השם Cybersecurity Maturity Model Certification (או בקיצור: CMMC) הוא מודל אבטחת סייבר הכרחי עבור כל ארגון המתכוון לעבוד עם משרד ההגנה האמריקאי (Department of Defense – DoD), או כקבלן משנה של ארגון העובד עבור משרד ההגנה האמריקאי בשנים הקרובות.
ה-CMMC הושק על מנת לשפר את אבטחתו של מידע חוזי פדרלי (Federal Contract Information - FCI) ומידע בלתי-מסווג הדורש בקרה (Controlled unclassified information - CUI) והוא מורכב משילוב של תקני אבטחת סייבר ושיטות עבודה מומלצות שונות, כולל NIST SP 800-171, יחד עם דרישות נוספות. מטרת העל של המודל היא להגן על נתונים רגישים מפני איומי סייבר חיצוניים, זאת לצורך הבטחת הביטחון לאומי.
תקן ה-CMMC הושק לראשונה בינואר 2020, עם לוח זמנים מדורג ליישום המתוכנן להסתיים בספטמבר 2025. לאחר מועד זה, כל מכרז וחוזה שיופצו ע"י ה-DoD צפויים להכיל דרישה מפורשת להסמכה למודל. במהלך תקופה זו, קבלנים וקבלני משנה, ולמעשה כל שרשרת האספקה, ידרשו להשיג הסמכה באופן הדרגתי, תוך הבטחה שהם דבקים בפרקטיקות ובתהליכי אבטחת הסייבר שנקבעו בהתבסס על רמת הרגישות של המידע אליו הם חשופים. לוח הזמנים והדרישות מדגישים את המחויבות של DoD לחיזוק שרשרת האספקה הביטחונית מפני איומי סייבר מתפתחים.
משמעות הדבר היא כי לאחר ספטמבר 2025, ארגון שאינו מוסמך CMMC לא רק שלא יוכל לגשת בעצמו למכרזים של משרד ההגנה האמריקאי, אלא גם לא יוכל לשמש כקבלן משנה או נותן שירות של כל ארגון אחר שעושה עסקים עם משרד ההגנה. כלומר אין יתרונותיו של המודל מסתכמים בחיזוק האיתנות הטכנולוגית של החברה, אלא שלהסמכה למודל יש בנוסף גם חשיבות עסקית גבוהה, בעיקר עבור ארגונים הפועלים בתעשיות הביטחוניות.
תהליכי הטמעה של ה-CMMC אינם רק תהליכי אבטחת מידע אלא מושתתים וכוללים מרכיבים רבים של איכות בארגון- ניהול סיכונים, תהליכי הטמעה, טיפול בתרבות ובמשמעת הארגונית, ניהול קונפיגורציה ועוד
