📣 Lähetä tiedotteenne meille
Sivusto päivittyy 15 minuutin välein
Teknologia

US Defense Departmentin kyberturvallisuusvaatimukset keskeytyksessä

Yhdysvaltain puolustusministeriön CMMC-kyberturvallisuusvaatimusten vaiheen 2 keskeytys ei poista urakoitsijoiden velvollisuutta suojata liittovaltion tietoja. Ydinvaatimukset säilyvät voimassa.

16. heinäkuuta 2026
US Defense Departmentin kyberturvallisuusvaatimukset keskeytyksessä

Puolustusalan urakoitsijoiden on jatkettava kyberturvallisuuden parantamista keskeytyksestä huolimatta

Pittsburgh, PA – Heinäkuu 16, 2026 – Magna5 on kehottanut Yhdysvaltain puolustusalan urakoitsijoita jatkamaan kyberturvallisuusvalmiuksiensa vahvistamista, vaikka puolustusministeriön (DoD) hiljattain ilmoittama CMMC Phase 2 -ohjelman keskeytys tarjoaa tilapäisen helpotuksen. Yhtiö korostaa, että tilapäinen tauko ei poista urakoitsijoiden ensisijaista velvollisuutta suojata liittovaltion hallussa olevia tietoja. Keskeiset vaatimukset, kuten NIST SP 800-171 -standardin noudattaminen ja täsmällisten SPRS-raporttien ylläpito, ovat edelleen aktiivisesti valvonnassa.

Puolustusministeriön päätös keskeyttää CMMC Phase 2 -vaiheen käyttöönottoa, joka oli alun perin määrä aloittaa marraskuussa 2026, on aiheuttanut hämmennystä alalla. Päätös tehtiin uuden CMMC Reform Task Force -työryhmän käynnistämän 60 päivän tarkastelun ajaksi. Tauko koskee pakollisia kolmannen osapuolen arviointeja ja Phase 3 -käyttöönottoa. Magna5 kehottaa puolustusalan teollisuusyrityksiä hyödyntämään tätä aikaa vahvistaakseen valmiuksiaan, paikata merkittävimpiä puutteita vaatimustenmukaisuudessa ja rakentaakseen kestäviä ja mukautuvia kyberturvallisuusohjelmia.

"Suurin haaste ei ole ollut arvioinnin kustannukset, vaan valmius", sanoi Bill Osborne, Magna5:n puolustussektorin palveluiden varatoimitusjohtaja. "Monet urakoitsijat ovat aliarvioineet ajan, dokumentaation, prosessikypsyyden ja toiminnallisen kurinalaisuuden, joita NIST SP 800-171 -vaatimusten täyttäminen edellyttää. Itse arviointi saattaa maksaa kymmeniä tuhansia dollareita, mutta turvallisuusohjelman rakentaminen sen läpäisemiseksi maksaa enemmän."

Osborne huomauttaa, että vaikka arvioijien pula on ollut julkisuudessa, syvempi ongelma on se, että monet urakoitsijat eivät ole valmiita arviointia varten. CMMC Level 2 vaatii kypsän turvallisuusohjelman, johon sisältyy muun muassa määritelty CUI-ympäristö, täsmällinen tietoturvasuunnitelmadokumentaatio, todistettavissa olevat käytännöt ja menettelyt sekä todisteet valvontatoimien toteutuksesta. Nämä vaatimukset eivät poistu keskeytyksen myötä.

Magna5 muistuttaa, että hyökkääjät eivät keskeytä toimintaansa, eikä liittovaltion vaatimusten täytäntöönpanokalenteri ole näin ollen pysähdyksissä. Urakoitsijoiden, jotka jatkavat vaatimusten eteenpäin viemistä, katsotaan olevan paremmassa asemassa, kun CMMC-ohjelma jatkuu, ylemmät tahot alkavat vaatia vaatimustenmukaisuutta tai laajemmat liittovaltion kyberturvallisuusmääräykset astuvat voimaan.

Alkuperäinen lähde: prnewswire.com