美國防部將以三年、四階段推動CMMC規則

為了讓美國國防工業產業（DIB）的供應鏈業者，有足夠的時間準備、理解和實施CMMC規則（CMMC Rule）的各種要求，以及解決任何CMMC評估、啟動過程中遭遇到的各種問題，並提供培訓所需的評估人員時間，美國國防部為CMMC規則制定了三年、四階段的推動計畫。

登記在美國麻州（ Massachusetts ）的KLC諮詢顧問公司，也是經過Cyber AB授權，可以執行美國國防部CMMC第三方認證（C3PAO）的公司。KLC諮詢顧問公司執行長暨資安長Kyle Lai（賴弘偉）表示，CMMC規則包含兩大部分，分別是專注政府採購程序和合約要求的48 CFR Part 204，以及針對相關國防供應鏈承包商與分包商所有CMMC規範的32 CFR Part 170。其中，32 CFR Part 170的最終版（final 32 CFR part 170 CMMC Program rule）已經在今年10月15日正式公布，預計60天後生效實施（今年12月16日）

但另外針對美國國防採購相關的《48 CFR CMMC Acquisition Proposed Rule》，先是在今年8月15日公布48 CFR草案，Kyle Lai（賴弘偉）：「美國國防部預計CMMC規則的實施日期，是在最終的《48 CFR part 204 CMMC Acquisition rule》發布後的60天內實施。」至此，CMMC對業者及對政府的規範才算完備。

推動CMMC四個階段的重點

美國國防部會分成四個階段推動CMMC規則（CMMC Rule），第一階段也就是初步實施階段（Initial Implementation），自《48 CFR規則》（48 CFR Rule）生效日期開始；在適用的情況下，招標將要求CMMC認證等級第一級（Level 1）或第二級（Level 2）認證的自我評估（Self - Assessment）。

企業需要針對基本的安全保護措施進行自我評估，並在相關系統中進行記錄。該階段為期一年。

第二階段在第一階段開始後的12個月啟動，在適用的情況下，美國國防部（DoD）會在相關的國防採購招標案中，要求相關的業者必須取得CMMC認證等級第二級的第三方認證（C3PAO）。

這表示，除了自我評估之外，部分企業需要聘請經過Cyber AB認證的第三方評估機構（C3PAO），對其進行正式的CMMC通過第三方評估的第二級認證（Level 2）有關的安全合規評估。不過，Kyle Lai進一步補充說明，相關的國防產業業者（主承包商和分包商），從今年12月16日之後，就可以請C3PAO進行CMMC第二級認證，該公司目前預約的排程，已經安排到明年（2025年）3月。

第三階段則是在第一階段開始後的24個月啟動，在適用的情況下，美國國防部的招標，將要求由美國國防部國防合約管理局（DCMA）網路安全評估中心（DIBCAC）主導的CMMC第三級認證。

這個階段將逐步引入CMMC第三等級認證（Level 3）的要求，並將其應用於部分國防部的招標和合同中，第三級認證的要求，可能作為合約選擇期內的條件，而並不是初始合約授予的必要條件。Kyle Lai解釋，這表示美國國防部可以針對一些重要的合約，在合約執行期間，加入對CMMC第三級認證的要求。 

第四階段就是全面實施（Full Implementation）階段，在第一階段開始後的36個月啟動，所有招標和合約都將包含適用的CMMC認證等級要求，作為合約簽訂的條件。也就是說，在第四階段，CMMC要求將全面實施，適用於新合約和選擇期授予的合約。

Kyle Lai指出，到這個全面實施階段，美國國防部可根據需要，通過談判對CMMC實施前授予的合約進行修改，將CMMC的認證要求，添加到這些合約中。他說，這項規則不需要進行任何合約更改，來反映現有的合約管理流程；關於具體合約事務的問題，包括合約成本和資金，不在此規則的範疇內。

隨著 32 CFR第170部分「CMMC計畫規則」和48 CFR第204部分「CMMC採購規則」《48 CFR CMMC Acquisition Final Rule》的最終實施，潛在的國防部承包商和分包商，應積極準備好應對國防部的合約機會，當合約要求承包商或分包商處理、儲存或傳輸FCI（聯邦合約資訊）或CUI（受控未分類資訊）時，這些合約將包括相關業者應符合並取得CMMC各級認證的要求。

以模擬方式，理解推動CMMC四個階段的時間點

由於許多人很難理解CMMC規則的實施時間的計算，Kyle Lai就以一個模擬的方式，讓大家更清楚該如何計算CMMC各階段實施的時間。

首先，他表示，對美國國防供應鏈業者應該如何理解CMMC規則的內涵，主要是在於要清楚，國防工業產業（DIB）的業者對於CMMC規則的規範與要求，都要參考32 CFR Part 170的最終版的內容；但國防部對於是否納入CMMC作為標案和國防採購案的相關規範，則必須參考最終版的48 CFR part 204 CMMC Acquisition rule。

美國國防部會在48 CFR part 204 CMMC Acquisition rule最終版公布後60天正式生效實施，Kyle Lai假設該規則是2025年3月1日生效實施，這天就是國防部正式開始推動CMMC第一階段。

他說，在CMMC初步實施的第一階段，國防供應鏈業者可以開始執行CMMC第一級和第二級認證中的自評（Self-Assessment），美國國防部也開始會把對於CMMC要求自評的規定，放在國防採購合約中，不是強制性要求。

第二階段的推動時間點則是第一階段開始後的一年，就是2026年3月1日啟動。Kyle Lai表示，這時候國防業者可以開始執行CMMC由第三方評估（C3PAO）機構進行的第二級認證，國防部也開始會把需要C3PAO認證的要求，放在國防部的採購合約中，同樣非強制性要求。他補充表示，因為 32 CFR第170部分「CMMC計畫規則」已經在2024年12月16日開始實施，有一些第一級、重要的國防供應鏈業者，會在該日後，就開始執行開始由第三方評估公司（C3PAO）做CMMC第二級認證，不會等到國防部合約要求才進行CMMC第三方評估（C3PAO）機構的第二級認證。

第三階段就是第二階段開始後的一年，就是2027年3月1日啟動，這時候執行由美國國防部國防合約管理局（DCMA）網路安全評估中心（DIBCAC）主導的CMMC第三級認證，就可以開始放在採購合約中執行。

第四階段就是2028年3月1日開始啟動，也是第三階段開始後的一年，此時國防部會把對CMMC認證的要求，全數放入相關的採購合約中。也就是說，這時候美國國防部所有簽訂的採購合約，只要國防供應鏈業者有牽涉到處理、儲存和傳輸FCI（聯邦合約資訊）和CUI（受控未分類資訊）的業者，都會依照重要性與機密等級，納入適合的CMMC認證要求。

Kyle Lai指出，這些國防供應鏈業者究竟應該要取得CMMC哪一個等級的認證，主要都是看國防採購合約上的規定，這不會是任憑業者的自由意志決定，而是國防部會在相關的國防採購合約中，明定業者應該取得的CMMC認證等級。

在32 CFR第170部分CMMC計畫規則（32 CFR Part 170 CMMC Program Rule）公布在《聯邦公報》時，美國國防部也指出，將有8,350家中型和大型實體機構或單位，需要符合CMMC第二級第三方評估（C3PAO）的認證要求，這是簽訂合約的必要條件。

CMMC第二級的要求將適用於所有處理、儲存或傳輸受控未分類信息（CUI）的承包商，並為國防部提供一種手段，來評估是否已滿足《32 CFR》第2002部分中規定的對CUI（受控未分類資訊）的保護要求。

美國國防部估計，在第一年將完成135次由第三方評估機構（C3PAO）主導的認證評估，第二年將完成673次，第三年將完成2252次，第四年將完成4452次。

【更正啟事】KLC諮詢顧問公司登記註冊仍在美國麻州（ Massachusetts ）。另外，《32 CFR》在2024年12月16日已經可以開始進行由第三方評估機構（C3PAO）CMMC第二級認證，為了讓內文說明更清楚，已經在10月28日針對字句修正完畢。