Nieuwe maatstaf VS vraagt om verscherping cybersecurity in defensie-industrie

01/07/20

Cybersecurity Maturity Model Certification

Ondernemingen die actief zijn in de defensie-industrie en leveren aan Amerikaanse defensieprojecten, moeten nog dit jaar rekening houden met een nieuwe maatstaf voor cybersecuritymaatregelen. Het Amerikaanse ministerie van Defensie heeft aangekondigd dat de Covid-19-pandemie voor enige vertraging heeft gezorgd, maar dat het Cybersecurity Maturity Model Certification (CMMC) nog dit jaar wordt ingevoerd. Bedrijven die willen (blijven) meedoen aan Amerikaanse defensieprojecten zullen hun cybersecurity dan nog verder moeten aanscherpen.

‘Het was te verwachten dat dit eraan zou komen’, aldus Sylvie Bleker, hoogleraar compliance en integriteit aan de VU in Amsterdam en verbonden aan de forensische praktijk van PwC. ‘De Amerikaanse overheid heeft moeten concluderen dat een regime van zelfcertificering niet heeft geleid tot een betere beveiliging van informatie. De toenemende dreiging van allerlei statelijke actoren, voor wie het stelen van onder meer intellectueel eigendom een relatief eenvoudige manier is om snel een achterstand in kennis en ervaring te verkleinen, wordt helaas nog niet in de hele toeleveringsketen als een risico gezien.’

Investeringen in cybersecurity

‘Dit komt deels door de onzichtbaarheid ervan bij allerlei toeleveranciers, waardoor investeringen in cybersecuritymaatregelen ook niet in een businesscase worden meegenomen. Door certificering als basisvoorwaarde op te nemen, dwingt de Amerikaanse overheid af deze investeringen te nemen.’

In Nederland zijn ongeveer 350 ondernemingen actief in de defensie-industrie. Als zij in de toekomst willen bieden op contracten van het Amerikaanse ministerie van Defensie, moeten zij voldoen aan de CMMC-vereisten. Eerder waren contractanten al verantwoordelijk voor het implementeren, bewaken en certificeren van de beveiliging van hun IT-systemen en alle gevoelige informatie die is opgeslagen op of verzonden werd door die systemen. ‘CMMC voegt daaraan toe dat ondernemingen door middel van beoordelingen en certificering door derden kunnen aantonen dat ze de verplichte handelswijze, procedures en processen naleven’, verduidelijkt Bleker. ‘En dat ze die ook steeds aanpassen aan nieuwe cyberdreigingen van tegenstanders. Denk bijvoorbeeld aan de cyberaanvallen vanuit verschillende statelijke actoren.’

Vijf certificeringsniveaus in CMMC-raamwerk

Het CMMC-raamwerk stelt vijf certificeringsniveaus vast die de volwassenheid en betrouwbaarheid van de cyberbeveiliging van een onderneming weergeven. Elk niveau bouwt voort op het vorige niveau en per niveau worden de technische en organisatorische vereisten verder aangescherpt. Dit ‘maturity model’ loopt van elementaire cyberhygiëne tot verdedigingslinies tegen zogeheten ‘advanced persistent threats’.

Grote impact op defensie-industrie

De invoering van CMMC heeft een grote impact op de defensie-industrie. Alle contractanten van het Amerikaanse ministerie van Defensie zullen uiteindelijk een CMMC-certificering moeten behalen. ‘Dit omvat leveranciers op alle niveaus in de toeleveringsketen: kleine ondernemingen, contractanten van handelsartikelen en buitenlandse leveranciers. Geen certificaat betekent dat je niet meer kunt meedoen met bieden.’

De Amerikaanse overheid heeft eerder aangegeven dat ze op 20 juni 2020 zou beginnen met het opnemen van minimale certificeringsvereisten in informatieverzoeken (RFI's) en komende september in geselecteerde verzoeken om voorstellen (RFP's). Ze heeft ook aangegeven dat een certificeringsvereiste op primair niveau niet noodzakelijkerwijs hetzelfde certificatieniveau zal zijn dat vereist is gedurende de gehele supplychain voor een bepaald contract. ‘Verschillende certificeringsniveaus op een contract kunnen bij zowel hoofd- als ondercontractanten problemen opleveren als het gaat om de implementatie’, aldus Bleker.