060-12 07 90 Support Driftstatus

CMMC (Cybersecurity Maturity Model Certification)

För företag som levererar varor eller tjänster till USA:s försvarsdepartement (DoD) har cybersäkerhet blivit ett direkt kontraktskrav. Cybersecurity Maturity Model Certification (CMMC) är ramverket och certifieringsprogrammet som sätter standarden för den säkerhetsnivå som krävs för att skydda känslig information inom försvarsindustrins leverantörskedja.

Vad är CMMC?

Cybersecurity Maturity Model Certification (CMMC) är ett initiativ från USA:s försvarsdepartement (DoD) som syftar till att säkerställa att företag i deras leverantörskedja implementerar adekvata cybersäkerhetsrutiner för att skydda Federal Contract Information (FCI) och Controlled Unclassified Information (CUI). CMMC kombinerar olika cybersäkerhetsstandarder och bästa praxis i ett enhetligt ramverk och kräver tredjepartsverifiering (certifiering) av att en leverantör uppnår en specifik mognadsnivå.

Varför är CMMC viktigt?

CMMC är avgörande för organisationer som vill göra affärer med DoD, men dess principer har bredare relevans:

  • Kontraktskrav: Uppfyllande av en specifik CMMC-nivå blir ett obligatoriskt krav för att vinna och behålla kontrakt med DoD.
  • Skydd av känslig information: Säkerställer att FCI och CUI, som ofta finns hos underleverantörer, skyddas mot cyberhot och spionage.
  • Standardisering: Skapar en enhetlig och mätbar standard för cybersäkerhet inom leverantörskedjan.
  • Förbättrad säkerhetsposture: Driver företag att höja sin övergripande cybersäkerhetsmognad, vilket minskar risken för incidenter.
  • Ökad trovärdighet: En CMMC-certifiering signalerar ett starkt åtagande för cybersäkerhet.

Hur fungerar CMMC?

CMMC-ramverket är uppbyggt kring flera kärnelement (notera att detaljer kan uppdateras av DoD, t.ex. CMMC 2.0):

  • Mognadsnivåer: Modellen definierar olika nivåer (t.ex., Nivå 1 Foundational, Nivå 2 Advanced, Nivå 3 Expert) som representerar en ökande grad av cybersäkerhetsmognad och processer. Vilken nivå som krävs beror på vilken typ av information ett företag hanterar.
  • Domäner och praktiker: Varje nivå bygger på specifika säkerhetspraktiker (liknande kontroller i NIST SP 800-171 och andra ramverk) som är organiserade inom olika tekniska domäner (t.ex. Access Control, Incident Response, Risk Management).
  • Processer: Utöver tekniska praktiker betonar högre nivåer även vikten av institutionaliserade processer för att hantera och förbättra cybersäkerheten.
  • Tredjepartsbedömningar: För de flesta nivåer krävs en formell bedömning av en ackrediterad tredjepartsorganisation (C3PAO – CMMC Third-Party Assessment Organization) för att verifiera efterlevnad och utfärda en certifiering.

CMMC representerar en betydande förändring mot en mer standardiserad och verifierbar cybersäkerhet inom den amerikanska försvarsindustrins leverantörskedja, med syftet att skydda känslig nationell säkerhetsinformation.

Sophie Weidemyr
Social media and content manager

Antennvägen 2
SE-863 37 Sundsvall
060-12 07 90
info@savecore.se

Tjänster

Paket

Savecore

© 2025 Savecore