У міру розвитку програми CMMC у 2026 році, після затвердження остаточного правила та термінів необхідної сертифікації, Кібер АБ стикається з необхідністю оптимізувати впровадження між підрядниками, зберігаючи при цьому сувору ретельність у дотриманні вимог та аудитах. Саме тут і стають у пригоді відмови від вимог. 

Тепер керівники DIB повинні вирішити, чи є ці звільнення законними зі стратегічної точки зору, чи є настільки нішевими та ненадійними, що вони не очікують їх отримати. Розуміння цього балансу є критично важливим для організацій, оскільки вони формують свою довгострокову відповідність вимогам та зростання.

Що таке відмова від CMMC?

Відмова від вимоги CMMC – це офіційне рішення керівництва закупівель Міністерства оборони США про скасування вимоги щодо офіційної оцінки CMMC у певній закупівлі або класі закупівель. Меморандум Міністерства оборони США про впровадження за 2025 рік уповноважує керівників із закупівель послуг та компонентів надавати ці відмови після дотримання встановлених процедур.

Однак, відмова стосується лише вимоги щодо оцінювання, а не самих заходів контролю кібербезпеки. Підрядники все ще повинні дотримуватися чинних норм, таких як FAR 52.204-21 та DFARS 252.204-7012.

Це може здатися заплутаним: виконання вимог контролю без оцінювання. На практиці відмова означає:

• Вам може не знадобитися отримувати сертифікат для певного контракту
• Ви все ще повинні впровадити необхідні заходи безпеки
• Недотримання цих практик все ще може вплинути на право на участь

Ця відмінність є центральною для розуміння намірів політики. Відмови забезпечують гнучкість закупівель, а не скорочений шлях обійти безпеку.

Чому концепція відмови має значення 

Існування відмов від вимог свідчить про те, що Міністерство оборони США визнає, що інновації та можливості іноді виникають швидше, ніж можуть врахувати формальні процеси дотримання вимог. Нові технологічні фірми, нішеві постачальники та нетрадиційні підрядники часто працюють поза типовою екосистемою дотримання вимог, водночас пропонуючи критично важливі послуги та технології.

Зберігаючи можливість відмови від вимог до сертифікації, Міністерство оборони ефективно запобігає ненавмисному обмеженню операційної гнучкості мандатами щодо кібербезпеки. Водночас Міністерство оборони не відмовляється від вимоги щодо захисту федеральної інформації.

Відмови як відображення придбання на основі ризику

CMMC — це, по суті, програма управління ризиками, і відмови від вимог ілюструють, як ця філософія поширюється на рішення щодо закупівель. Замість того, щоб застосовувати жорстку модель відповідності в усіх сценаріях, Міністерство оборони зберігає за собою можливість зважувати ризики кібербезпеки з урахуванням терміновості місії, участі промислової бази та конкурентної динаміки.

Цей підхід узгоджується з ширшими змінами у федеральній стратегії закупівель, де толерантність до ризику дедалі більше залежить від контексту, ніж є одноманітною. Наприклад, програма, яка прагне отримати проривний потенціал від невеликого інноваційного постачальника, може прийняти короткостроковий ризик відмови від сертифікації, водночас вимагаючи дотримання основних практик безпеки.

З огляду на це, схоже, що такі відмови, швидше за все, трапляються рідше, ніж можна було б очікувати. Відмова не знімає договірних зобов'язань щодо кібербезпеки, а також не захищає організацію від відповідальності, пов'язаної з неадекватним контролем. Що ще важливіше, ринкові сили в DIB швидко зміщуються до базового очікування демонстративної зрілості. 

У таких умовах покладатися на відмову від вимог як частину бізнес-стратегії, ймовірно, є малоймовірним варіантом, в який не варто інвестувати. 

Що відмова від вимог розкриває про майбутнє дотримання вимог

Якщо розглядати її ширше, система відмови пропонує уявлення про майбутню траєкторію CMMC та федерального нагляду за кібербезпекою загалом.

• Це підкріплює уявлення про те, що дотримання вимог продовжуватиме розвиватися в напрямку багаторівневої, контекстуальної моделі. Не кожен контракт несе однаковий рівень ризику, і Міністерство оборони США сигналізує про свою готовність відповідно адаптувати вимоги.
• Це підкреслює зростаючу важливість безперервного управління ризикамиЗамість того, щоб розглядати сертифікацію як контрольний пункт, керівники закупівель отримують право приймати рішення на основі потреб місії, середовища загроз та можливостей постачальників.
• Це говорить про те, що гнучкість залишатиметься частиною екосистеми комплаєнсу… але завжди в межах жорстко контрольованих меж. Мета полягає не в розмиванні стандартів, а в забезпеченні їхньої операційної доцільності.

Про що лідерам варто думати зараз

Замість того, щоб розглядати відмови як резервний план, керівникам слід використати цей момент для перевірки своєї готовності, управління та довгострокового позиціонування на ринку оборонної продукції. Наведені нижче дії можуть допомогти перетворити обізнаність про політику на практичні кроки.

• Розробіть план дій у надзвичайних ситуаціях, який не залежить від відмов: Припустімо, що буде потрібна сертифікація, та відповідно сплануйте терміни, бюджети та ресурси. Розглядайте відмови як зовнішню змінну, а не як припущення планування.
• Перевірте свої припущення щодо впливу даних: Проведіть новий огляд того, де насправді знаходяться FCI та CUI у вашому середовищі. Багато організацій виявляють розширення обсягу, яке змінює їхній необхідний рівень CMMC та інвестиційні пріоритети.
• Узгодьте інвестиції в кібербезпеку з бізнес-стратегією: Переконайтеся, що ваша дорожня карта для CMMC, NIST SP 800-171або 800-172 безпосередньо пов'язаний з цілями зростання, такими як участь у нових програмах, підтримка прайм-класів або розширення діяльності з підвищеною чутливістю. Зрілість безпеки повинна забезпечувати дохід, а не функціонувати як ізольована робота з дотримання вимог.
• Стрес-тест на вашу здатність демонструвати впевненість: Окрім впровадження контролю, оцініть, як швидко ви можете надати клієнтам або партнерам докази (політики, журнали, SSP). У випадку відмови від претензій ваша здатність неофіційно продемонструвати зрілість все ще може впливати на рішення щодо нагородження.
• Зв'яжіться з генеральними підрядниками заздалегідь: Якщо ви працюєте в ролі субпідрядника, ведіть проактивні розмови з керівниками компаній щодо їхніх очікувань щодо термінів сертифікації та прийнятного рівня ризиків. Вимоги до ланцюга поставок часто перевищують мінімальні нормативні пороги.
• Посилення управління та виконавчого нагляду: Забезпечити регулярний перегляд ризиків кібербезпеки на рівні виконавчої влади або ради директорів з чіткою відповідальністю за прогрес у дотриманні вимог. Це сигналізує про зрілість організації як для державних клієнтів, так і для партнерів.
• Моніторинг політики та сигналів придбання: Відстежуйте оновлення правил DFARS, етапів впровадження CMMC та рекомендацій щодо придбання. Зміни у моделях використання відмов або вимогах до оцінювання можуть дати раннє уявлення про те, куди рухається ринок.

Зустріньте CMMC Head On разом з Lazarus Alliance

Відмови від вимог CMMC займають невелике, але значуще місце в ширшому ландшафті комплаєнсу. Це механізми, розроблені для збереження гнучкості місії без шкоди для очікувань щодо надійних практик кібербезпеки. Що не означає, що вони не викликають плутанини. Тож отримайте деяку ясність з Lazarus Alliance. 

Щоб дізнатися більше про те, як Lazarus Alliance може допомогти, Зв'яжіться з нами. 

• FedRAMP
• GovRAMP
• NIST 800-53
• DFARS NIST 800-171
• CMMC
• SOC 1 і SOC 2
• ENS
• C5
• HIPAA, HITECH і змістовне використання
• PCI DSS RoC & SAQ
• IRS 1075 і 4812
• CJIS
• LA DMF
• ISO 27001, ISO 27002, ISO 27005, ISO 27017, ISO 27018, ISO 27701, ISO 22301, ISO 17020, ISO 17021, ISO 17025, ISO 17065, ISO 9001 та ISO 90003
• Загальні критерії NIAP – Lazarus Alliance Laboratories
• І ще десятки!