Das US-Verteidigungsministerium (DoD) verlangt, dass alle Auftragnehmer und Subunternehmer der US-amerikanischen Verteidigungsindustrie (DIB) die in NIST SP 800-171 r2 beschriebenen Sicherheitskontrollen umsetzen, um kontrollierte, nicht klassifizierte Informationen (CUI) gemäß DFARS 252.204-7012, Safeguarding Covered Defense Information and Cyber Incident Reporting zu schützen. Bundesauftragnehmer (einschließlich Verteidigungsauftragnehmer), die mit Informationen des Bundesvertrags (Federal Contract Information, FCI) umgehen, müssen auch die Sicherheitsanforderungen in FAR 52.204-21, Basic Safeguarding of Covered Contractor Information Systems einhalten.
Um die Einhaltung von NIST SP 800-171 r2 zu formalisieren und zu überprüfen, hat das DoD am 15. Oktober 2024 das CMMC-Programm über die CMMC-Programmregel 32 CFR Teil 170 eingeführt, die am 16. Dezember 2024 in Kraft getreten ist. Eine vorgeschlagene Beschaffungsregel (48 CFR Teil 204) wird DFARS 252.204-7021 ändern, um eine CMMC-Zertifizierung für betroffene Auftragnehmer zu verlangen. Nach der Fertigstellung wird die CMMC-Compliance schrittweise in DoD-Verträge aufgenommen. Google Cloud und Google Workspace unterstützen Auftragnehmer bei der Einhaltung dieser Anforderungen.
Bescheinigungsschreiben zu C3PAO CMMC bezüglich Google Cloud
Bescheinigungsschreiben zu CMMC für Google Workspace durch C3PAO
Bescheinigungsschreiben zur Compliance mit NIST SP 800-171 für Google Cloud und Google Workspace
CMMC-Zertifizierung des Verteidigungsministeriums der USA
Google Workspace CMMC Implementation Guide
Google Cloud CMMC Implementation Guide
Das CMMC-Programm hat drei Stufen:
Stufe 1: Grundlegender Schutz von FCI
Stufe 2: Umfassender Schutz von CUI
Stufe 3: Höherer Schutz von CUI vor komplexen, anhaltenden Bedrohungen
Je höher die CMMC-Stufe, desto sensibler sind die verarbeiteten Daten und desto strenger sind die Anforderungen an die Cybersicherheit.
Sie können Google Cloud und Google Workspace nutzen, um die CMMC-Compliance-Anforderungen Ihrer Organisation auf allen Ebenen zu erfüllen. Dabei können Sie sich auf die von Google bereitgestellten, von FedRAMP autorisierten Dienste mit hohem Sicherheitsniveau verlassen. Google Cloud und Google Workspace erfüllen die ATO-Richtlinien FedRAMP (hohe Sicherheit) für abgedeckte Dienste.
Google bietet die folgenden Anleitungen, damit Sie die CMMC-Compliance-Anforderungen erfüllen können:
Außerdem stellt Google die folgenden Bestätigungsschreiben zur Verfügung, die von einer unabhängigen externen Prüforganisation erstellt wurden:
Für Google Cloud müssen Sie die Assured Workloads-Datengrenze für FedRAMP High verwenden und die CMMC CRM (Customer Responsibility Matrix) bei der Konfiguration von Systemen zur Unterstützung der CMMC-Compliance nutzen. Wenden Sie sich an das Vertriebsteam von Google oder an Ihren Google Cloud-Ansprechpartner, um die oben erwähnte Dokumentation, wie z. B. das CRM, zu erhalten.
Für Google Workspace müssen Sie FedRAMP High-autorisierte Dienste für die CMMC-Compliance sowie Assured Controls Plus verwenden, um die Datenspeicherung ausschließlich in den Vereinigten Staaten zu ermöglichen. Bei Bedarf können Sie einen Dienst deaktivieren, der noch nicht FedRAMP-autorisiert ist.
Profitieren Sie von einem Guthaben über 300 $, um Google Cloud und mehr als 20 „Immer kostenlos“-Produkte kennenzulernen.