五角大楼将于11月10日在合同中正式实施CMMC要求

《国防联邦采购条例补充规定》的修订标志着多年来为国防承包商实施 CMMC 2.0 网络安全标准的努力即将结束。

五角大楼发布了备受期待的更新规则，该规则将要求合同实施网络安全成熟度模型认证 2.0（CMMC 2.0）标准。

据该文件显示，修订《国防联邦采购条例补充规定》（DFARS）的最终规则已于周二在《联邦公报》上公布，供公众查阅，并将于11月10日正式生效。该法规的发布标志着多年来为国防承包商强制执行CMMC项目制定的新网络安全标准的努力即将结束。

五角大楼首席信息官凯蒂·阿灵顿在一份声明中表示：“我们希望我们的供应商将美国国家安全放在首位。通过遵守网络标准并获得CMMC认证，这表明我们的供应商确实做到了这一点。”

CMMC项目是一个三层网络安全框架，要求处理受控非机密信息（CUI）或联邦合同信息（FCI）的承包商根据其处理的信息的敏感程度，满足三个合规级别之一。国防部（特朗普政府已将其更名为战争部）创建了该项目，旨在确保承包商保护存储在其系统中的五角大楼数据免受对手的攻击。

DFARS 修正案遵循国防部针对 CMMC 2.0 的最终规则变更，该变更于 2024 年 10 月发布，并于几个月后的 12 月生效。虽然该规则将该计划确立为联邦法律，但新规定将要求五角大楼合同官员在项目招标和合同中纳入基于该框架层级的网络安全要求。

该规则强调，如果供应商不符合所需的 CMMC 标准，他们将没有资格获得合同授予、任务订单或交付订单。 

让CMMC顺利通过是一项艰巨且充满争议的努力。该项目由特朗普第一届政府制定，但立即遭到了业界的反对——业界声称该框架过于复杂，会给企业带来过度的监管负担。

作为回应，五角大楼将其最初的 CMMC 提案重组为精简框架 CMMC 2.0，将评估级别从五个减少到三个，以简化中小型供应商的合规流程。  

修订后的框架允许承包商在处理 CMMC 1 级或 CMMC 2 级下敏感度较低的 FCI 时，自行评估其网络安全合规性。标记为 CMMC 2 级的更敏感的 CUI 数据将需要由经过认证的第三方评估机构 (C3PAO) 进行验证检查，而被视为 CMMC 3 级的 CUI 文档将需要国防工业基地网络安全评估中心 (DIPAC) 的认证。

CMMC 2.0 还引入了“行动计划和里程碑”（POA&M），允许未满足所有框架标准的供应商在努力达到合规性的过程中获得 180 天的有条件认证。修订后的 DFARS 规则明确规定，只有达到 2 级或 3 级标准的供应商才能获得 POA&M。 

2025年9月9日下午5:20更新：此报道的先前版本错误地陈述了CMMC 2.0实施的开始日期。该版本将于11月10日生效。

—欢迎关注