Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseLista di controllo
Lista di controllo per la conformità CMMC: la tua guida essenziale alla conformità CMMC 2.0

Lista di controllo per la conformità CMMC: la tua guida essenziale alla conformità CMMC 2.0

Quando le organizzazioni fanno affari con il governo federale, spesso creano o gestiscono dati sensibili. Per mantenere questi dati sicuri, il Dipartimento della Difesa (DoD) ha creato la Cybersecurity Maturity Model Certification (CMMC). Il framework CMMC è obbligatorio per le aziende nella Defense Industrial Base (DIB) e per quelle che cercano un contratto con il DoD.

CMMC è stato aggiornato alla versione 2.0 nel 2021. Le organizzazioni che non rispettano il CMMC 2.0 rischiano di mettere in pericolo i loro contratti con il DoD, il che rende fondamentale comprendere le modifiche apportate al framework. Una lista di controllo per la conformità CMMC può fungere da strumento utile per le organizzazioni per navigare efficacemente questi aggiornamenti.

Questa checklist per la conformità CMMC per la versione 2.0 può aiutarti a iniziare il tuo percorso verso la conformità. Nota che non è una fonte esaustiva su tutti i passaggi coinvolti e che devi consultare un'organizzazione fornitrice registrata CMMC (RPO) per ottenere la tua certificazione CMMC.

Comprensione di CUI e FCI

Un glossario dei termini chiave è fornito alla fine di questa lista di controllo per l'audit CMMC, ma due termini che le organizzazioni devono comprendere per seguire questa lista di controllo sono CUI e FCI:

  • CUI (informazioni non classificate controllate) — “Informazioni che il governo crea o possiede, o che un'entità crea o possiede per conto del governo, che una legge, regolamento o politica governativa richiede o permette ad un'agenzia di gestire utilizzando controlli di protezione o di diffusione."
  • FCI (Informazioni sui contratti federali) — "informazioni, non destinate alla pubblicazione, che sono fornite o generate per il Governo sotto contratto per sviluppare o fornire un prodotto o servizio al Governo, ma che non includono informazioni fornite dal Governo al pubblico."

Per ottenere la conformità CMMC, le organizzazioni devono memorizzare, trasferire ed elaborare CUI e FCI in modo appropriato, seguendo i necessari controlli CMMC.

Obiettivi CMMC

Il CMMC è un programma di formazione, certificazione e valutazione sulla cybersecurity che mira a garantire che i contraenti DIB gestiscano in modo sicuro le CUI. Questo include il flusso di dati ai subappaltatori nella catena di fornitura.

I requisiti chiave includono i seguenti:

  • Proteggi le informazioni sensibili attraverso pratiche di cybersecurity adeguate, spesso impiegando un modello di “fidarsi ma verificare” che si allinea con la CMMC controls list.
  • Rafforza continuamente le pratiche di cybersicurezza esistenti per tenere il passo con l’evoluzione del panorama delle minacce.
  • Garantire la responsabilità in tutta l'organizzazione in modo che gli errori possano essere identificati e risolti.
  • Facilitare il rispetto dei requisiti del DoD.
  • Favorire una cultura collaborativa che dà priorità alla cybersecurity e alla resilienza informatica.
  • Mantenere la fiducia pubblica attraverso gli standard più elevati di professionalità, etica e trasparenza.

Il CMMC è in linea con NIST SP 800-171 e NIST SP 800-172, quindi le aziende che cercano la certificazione CMMC dovrebbero familiarizzare con tali standard e esaminare attentamente l'elenco dei controlli CMMC 2.0.

CMMC 1.0 vs CMMC 2.0: Differenze Chiave

Le principali differenze tra CMMC 1.0 e CMMC 2.0 sono:

  • Meno livelli — Il livello di certificazione CMMC che un'organizzazione ottiene può determinare il tipo di contratto per cui è idonea. CMMC 1.0 definiva cinque livelli; CMMC 2.0 ne ha solo tre: Livello 1 Fondamentale, Livello 2 Avanzato e Livello 3 Esperto.
  • Riduzione dei costi di valutazione — CMMC 2.0 consente a tutte le organizzazioni di Livello 1 e ad alcune di Livello 2 di dimostrare la conformità attraverso l'autovalutazione, eliminando i costi delle valutazioni da parte di un'Organizzazione di Valutazione di Terze Parti Certificata (C3PAO).
  • Maggiore responsabilità — Le valutazioni di terze parti devono ora soddisfare standard professionali ed etici più elevati.
  • Maggiore flessibilità — CMMC 2.0 consente ad alcune aziende di ottenere la certificazione tramite un Piano Di Azione e Milestones (POA&M). Permette inoltre al governo di emettere deroghe in alcune circostanze.
  • Rimozione delle sezioni "Capabilities" e "Processes" — Nella versione CMMC 1.0, le Capabilities coprivano obiettivi legati all'igiene della cybersecurity, mentre la sezione dei Process riguardava i flussi di lavoro, le politiche, i controlli di sicurezza e altri metodi per dimostrare il progresso verso un obiettivo di cybersecurity.

Quando è richiesta la conformità CMMC?

CMMC 2.0 è stato annunciato nel novembre 2021 e si prevedeva la sua implementazione entro il novembre 2023. La data è stata posticipata, ma CMMC 2.0 arriverà già nel 2025, quindi si consiglia alle organizzazioni di non ritardare nell'apportare le modifiche necessarie per ottenere la certificazione CMMC 2.0 e per soddisfare i requisiti della checklist del livello 2 di CMMC.

A quali organizzazioni si applica CMMC?

Il CMMC si applica principalmente alle organizzazioni all'interno del DIB, che comprende oltre 300.000 imprese e università che partecipano alla produzione di attrezzature per le Forze Armate degli Stati Uniti. Questo include, ma non si limita a:

  • Appaltatori
  • Subappaltatori
  • Personale tecnico
  • Risorse della catena di approvvigionamento
  • Ricerca e sviluppo (R&S)

I contractor DIB possono ottenere un particolare livello di certificazione CMMC su tutta la loro rete o solo per parti di essa, a seconda dei loro processi di archiviazione CUI e FCI. Tuttavia, è generalmente una buona prassi mantenere un livello uniforme di conformità in modo che tutti i segmenti della rete possano comunicare e condividere dati senza il rischio di una violazione della conformità, come descritto in una dettagliata lista di controllo per l'audit CMMC.

Appaltatori e CMMC 2.0

CMMC 2.0 richiede ai principali appaltatori del DoD di eseguire un'autovalutazione della loro implementazione delle pratiche NIST SP 800-171. Possono farlo tramite la NIST SP 800-171 DoD Assessment Methodology.

Per mantenere la continuità in tutta la catena di approvvigionamento, possono richiedere che anche eventuali subappaltatori facciano lo stesso. La valutazione genera un punteggio che i contraenti devono inviare al Supplier Performance Risk System (SPRS). Per ottenere una valutazione di grado "medio" o "alto", essa deve essere eseguita dal DoD piuttosto che tramite autovalutazione.

Cosa sono i domini e le pratiche CMMC?

I requisiti di cybersecurity di CMMC si suddividono nei seguenti 17 domini, ognuno con specifici controlli CMMC da seguire:

  • Controllo degli Accessi (AC)
  • Risposta agli incidenti (IR)
  • Gestione dei rischi (RM)
  • Gestione degli Accessi (AM)
  • Manutenzione (MA)
  • Valutazione della sicurezza (CA)
  • Consapevolezza e Formazione (AT)
  • Protezione dei Media (MP)
  • Audit e Responsabilità (AU)
  • Sicurezza del personale (PS)
  • Sistema e Comunicazioni (SC)
  • Gestione della Configurazione (CM)
  • Protezione Fisica (PE)
  • Integrità del Sistema e delle Informazioni (SI)
  • Identificazione e Autenticazione (IA)
  • Recupero (RE)
  • Consapevolezza della situazione (SA)

Gli standard NIST SP 800-171 e NIST SP 800-172 elencano le pratiche di cybersecurity per questi domini. Coloro che cercano un livello specifico di certificazione CMMC devono seguire le pratiche stabilite all'interno dello standard corrispondente.

Quali sono i livelli di conformità CMMC?

Il livello di conformità CMMC determina l'idoneità per determinati contratti governativi. CMMC 2.0 definisce tre livelli:

CMMC Livello 1: Fondamentale

Questo livello è generalmente il migliore per le aziende che gestiscono FCI o altri dati che richiedono protezione ma non sono essenziali per la sicurezza nazionale. Una checklist per il Livello 1 CMMC include l'assicurarsi che la tua azienda aderisca alle 17 pratiche definite nel NIST SP 800-171 e possa dimostrare di essere conforme tramite autovalutazioni.

CMMC Livello 2: Avanzato

Questo livello è per le organizzazioni che gestiscono CUI oltre alle informazioni contrattuali (FCI). Una checklist di CMMC Livello 2 comporta l'implementazione di 110 (non solo 17) pratiche NIST SP 800-171 e sottoporsi a valutazioni triennali da parte di un C3PAO.

CMMC Livello 3: Esperto

Il livello di certificazione più alto in CMMC 2.0 è per le aziende impegnate in programmi governativi di alto livello e mira a proteggere il loro CUI da minacce persistenti avanzate (APT). Una lista di controllo di livello 3 CMMC include il seguire le 110+ pratiche avanzate di NIST SP 800-172 e superare le valutazioni triennali del governo piuttosto che da un C3PAO.

Riepilogo

La seguente tabella riassume le principali differenze tra i tre livelli in CMMC 2.0:

Requisiti

Per le aziende con

Valutazioni

Livello 1: Fondamentale

17 pratiche

FCI (non critico per la sicurezza nazionale)

Valutazione annuale di autovalutazione

Livello 2: Avanzato

110 pratiche allineate con NIST SP 800-171

CUI

Triennale By C3PAO

Livello 3: Esperto

Oltre 110 pratiche basate su NIST SP 800-172

CUI, programmi più sensibili

Triennale del governo

Come può la mia organizzazione iniziare con la conformità CMMC?

Il primo passo fondamentale nel tuo percorso di conformità al Cybersecurity Maturity Model è scoprire dove esiste CUI nel tuo ambiente, chi può accedervi e come lo utilizzi. Soluzioni come Netwrix Auditor e Netwrix Data Classification possono aiutarti a eseguire questi compiti critici con precisione ed efficienza.

Per maggiori informazioni, consulta le FAQ sul sito del Secretary of Defense. Puoi anche inviare domande lì, e l'ufficio competente risponderà via email.

Glossario

  • AB — Organismo di Accreditamento
  • C3PAO — Organizzazione di Valutazione di Terze Parti Certificata
  • CUI — Informazioni Non Classificate Controllate
  • DFARS — Supplemento al Regolamento Federale di Acquisizione della Difesa
  • DIB — Base Industriale della Difesa
  • FCI — Informazioni sui Contratti Federali
  • OSC — Organizzazione che cerca la Certificazione
  • POAM — Piano delle Azioni e delle Pietre Miliari
  • RPO — Organizzazione Fornitrice Registrata
  • SSP — Piano di Sicurezza del Sistema

FAQ

Cos'è l'Informazione Controllata Non Classificata (CUI)?

CUI è informazioni che il governo crea o possiede, o che un'entità crea o possiede per o per conto del governo, che una legge, regolamento o politica governativa richiede o permette a un'agenzia di gestire utilizzando controlli di protezione o di diffusione.

Cos'è CMMC?

La Cybersecurity Maturity Model Certification (CMMC) è uno standard per l'implementazione della cybersecurity all'interno della base industriale della difesa e per quantificare il livello di maturità della cybersecurity di un'organizzazione. Il framework CMMC offre maggiori garanzie al DoD che un'azienda della DIB abbia implementato pratiche di cybersecurity adeguate per proteggere FCI e CUI.

Perché è stato creato CMMC 2.0?

Il DoD sta migrando verso il nuovo framework CMMC per migliorare e valutare meglio la postura di cybersecurity delle organizzazioni DIB.

C'è un CMMC 3.0?

Una terza versione del framework CMMC è in fase di sviluppo.

I contratti non appartenenti al DoD utilizzeranno CMMC?

L'implementazione iniziale del CMMC 2.0 sarà effettuata esclusivamente all'interno del DoD e seguirà la clausola DFARS 252.204-7021.

Qual è la relazione tra NIST e CMMC?

Il livello 2 del CMMC 2.0 richiede alle aziende di soddisfare i 110 requisiti di sicurezza specificati nel NIST SP 800-171. Il livello 3 richiede un sottoinsieme delle pratiche del NIST SP 800-172.

Cos'è un'organizzazione di valutazione di terze parti CMMC (C3PAO)?

I C3PAO sono responsabili per condurre determinate valutazioni CMMC e rilasciare i relativi certificati CMMC in base ai risultati. I C3PAO autorizzati e accreditati sono elencati sul sito web del CMMC-AB Marketplace.

Come diventa certificata un'organizzazione utilizzando un C3PAO?

L'azienda seleziona uno dei C3PAO dal sito web CMMC-AB Marketplace e lavora con loro per pianificare la valutazione CMMC. Il C3PAO fornirà un rapporto di valutazione; se non ci sono carenze, emetterà un certificato CMMC per il livello di certificazione appropriato. Il C3PAO invierà anche una copia del rapporto di valutazione e del certificato CMMC al DoD.

Quanto spesso deve essere riesaminata un'organizzazione?

In generale, un certificato CMMC è valido per tre anni.

Se la mia organizzazione ha una certificazione CMMC e la mia rete non classificata viene compromessa, perdo la mia certificazione?

Un incidente di cybersecurity non causerà automaticamente la perdita della certificazione CMMC da parte di un'azienda DIB. A seconda delle circostanze dell'incidente, il responsabile del programma DoD potrebbe ordinare una nuova valutazione.

La mia organizzazione non gestisce CUI. Devo comunque essere certificato?

Se un'azienda DIB non possiede, memorizza o trasmette CUI ma possiede FCI, deve soddisfare la clausola FAR 52.204-21 e ottenere la certificazione CMMC Livello 1 come minimo.

Le aziende che producono esclusivamente prodotti commerciali pronti all'uso (COTS) non richiedono una certificazione CMMC.

Se la mia organizzazione è un subappaltatore di un contratto DoD, deve essere certificata?

Se il contratto del DoD include un requisito CMMC e la tua azienda non produce esclusivamente prodotti COTS, avrai bisogno di un certificato CMMC. Il livello del certificato CMMC dipende dal tipo e dalla natura delle informazioni che provengono dal tuo appaltatore principale.

Come saprò quale livello CMMC è richiesto per un contratto?

Il Dipartimento della Difesa specificherà il livello CMMC richiesto in ogni Richiesta di Informazioni (RFI) e Richiesta di Proposte (RFP).

Mappatura della conformità CMMC da Netwrix

Identificare, dare priorità e mitigare i rischi per CUI e FCI per rafforzare la sicurezza dei dati regolati da CMMC

Ottieni una mappatura della conformità CMMC

Condividi su

Risorse correlate

Approfondisci con le nostre risorse correlate

Resource Center
eBook

Facilitare la prevenzione della perdita di dati con le soluzioni Netwrix

Prevenzione della perdita di dati
eBook

Distribuire software su Windows: doloroso ma non è necessario che lo sia

Endpoint Management