📣 Senden Sie uns Ihre Pressemitteilung
Seite aktualisiert sich alle 15 Minuten
Technologie

US-Verteidigungsministerium pausiert CMMC-Cybersecurity-Anforderungen

Die Unterbrechung der CMMC-Phase 2 durch das US-Verteidigungsministerium entbindet Auftragnehmer nicht von ihren Verpflichtungen zum Schutz sensibler Daten. Kernanforderungen bleiben bestehen.

16. Juli 2026
US-Verteidigungsministerium pausiert CMMC-Cybersecurity-Anforderungen

Verteidigungsauftragnehmer sollen Cybersicherheit trotz CMMC-Pause vorantreiben

Pittsburgh, PA – 16. Juli 2026 – Ungeachtet der jüngsten Aussetzung der Phase 2 des CMMC-Programms durch das US-Verteidigungsministerium (DoD) fordert das Cybersicherheitsunternehmen Magna5 die Auftragnehmer der Rüstungsindustrie auf, ihre Cybersicherheitsvorkehrungen weiter zu verstärken. Das Unternehmen betonte, dass die vorübergehende Pause die fortbestehende Verpflichtung zum Schutz von Bundesdaten nicht aufhebt. Wesentliche Anforderungen wie die Einhaltung von NIST SP 800-171 und die korrekte Berichterstattung an SPRS bleiben in Kraft.

Die Entscheidung des DoD, die für November 2026 geplante Einführung von CMMC Phase 2 auszusetzen, hat zu Verwirrung in der Branche geführt. Die Aussetzung gilt während einer 60-tägigen Überprüfung durch eine neu gebildete CMMC Reform Task Force und betrifft obligatorische Drittanbieter-Bewertungen sowie die Einführung von Phase 3. Magna5 appelliert an Unternehmen im Verteidigungssektor, diese Zeit zu nutzen, um ihre Sicherheitslage zu verbessern, kritische Lücken in der Compliance zu schließen und widerstandsfähige Cybersicherheitsprogramme aufzubauen.

"Die größte Herausforderung war nicht die Kosten einer Bewertung, sondern die Bereitschaft dazu", erklärte Bill Osborne, Vice President of Defense Sector Services bei Magna5. "Viele Auftragnehmer haben die Zeit, die Dokumentation, die Prozessreife und die operative Disziplin unterschätzt, die erforderlich sind, um NIST SP 800-171 tatsächlich zu erfüllen. Die Bewertung selbst kann zehntausende Dollar kosten, aber der Aufbau eines Sicherheitsprogramms, das diese besteht, kostet mehr."

Osborne wies darauf hin, dass, obwohl der Mangel an Prüfern viel Aufmerksamkeit erregt hat, ein tiefer liegendes Problem darin besteht, dass viele Auftragnehmer nicht ausreichend vorbereitet sind. CMMC Level 2 erfordert ein ausgereiftes Sicherheitsprogramm, einschließlich klar definierter CUI-Umgebungen, vollständiger System-Sicherheitspläne, nachweisbarer Richtlinien und Verfahren sowie Nachweise über die Umsetzung von Kontrollen. Diese grundlegenden Anforderungen werden durch die Pause nicht aufgehoben.

Magna5 mahnte, dass Angreifer ihre Aktivitäten nicht einstellen und Verteidigungsauftragnehmer ihre Compliance-Bemühungen daher nicht unterbrechen sollten. Unternehmen, die ihre Sicherheitsprogramme weiterentwickeln, werden sich in einer besseren Position befinden, wenn die CMMC-Anforderungen wieder in Kraft treten, Hauptauftragnehmer die Einhaltung der Vorschriften durchsetzen oder breitere bundesstaatliche Cybersicherheitsmandate wirksam werden.

Originalquelle: prnewswire.com