De Cybersecurity Maturity Model Certification (CMMC) is het raamwerk van het Amerikaanse Ministerie van Defensie dat ervoor moet zorgen dat de defensie-industrie, de aannemers en onderaannemers die deel uitmaken van de toeleveringsketen van het ministerie, voldoende cyberbeveiliging handhaven om gevoelige defensie-informatie te beschermen.
Volgens het Kaseya State of the MSP-rapport van 2026 meldde 71% van de MSP’s een omzetgroei op het gebied van cyberbeveiliging ten opzichte van het voorgaande jaar. CMMC-compliance wordt in snel tempo de toegangspoort tot de markt voor defensiecontracten, en aangezien het Amerikaanse Ministerie van Defensie (DoD) het aantal leveranciers in de defensie-industrie op 350.000 schat, is de potentiële markt voor MSP’s die diensten aanbieden om bedrijven CMMC-ready te maken aanzienlijk.
De handhaving van fase 1 is op 10 november 2025 van start gegaan. Fase 2, waarin de C3PAO-certificering voor een bredere reeks contracten verplicht wordt gesteld, gaat op 10 november 2026 van start. Organisaties die niet gecertificeerd zijn op het moment dat een aanbesteding voor fase 2 wordt gepubliceerd, kunnen niet meedingen naar die opdracht. De voorbereiding neemt doorgaans 9 tot 12 maanden in beslag. Dit is het moment voor klanten die nog actie moeten ondernemen.
In deze gids wordt uitgelegd wat CMMC 2.0 vereist, voor wie het geldt en wat MSP’s moeten weten om hun klanten – en zichzelf – te helpen bij het bereiken en handhaven van naleving.
Wat CMMC is en waarom het bestaat
CMMC is in het leven geroepen om een specifiek probleem aan te pakken: gevoelige defensie-informatie, Federal Contract Information (FCI) en Controlled Unclassified Information (CUI), werd door aannemers van het Ministerie van Defensie (DoD) verwerkt zonder toereikende cyberbeveiligingsmaatregelen. De bestaande eis (DFARS 252.204-7012, die naleving van NIST SP 800-171 vereiste) was gebaseerd op zelfcertificering. Aannemers verklaarden dat ze aan de eisen voldeden, vaak onjuist, en gevoelige informatie bleef daardoor kwetsbaar.
CMMC verandert het model van zelfverklaring naar geverifieerde naleving. Aannemers leggen een zelfverklaring af (niveau 1 en sommige niveau 2-contracten) of worden beoordeeld door een gecertificeerde externe beoordelingsinstantie (C3PAO) of door overheidsbeoordelaars (niveau 3), afhankelijk van de gevoeligheid van de informatie waarmee zij werken en het CMMC-niveau dat in het contract wordt vereist.
De definitieve regel is vastgelegd in 32 CFR Part 170 en is op 16 december 2024 in werking getreden. De aanbestedingsregel die CMMC via DFARS in contracten van het Ministerie van Defensie (DoD) opneemt, is op 10 november 2025 in werking getreden.
CMMC 2.0: wat is er veranderd ten opzichte van 1.0
CMMC 1.0, dat in 2020 werd aangekondigd, kende vijf volwassenheidsniveaus en bracht een aanzienlijke mate van complexiteit met zich mee. Naar aanleiding van feedback uit de sector bracht het Amerikaanse Ministerie van Defensie (DoD) in 2021 CMMC 2.0 uit, waarmee het raamwerk op vier belangrijke punten werd vereenvoudigd.
Drie niveaus in plaats van vijf. CMMC 2.0 is teruggebracht tot drie niveaus die aansluiten bij de daadwerkelijke risicocategorieën in de toeleveringsketen van de defensiesector: Basis, Gevorderd en Expert.
NIST SP 800-171-conformiteit op niveau 2. Niveau 2 sluit exact aan bij de 110 praktijken in NIST SP 800-171, de norm waar de meeste defensie-aannemers al naar toe werkten. Dit vermindert dubbel werk en maakt naleving haalbaarder voor organisaties met bestaande NIST-programma’s.
Voor sommige contracten van niveau 2 is zelfcertificering toegestaan. Voor prioritaire aankopen (contracten waarbij de meest gevoelige CUI betrokken is) is een beoordeling door een externe C3PAO vereist. Bij niet-prioritaire aankopen kan tijdens de gefaseerde invoering jaarlijkse zelfcertificering worden toegestaan. Niveau 1 is altijd zelfcertificering.
Actieplannen en mijlpalen (POA&M’s) zijn toegestaan. Het 2.0-raamwerk staat POA&M’s toe voor een beperkte, tijdgebonden correctie van vastgestelde tekortkomingen, waardoor een traject wordt geboden om in aanmerking te komen voor contracten terwijl wordt toegewerkt naar volledige naleving.
De drie CMMC-niveaus
Niveau 1, Basis (15 maatregelen). Geldt voor organisaties die omgaan met Federal Contract Information (FCI), maar niet met CUI. Vereist de implementatie van de 15 basismaatregelen voor cyberhygiëne uit FAR-clausule 52.204-21. Jaarlijkse zelfverklaring door een senior bedrijfsfunctionaris, waarbij de resultaten worden ingediend in het Supplier Performance Risk System (SPRS). Geen beoordeling door een derde partij vereist. POA&M's zijn op dit niveau niet toegestaan; aan alle 15 vereisten moet volledig worden voldaan.
Opmerking: in eerdere CMMC-documenten werd verwezen naar 17 praktijken van niveau 1. In de definitieve regel 32 CFR Part 170, die in december 2024 van kracht wordt, zijn drie vereisten voor fysieke beveiliging samengevoegd tot één, waardoor het officiële aantal op 15 komt.
Niveau 2, Gevorderd (110 maatregelen). Geldt voor organisaties die omgaan met gecontroleerde niet-geclassificeerde informatie (CUI). Vereist volledige implementatie van NIST SP 800-171 Rev 2. Voor prioritaire aanbestedingen is een driejaarlijkse beoordeling door een C3PAO vereist. Bij niet-prioritaire aanbestedingen kan een jaarlijkse zelfverklaring worden toegestaan. Niveau 2 is het niveau dat de meeste defensiecontractanten moeten behalen om in aanmerking te blijven komen voor contracten van het Amerikaanse Ministerie van Defensie (DoD).
Niveau 3, Expert (130+ maatregelen). Geldt voor organisaties die de meest gevoelige CUI in kritieke programma’s verwerken. Vereist volledige naleving van NIST SP 800-171 plus geselecteerde maatregelen uit NIST SP 800-172. Beoordeling door overheidsbeoordelaars van de DCSA (DIBCAC). Geldt voor een kleine subgroep van uiterst gevoelige programma’s.
Voor wie is CMMC-conformiteit verplicht?
De CMMC-norm is van toepassing op elke organisatie, hoofdaannemer of onderaannemer, die in het kader van contracten met het Amerikaanse Ministerie van Defensie (DoD) met FCI of CUI werkt. Het toepassingsgebied is breder dan veel organisaties in eerste instantie beseffen.
Directe contractanten van het Amerikaanse Ministerie van Defensie. Bedrijven die hoofdcontracten hebben met het Amerikaanse Ministerie van Defensie. De meeste zullen niveau 1 of niveau 2 nodig hebben, afhankelijk van of ze met CUI werken.
Onderaannemers. Elke organisatie in de toeleveringsketen die met FCI of CUI werkt. Doorstorting is verplicht: hoofdaannemers moeten ervoor zorgen dat hun onderaannemers voldoen aan het CMMC-niveau dat in het contract is vastgelegd. Een klein ingenieursbureau dat als tweedelijnsonderaannemer bij een defensieprogramma betrokken is, kan met CUI werken en onderworpen zijn aan niveau 2.
Managed Service Providers. Als een MSP namens een klant die actief is in de defensiesector vertrouwelijke informatie (CUI) verwerkt, opslaat of verzendt, of als de systemen van de MSP CUI verwerken als onderdeel van de dienstverlening, maakt de MSP deel uit van de CUI-grens en kan hij zelf onderworpen zijn aan de CMMC-vereisten. Dit is het aspect dat bij MSP’s het vaakst over het hoofd wordt gezien.
De verplichting tot doorverwijzing is het aspect dat het vaakst over het hoofd wordt gezien. Een MSP die nog nooit heeft nagegaan of zijn dienstverlening een verplichting tot omgang met CUI met zich meebrengt, opereert met een verborgen aansprakelijkheidsrisico, en dat geldt ook voor de hoofdaannemers wier naleving hiervan afhankelijk is.
Wat CMMC-niveau 2 nu precies vereist
De 110 maatregelen van niveau 2, verdeeld over 14 domeinen, vormen een uitgebreid beveiligingsprogramma. De domeinen die operationeel het meest veeleisend zijn voor het MKB en defensie-aannemers die vanaf een laag uitgangsniveau beginnen:
Toegangscontrole (AC), 22 maatregelen. Meervoudige authenticatie (MFA) voor alle accounts, het principe van minimale rechten, gecontroleerde toegang op basis van ‘need-to-know’, instellingen voor het automatisch afsluiten van sessies, beperkingen op toegang op afstand en gecontroleerd gebruik van mobiele apparaten.
Configuratiebeheer (CM), 9 werkwijzen. Gedocumenteerde basisconfiguraties, bewaking van en waarschuwingen bij configuratiewijzigingen, beperking van de installatie van ongeautoriseerde software.
Incidentrespons (IR), 3 werkwijzen. Een gedocumenteerd en getest incidentresponsplan, het vermogen om incidenten in te dammen en te herstellen, en de verplichte melding van incidenten aan het Ministerie van Defensie.
Risicobeoordeling (RA), 3 werkwijzen: periodieke risicobeoordelingen, het verhelpen van geconstateerde kwetsbaarheden en deelname aan het delen van informatie over bedreigingen.
Systeem- en communicatiebeveiliging (SC), 16 werkwijzen. Netwerksegmentatie om CUI te isoleren van niet-CUI-systemen, versleuteling van CUI tijdens verzending en in opslag, beheerde interfaces en grensbeveiliging.
Systeem- en informatie-integriteit (SI), 7 werkwijzen. Bescherming tegen malware door middel van regelmatige updates, monitoring van beveiligingswaarschuwingen, patchbeheer voor besturingssystemen en applicaties, en systeemmonitoring op afwijkend gedrag.
Gezien de omvang van niveau 2 is dit een omvangrijke onderneming voor organisaties die vanaf een laag uitgangsniveau beginnen. Het uitgangspunt is een lacuneanalyse aan de hand van NIST SP 800-171, waarbij wordt vastgesteld welke van de 110 maatregelen al zijn geïmplementeerd, welke gedeeltelijk zijn geïmplementeerd en welke nog niet zijn aangepakt. Gemiddeld heeft een defensie-aannemer 9 tot 12 maanden nodig om klaar te zijn voor de beoordeling vanaf het moment dat een formele lacuneanalyse van start gaat.
MSP’s en CMMC: de uitdagingen in de toeleveringsketen
MSP’s nemen een complexe positie in binnen het CMMC-ecosysteem. Als een MSP toegang heeft tot, verwerkt of opslaat CUI in het kader van dienstverlening aan een defensie-aannemer, moet de MSP mogelijk voldoen aan de vereisten van niveau 2 voor zijn eigen omgeving. De praktische toets is of de systemen en het personeel van de MSP in aanraking komen met CUI tijdens het leveren van managed services.
Een concreet voorbeeld: een MSP die op afstand monitoring en beheer verzorgt voor een defensie-aannemer, waarbij RMM-agents zijn geïnstalleerd op eindpunten die CUI verwerken, beschikt over systemen die aantoonbaar binnen de CUI-grenzen vallen. De MSP moet nagaan of dit een CMMC-verplichting met zich meebrengt voor zijn eigen omgeving.
Hoofdaannemers nemen steeds vaker CMMC-doorwerkingsclausules op in MSP-dienstverleningsovereenkomsten. Onbekendheid met de reikwijdte ervan vormt geen verdedigingsgrond, en een onjuiste verklaring brengt juridische risico’s met zich mee op grond van de False Claims Act.
MSP’s die voor hun eigen omgeving aan de CMMC-normen voldoen, verwerven een aanzienlijk concurrentievoordeel: ze worden de voorkeurspartner op IT-gebied voor defensie-aannemers die moeten aantonen dat hun MSP-toeleveringsketen geen hiaten in de naleving vertoont. MSP’s die klaar zijn voor CMMC krijgen toegang tot een marktsegment dat niet-conforme MSP’s niet kunnen bedienen, en kunnen hun prijzen daarop afstemmen.
CMMC-conformiteit realiseren: een praktische aanpak
Stap 1: Breng de CUI-omgeving in kaart. Breng alle systemen, medewerkers en processen in kaart die met CUI werken. De CUI-grens bepaalt wat aan de nalevingsvereisten moet voldoen. Door de reikwijdte te beperken door de verwerking van CUI te isoleren in een afgebakende enclave, wordt de nalevingslast aanzienlijk verminderd.
Stap 2: Voer een lacuneanalyse uit. Beoordeel de huidige implementatie aan de hand van de 110 praktijken uit NIST SP 800-171. In een Systeembeveiligingsplan (SSP) wordt de huidige nalevingsstatus vastgelegd. In een Actieplan en Mijlpalen (POA&M) worden de vastgestelde lacunes en de tijdschema’s voor het verhelpen daarvan vastgelegd. Beide documenten zijn vereiste documenten voor certificering op niveau 2.
Stap 3: Vul de hiaten op. Pak eerst de meest kritieke hiaten aan, met name die op het gebied van toegangscontrole, incidentrespons en de integriteit van systemen en informatie, aangezien deze de meest waarschijnlijke aanvalsvectoren betreffen. Geautomatiseerde tools kunnen grote aantallen beveiligingsmaatregelen tegelijkertijd afhandelen: patchbeheer voldoet aan de vereisten voor de integriteit van systemen en informatie, de implementatie van MFA voldoet aan de vereisten voor toegangscontrole, EDR dekt de vereisten voor malwarebescherming en monitoring binnen de integriteit van systemen en informatie, en SIEM voldoet aan de vereisten voor auditlogging in meerdere domeinen.
Stap 4: Kies het beoordelingstraject. Bepaal of zelfverklaring op niveau 2 is toegestaan voor het betreffende contract, of dat een C3PAO-beoordeling vereist is. Vanaf 10 november 2026 wordt C3PAO-certificering verplicht voor relevante aanbestedingen op niveau 2. Verzamel bewijsstukken van naleving: het SSP, het POA&M en technisch bewijs uit beveiligingstools waaruit blijkt dat de controles zijn geïmplementeerd.
Stap 5: Zorg voor blijvende naleving. CMMC is geen eenmalige certificering. Jaarlijkse zelfverklaringen of driejaarlijkse C3PAO-beoordelingen vereisen dat de naleving voortdurend wordt gewaarborgd: dit omvat continue monitoring, patchbeheer, het testen van het incidentresponsplan en het verzamelen van bewijsmateriaal tussen de beoordelingen door.
Hoe Compliance Manager GRC CMMC Compliance Manager GRC
Compliance Manager GRC een gestructureerd traject naar CMMC-gereedheid dat zowel de beoordelingslast als de doorlopende bewijsvereisten aanpakt.
Het platform bevat een speciaal beoordelingssjabloon voor CMMC-niveau 2 dat is afgestemd op de 110 vereisten van NIST SP 800-171 Rev 2, inclusief de risicoscorekaart van het Amerikaanse Ministerie van Defensie (DoD). Het SSP en het POA&M, beide vereiste certificeringsdocumenten, worden binnen het platform gegenereerd en bijgehouden. Naarmate tekortkomingen worden verholpen, wordt het bewijsmateriaal per controle vastgelegd.
Door directe integratie met VSA en Datto RMM worden technische gegevens over patch-compliance, de status van eindpunten en configuratiegegevens rechtstreeks in het Compliance Manager GRC opgenomen, waardoor er minder handmatig werk nodig is voor het documenteren van de implementatie van controles. Datto EDR levert bewijsmateriaal voor controles op het gebied van malwarebescherming en systeemmonitoring. Dankzij IT Glue worden voltooide compliance-rapporten automatisch naar de documentatie van elke klant verzonden, waardoor het auditklare bewijsmateriaal tussen beoordelingen door up-to-date blijft.
Voor MSP’s die CMMC-gereedheid als een dienst aanbieden, biedt de multi-clientarchitectuur Compliance Manager GRCde mogelijkheid om beoordelingen voor meerdere klanten uit de defensiesector vanuit één enkele console te beheren.
Ontdek Compliance Manager GRC CMMC
Belangrijkste punten
- CMMC 2.0 is een contractuele verplichting, geen vrijwillig kader. De handhaving van fase 1 is op 10 november 2025 van start gegaan. Fase 2, waarin C3PAO-certificering verplicht wordt gesteld voor relevante contracten van niveau 2, gaat op 10 november 2026 van start. Organisaties die niet gecertificeerd zijn op het moment dat een aanbesteding voor fase 2 wordt gepubliceerd, kunnen niet meedingen naar die opdracht.
- Niveau 2 (de meest voorkomende vereiste) sluit aan bij de 110 praktijken van NIST SP 800-171, verdeeld over 14 domeinen. Een lacuneanalyse, gevolgd door een herstelperiode van 9 tot 12 maanden, is de gebruikelijke weg naar beoordelingsgereedheid.
- MSP’s die diensten verlenen aan defensie-aannemers kunnen zelf onder de CMMC-regelgeving vallen als hun dienstverlening een verplichting tot het omgaan met CUI met zich meebrengt. Door dit nauwkeurig in kaart te brengen en aan de voorschriften te voldoen, ontstaat er een concurrentievoordeel in een marktsegment waartoe MSP’s die niet aan de voorschriften voldoen, geen toegang hebben.
- Naleving is een continu proces. Jaarlijkse zelfbeoordelingen of driejaarlijkse C3PAO-beoordelingen vereisen tussen de formele beoordelingen door voortdurend patchbeheer, monitoring, het testen van incidentrespons en het verzamelen van bewijsmateriaal.
