CMMC-Zertifizierung (Cybersecurity Maturity Model Certification der USA)
Das Verteidigungsministerium der USA (U.S. Department of Defense, DoD) verlangt, dass alle betroffenen Verteidigungsunternehmen und Subunternehmen die in NIST SP 800-171 beschriebenen Sicherheitskontrollen umsetzen. Diese Anforderung dient dem Schutz von Informationen des Bundesvertrags (Federal Contract Information, FCI) sowie von kontrollierten, nicht klassifizierten Informationen (Controlled Unclassified Information, CUI) als Teil der vertraglichen Verpflichtungen der betroffenen Unternehmen aus DFARS 252.204-7012.
Damit der formale Rahmen dieser Anforderung abgesteckt ist und das DoD eine Möglichkeit hat, die Einhaltung von NIST SP 800-171 zu überprüfen, wird vom DoD ein Programm zur Überprüfung einer gültigen CMMC (Cybersecurity Maturity Model Certification) entwickelt. Alle Auftragnehmer des DoD, deren Vertrag eine Klausel zu DFARS 252.204-7012 aufweist, müssen die im Vertrag mit dem DoD erforderliche CMMC-Zertifizierungsstufe erreichen. Dies gilt als Bedingung für die Auftragsvergabe, sobald die Regelung in Kraft getreten ist.
CMMC 2.0 – Hintergrund
Am 26. Dezember 2023 hat das DoD einen Regelungsvorschlag zur öffentlichen Stellungnahme veröffentlicht. Der Stellungnahmezeitraum beträgt 60 Tage. Anschließend werden alle Stellungnahmen von der zuständigen Stelle für die endgültige Veröffentlichung der Regelung überprüft. Basierend auf diesem Zeitplan gehen Branchenanalysten davon aus, dass die endgültige Veröffentlichung der Regelung Anfang 2025 erfolgen wird. Die erste Gruppe von Auftragnehmern wird nach der Veröffentlichung die CMMC-Zertifizierung erhalten. Das Datum kann sich je nach den Zeitplänen der Behörden ändern.
CMMC und Google Cloud
CMMC 2.0 umfasst drei Zertifizierungsstufen für Organisationen, je nach den Anforderungen des DoD. Organisationen können erst nach Veröffentlichung der endgültigen Regelung eine offizielle CMMC-Zertifizierung erhalten. Google Cloud bereitet sich jedoch auf CMMC-Stufe 2 vor. Dazu nimmt der C3PAO, der unsere FedRAMP unterstützt, für Google Cloud-Dienste und Google Workspace an Testüberprüfungen teil. Sobald CMMC 2.0 fertiggestellt ist, wird Google den offiziellen Zertifizierungsvorgang durchlaufen, der für Cloud-Dienstanbieter (Cloud Service Providers, CSPs) festgelegt wurde.
Bisher hat noch keine Organisation eine CMMC-Zertifizierung erhalten. Google hat jedoch Überprüfungen nach NIST SP 800-171 zur Vorbereitung auf das CMMC 2.0-Programm vornehmen lassen. Die Bewertungsberichte finden Sie auf der Seite zu NIST SP 800-171.
Gemäß der aktuellen Version des CMMC müssen Auftragnehmer, die Cloud-Lösungen zum Speichern von CUI nutzen, CSPs verwenden, die mindestens eine „Moderate“-Autorisierung des FedRAMP haben. Zur Vorbereitung auf das CMMC sollten Auftragnehmer aus der Rüstungsbranche (Defense Industrial Base, DIB), die Google Cloud-Dienste verwenden, unsere Kundenverantwortungsmatrix zum FedRAMP prüfen, die Teil unserer FedRAMP-Systemsicherheitsplanung (SSP) ist, um sich mit dem Modell der geteilten Verantwortung in Bezug auf die angestrebte CMMC-Konformität vertraut zu machen. Unser Vertriebsteam oder Ihr Google Cloud-Ansprechpartner beantwortet Ihre Fragen und stellt Ihnen die entsprechenden Dokumente zur Verfügung.
Weitere Angebote
- NIST SP 800-171Hier finden Sie Informationen dazu, welche Google Cloud-Dienste von unabhängigen Dritten untersucht wurden, die bestätigt haben, dass diese Dienste die Kontrollen aus NIST 800-171 einhalten.
- FedRAMPGoogle Cloud verwaltet FedRAMP High und FedRAMP Moderate P-ATOs für Google Cloud- und Google Workspace-Produkte.
- DISAKürzlich durch DISA autorisierte IL5-Dienste hinzugefügt.
Gleich loslegen
Profitieren Sie von einem Guthaben über 300 $, um Google Cloud und mehr als 20 „Immer kostenlos“-Produkte kennenzulernen.
Best Practices für Sicherheit
Mehr über Best PracticesHäufige Probleme beheben
Videos zu sicherheitsbezogenen Fallstudien ansehenUnterstützung durch Partner
Mehr über unsere Sicherheitspartner
