Taraf Değerlendirme Kuruluşları (C3PAO'lar) tarafından bağımsız değerlendirmelerden geçmesini zorunlu kılıyordu.
DoD daha önce DIB'de 220.000 ila 300.000 arasında şirketin faaliyet gösterdiğini ve bunlardan yaklaşık 80.000'inin CMMC Faz II'ye tabi olmasının beklendiğini tahmin etmişti. Ekim 2025'te yayınlanan bir CyberSheath raporu, savunma yüklenicilerinin yalnızca %1'inin CMMC Faz II denetimlerine tamamen hazır olduğunu hissettiğini ortaya koydu. Ayrıca, Faz II'yi Kasım 2027'de tamamlanması planlanan Faz III ve Kasım 2028'de tamamlanması planlanan Faz IV'ün izlemesi gerekiyordu.
Teknik Analiz
DoD, CMMC Faz II'nin askıya alınmasını gerekçelendirirken, programın DIB firmaları için siber güvenliği artırmak yerine 'yasaklayıcı uyum maliyetleri ve bürokratik yükler' yarattığını savundu. Bakanlık, 'Küçük İşletme İdaresi'nden (SBA) gelen raporlar da dahil olmak üzere son veriler, CMMC uyumluluğunun yenilikçi şirketleri DIB'den çıkmaya zorladığını ve bunun da savaşçılara kritik yeteneklerin teslimatını geciktireceğini doğruladı' dedi.
Nasıl Önlem Alınmalı?
Bu nedenle DoD, programı Savaş Bakanı Pete Hegseth'in edinim dönüşüm sistemi stratejisiyle uyumlu hale getirmek için 60 günlük, tepeden tırnağa bir inceleme yapacak bir 'CMMC Reform Görev Gücü' kuracak. Bu, küçük, orta ve geleneksel olmayan işletmelerin önündeki engelleri azaltmayı ve 'bürokratik uyumu ölçeklenebilir, dayanıklı siber güvenlik önlemleriyle değiştirmeyi' içeriyor. Geçiş döneminde DoD, NIST SP 800-171 Rev 2 standardına uygunluğu öz değerlendirmeler ve seçici hükümet liderliğindeki değerlendirmeler yoluyla uygulayacağını belirtti.
Gelecekte Ne Bekleniyor?
Uzmanlar, CMMC uyum çabalarından vazgeçilmemesi konusunda uyarıyor. Wisconsin Madison Üniversitesi Ulusal Güvenlik Girişimleri Direktörü Dave Schroeder, LinkedIn'de yaptığı açıklamada, CMMC'nin NIST 800-171 ve DFARS 252.204-7012'ye uyumu kanıtlamak için bir program olduğunu ve DoD'nin son hamlesinin muhtemelen yeterince yüklenicinin 10 Kasım'a kadar CMMC Faz II'ye hazır olmamasından kaynaklandığını söyledi. KDM Konsorsiyumu'nun kurucu üyesi Nelina Varenas ise, yüklenicilerin gecikmeyi uyum çabalarını terk etme fırsatı olarak yorumlamamaları gerektiğini vurguladı.
Varenas, 'DoD duyurusunda belirtildiği gibi, tüm CMMC Seviye 1 öz değerlendirme gereksinimleri yürürlükte kalıyor' dedi. İlgili kuruluşları uyum çabalarını terk etmemeye çağıran Varenas, gecikmenin standartların gevşemesi olarak yanlış yorumlanmaması gerektiği konusunda uyardı. Bunun yerine, askıya almanın, gelecekteki olası uygulamalar devam etmeden önce siber güvenlik uygulamalarının doğru ve eksiksiz bir şekilde uygulanmasını sağlamak için değerli bir soluklanma alanı olarak görülmesini tavsiye etti. CMMC'nin geleceği belirsizliğini korurken, Varenas 'Bu geri adım atma zamanı değil; uyumun doğru yapıldığından emin olma zamanı' uyarısında bulundu.
Kaynak: infosecurity-magazine.com