เพนตากอนกำลังสนับสนุนให้ผู้รับเหมากลาโหมปฏิบัติตามแนวปฏิบัติด้านความปลอดภัยในโลกไซเบอร์ที่จัดทำโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ แต่ข้อกำหนดใหม่จะไม่ปรากฏในสัญญาเป็นเวลาอย่างน้อยเก้าเดือน โดยมีความเป็นไปได้ที่กระบวนการกำหนดกฎเกณฑ์จะยืดออกไปในช่วงปลายฤดูใบไม้ร่วง 2023.ในขณะเดียวกัน เจ้าหน้าที่กระทรวงกลาโหมกล่าวว่า บริษัทประมาณ 40,000 แห่งยังคงต้องการการประเมินจากบุคคลที่สามภายใต้โปรแกรมการรับรองแบบจำลองความมั่นคงปลอดภัยไซเบอร์ที่ปรับปรุงใหม่
ระหว่างศาลากลางเสมือนจริงที่จัดโดย CMMC Accreditation Body
ในคืนวันอังคาร เจ้าหน้าที่เพนตากอนอธิบายการเปลี่ยนแปลง CMMC 2.0 ที่ประกาศเมื่อสัปดาห์ที่แล้วและแสดงตัวอย่างเส้นทางใหม่สำหรับโปรแกรมที่กำลังคุกรุ่นยาวนาน
“ความหวังของฉันคือไม่มีบริษัทใดใน [ฐานอุตสาหกรรมกลาโหม] หรือในตลาดการค้าที่กว้างขึ้นกำลังรอข้อกำหนดตามสัญญาของ DOD เพื่อเริ่มกระบวนการเตรียมความพร้อมทางไซเบอร์” เจสซี ซาลาซาร์ รองผู้ช่วยรัฐมนตรีกลาโหมด้านนโยบายอุตสาหกรรม กล่าวระหว่างการประชุม . “เราขอสนับสนุนให้ทุกบริษัทเริ่มปรับปรุงความปลอดภัยทางไซเบอร์ของตน”
ข้อมูลเชิงลึกโดย Eightfold: ค้นพบว่าข้อมูล เทคโนโลยี และกลยุทธ์การสรรหาใหม่ช่วยให้ USDA, EPA, GSA, NASA และ NIH ประสบความสำเร็จในการแข่งขันหาผู้มีความสามารถได้อย่างไร โดยเฉพาะอย่างยิ่งเมื่อเป็นเรื่องของเทคโนโลยีขั้นสูง วิทยาศาสตร์ และตำแหน่งอื่น ๆ ที่ยากต่อการบรรจุ
Buddy Dees ผู้อำนวยการของ CMMC ภายในสำนักงานของเลขานุการฝ่าย
การจัดหาและความยั่งยืนกล่าวว่าเพนตากอนจะผ่านกระบวนการกำหนดกฎเกณฑ์แบบสองทางเพื่อดำเนินการเปลี่ยนแปลง CMMC 2.0
กระทรวงกลาโหมจะวางนโยบายใหม่ เช่น กระบวนการสละสิทธิ์ ผ่านข้อบังคับการป้องกันประเทศหัวข้อ 32 เพนตากอนจะประมวลนโยบายไว้ในหัวข้อ 48 Federal Acquisition Regulations เพื่อให้เจ้าหน้าที่ที่ทำสัญญาสามารถใช้ CMMC 2.0 ในการเข้าซื้อกิจการ
เพนตากอนกำลังระงับนักบิน CMMC และจะไม่ต้องการการรับรองเป็นส่วนหนึ่งของสัญญาใด ๆ จนกว่าจะมีการสรุปกฎ รวมถึงระยะเวลาแสดงความคิดเห็นสาธารณะ 60 วันก่อนที่กฎจะมีผลบังคับใช้ ตาม Dees
“การกำหนดกฎเกณฑ์ไม่ใช่กระบวนการที่รวดเร็วไม่ว่าด้วยวิธีใดก็ตาม” Dees กล่าว “และโดยทั่วไปแล้ว เรากำลังมองหาที่ไหนสักแห่งระหว่าง 9 ถึง 24 เดือนเพื่อดำเนินการทั้งสองอย่างให้เสร็จสิ้น”
DoD เริ่มเปิดตัวโปรแกรมเมื่อสองปีที่แล้ว และเจ้าหน้าที่ได้วางแผนที่จะเริ่มรวมข้อกำหนด CMMC ในสัญญาในปีนี้ก่อนที่จะมีการตรวจสอบ
Dees กล่าวว่า Pentagon มีเป้าหมายที่จะเผยแพร่รายละเอียดเกี่ยวกับมาตรฐาน CMMC 2.0 ที่อัปเดตบนเว็บไซต์ของโปรแกรมภายในสิ้นเดือนนี้
CMMC 2.0 เป็นผลมาจากการตรวจสอบของเพนตากอนเป็นเวลานานหลายเดือน หลังจากที่ฝ่ายนิติบัญญัติและภาคอุตสาหกรรมแจ้งข้อกังวลว่าโปรแกรมนี้จะมีค่าใช้จ่ายสูงเกินไปและเป็นภาระสำหรับหลาย ๆ คนในอุตสาหกรรมการป้องกันประเทศ โดยเฉพาะธุรกิจขนาดเล็ก
ในที่สุดเจ้าหน้าที่ของกระทรวงกลาโหมก็ตัดสินใจเปลี่ยนไปใช้รูปแบบที่บริษัทที่ไม่ได้จัดการข้อมูลที่ถือว่ามีความสำคัญต่อความมั่นคงของชาติ จะต้องยืนยันด้วยตนเองถึงแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์เป็นประจำทุกปี
