O departamento, que no passado dependia fortemente da auto-inspecção dos seus fornecedores, há muito que é criticado pelo seu Inspector-Geral pela supervisão negligente dos seus fornecedores. Num relatório divulgado em Dezembro de 2023, o Inspector Geral Robert P. Storch observou que a sua agência emitiu cinco relatórios de 2018 a 2023 que concluíram que os funcionários contratantes do DoD não conseguiram estabelecer procedimentos para garantir que os contratantes cumprissem os requisitos de segurança cibernética seleccionados -CUI, conforme exigido. pelo. Instituto Nacional de Padrões e Tecnologia (NIST).
Não há alívio da pressão para se conformar
Com a nova lei, o sistema CMMC implementa um requisito de verificação anual que é um elemento-chave para monitorizar e impor a responsabilização pela postura de segurança cibernética de uma empresa. Apresenta também Planos de Ação e Marcos (POA&Ms). Os POA&Ms serão emitidos com determinados requisitos, conforme descrito na lei, para permitir que a entidade obtenha certificação condicional por 180 dias enquanto trabalha para atender aos padrões do NIST.
Apesar da introdução de POA&Ms, os empreiteiros estão preocupados com a sua capacidade de cumprir os requisitos da nova lei dentro dos prazos exigidos. “Se alguém na indústria esperava que a pressão diminuísse, não creio que fosse”, disse Robert Metzger, presidente de segurança cibernética do escritório de advocacia Rogers Joseph O’Donnell.
