De EU is niet de enige die verwachtingen rond cyberbeveiliging aan regelgeving koppelt. Het CMMC-raamwerk van Amerikaanse defensie legt concrete eisen op aan bedrijven wereldwijd, inclusief in de EU.
Als de EU reguleert, dan volgt de rest van de wereld op de één of andere manier. De Europese markt is te belangrijk om links te laten liggen, waardoor de impact van regelgeving zoals NIS2, DORA en de GDPR zich wereldwijd laat voelen. Europa is echter niet de enige die interne regels kan inzetten voor een wereldwijde impact: vanaf november van dit jaar moeten bedrijven wereldwijd voldoen aan de vereisten van het Cybersecurity Maturity Model Certification (CMMC)-programma.
Wereldwijde verplichting
De verplichting geldt voor alle organisaties in de toeleveringsketen voor de het Amerikaanse Ministerie van Defensie (dat president Trump Ministerie van Oorlog heeft gedoopt, zonder de nodige goedkeuring van het Amerikaanse congres). “Dat zijn wereldwijd 200.000 à 300.000 bedrijven”, schat Chris Dimitriadis, Chief Global Strategy Officer bij ISACA. ISACA is verantwoordelijk voor de wereldwijde opleiding, examinering en certificering van professionals in het kader van het CMMC-raamwerk.
Dimitriadis verduidelijkt wat er precies aan de hand is: “NIS2 is een regelgeving, net als DORA. Bedrijven moeten in overeenstemming zijn met de regels, maar concrete controlemechanismen ontbreken. In de VS is er nu ook regelgeving en die verwijst naar een heel specifiek raamwerk: CMMC.”
Concrete vereisten, ook in de EU
De regelgeving in de VS is met andere woorden gekoppeld aan een raamwerk dat wel concrete controls bevat. “Het CMMC-raamwerk is gebaseerd op de NIST-standaarden in de VS. Het is eigendom van het Amerikaanse Ministerie van Oorlog”, legt Dimitriadis uit. De koppeling van de regelgeving met het raamwerk, zorgt ervoor dat organisaties een heel concreet beeld krijgen van wat precies van hen verwacht wordt. “De vereisten zijn minder vaag dan die van andere regelgevingen”, vindt hij.
De verplichtingen rond CMMC maken geen onderscheid tussen grote of kleine bedrijven. Iedere organisatie die op de één of andere manier betrokken is bij de toelevering voor oplossingen die de Amerikaanse defensie gebruikt, moet eraan voldoen. “Het maakt daarbij niet uit waar de organisaties gevestigd zijn”, merkt Dimitriadis op.
lees ook
ISACA neemt wereldwijde certificering van CMMC-professionals op zich
“In de EU zijn er heel wat ondernemingen die onder de CMMC-verplichtingen zullen vallen”, gaat hij verder. “In november van dit jaar wordt het verplicht om in overeenstemming te zijn met Level 1 en Level 2. In november 2027 is het tijd voor de striktere Level 3-verplichtingen. Eind 2028 moet dan ieder bedrijf in de toeleveringsketen echt gecertifieerd zijn.
Nood aan een leger specialisten
Die certificatie heeft wat voeten in de aarde. Dimitriadis legt verder uit: “Het CMMC-raamwerk iseigendom van het Amerikaanse Ministerie van Oorlog en de non-profit CyberAB is de beheerder van het hele ecosysteem. CyberAB werkt met verschillende partijen: ISACA is de CMMC Assessor and Instructor Certification Organization of kortweg CAICO. Dan zijn er nog de C3PAO’s: de organisaties die audits voorzien voor de sector waarop de regelgeving toepasselijk is, en die professionals in dienst hebben die gecertificeerd zijn door de ISACA CAICO.”
ISACA krijgt de taak het personeelsbestand te bouwen
Chris Dimitriadis, Chief Global Strategy Officer ISACA
“ISACA krijgt de taak het personeelsbestand te bouwen”, zegt Dimitriadis. “Wij zullen mee een wereldwijde beschikbaarheid creëren van cyberbeveiligingsexperts met een diep begrip van de controls van CMMC, CCA’s, CCP’s en CCI’s. ISACA is gekozen als CIAICO om verschillende redenen. De organisatie telt wereldwijd zo’n 200.000 leden en heeft al meer dan 55 jaar ervaring in cybersecurity en cyberzekerheid. Een basis van holistisch opgeleide mensen bouwen zit in de kern van wat we doen.”
Die getrainde en gecertificeerde professionals kunnen vervolgens op verschillende manieren aan de bak. Ze kunnen ervoor kiezen om voor C3PAO’s te gaan werken als assessor of lesgever, of ze kunnen in de defensiesector gaan werken om het raamwerk in de praktijk te implementeren. De C3PAO’s moeten in opdracht van CyberAB nakijken over organisaties werkelijk in overeenstemming zijn met hun verplichtingen volgens CMMC.
Holistische aanpak
Bedrijven zelf hebben natuurlijk ook noot aan specialisten in het CMMC-raamwerk om in overeenstemming te raken. Dimitriadis vertelt in meer detail hoe dat idealiter in z’n werk gaat.
“Alles begint bij een risicoanalyse, waarbij organisaties nakijken met welke regels ze in overeenstemming dienen te zijn. NIS2 heeft bijvoorbeeld regels, maar geen controls. Er zijn wel verplichtingen en straffen die daarbij horen. Zo is het ook met DORA. De Amerikaanse regelgeving, CFR 32 part 170, biedt wel concrete vereisten door naar het CMMC-raamwerk te verwijzen.”
Alles begint bij een risicoanalyse.
Chris Dimitriadis, Chief Global Strategy Officer ISACA
“Vervolgens moeten ze zelf een holistisch raamwerk samenstellen waarin alle verplichtingen samenkomen. Dat kan bijvoorbeeld via het CMMI-raamwerk, of het COBIT-raamwerk van ISACA. Je kan dat werk zien als legoblokken die je in elkaar klikt, waarbij je CMMC, ISO en andere standaarden samenbrengt.”
“Wanneer organisaties dat hebben gedaan, zullen ze snel vastleggen dat de vele vereisten elkaar overlappen. CMMC heeft bijvoorbeeld controls voor incident respons, en NIS2 heeft daar vereisten rond. Met enkele aanpassingen in het holistische raamwerk zorg je voor overeenstemming voor beiden.”
“Om alle vereisten in een holistisch raamwerk te gieten, heb je natuurlijk wel mensen nodig die de juiste opleiding hebben genoten”, beseft Dimitriadis. “Wanneer je mensen de juiste trainingen hebben doorlopen, kunnen ze het correcte pad uitwerken richting overeenstemming. Zonder de vereiste kennis lopen organisaties het risico vast te lopen in kosten en overhead.”
Aantrekkelijke opleiding
ISACA zelf haalde al meer dan eens aan dat het aanbod van cybersecurity-professionals de vraag niet dekt. Dimitriadis hoopt dat de CMMC-professionals eerder een katalysator zullen zijn om die situatie te verbeteren, dan een horde.
“CMMC heeft betrekking op de militaire sector. Beveiliging op maat van defensie is de gouden standaard”, aldus Dimitriadis. “Bovendien is de Amerikaanse regelgeving gedreven door compliance-vereisten en verplichte audits. Er zijn als dusdanig incentives om de opleiding te volgen. De vraag naar experts wordt gegarandeerd door de regelgeving. Wie de certificatie doorloopt, kan uitkijken naar een carrière als specialist in één van de belangrijkste cybersecurity-standaarden ter wereld.”
lees ook
ISACA: “AI-gedreven cyberdreigingen grootste zorg voor 2026”
ISACA verwacht dat die concrete garantie op relevantie van de certificatie mensen zal aanzetten om ze na te streven. Verder werkt ISACA nauw samen met academische instellingen om voldoende mensen te vinden. “We geloven er sterk in dat we de nodige werkkrachten kunnen opleiden”, aldus een optimistische Dimitriadis.
Voor Europese organisaties groot en klein betekent CMMC weliswaar dat ze aan een nieuwe reeks vereisten moeten voldoen, maar zoals Dimitriadis aangeeft wil dat niet zeggen dat ze van nul moeten beginnen. Dimitriadis besluit: “Het blijft om cybersecurity gaan. Er zijn natuurlijk verschillen in de vereisten van regelgevingen en raamwerken. Het is nooit zo dat overeenstemming met één regulatie ook alle andere regelgevingen afdekt. Maar met een holistische aanpak is het perfect mogelijk om alle cybersecurityvereisten samen te brengen.”