CMMC 2.0: o que é, quem precisa e como os MSPs podem ajudar os clientes a cumprir as normas

A Certificação do Modelo de Maturidade em Cibersegurança (CMMC) é a estrutura do Departamento de Defesa dos Estados Unidos destinada a garantir que a base industrial de defesa — composta por contratados e subcontratados que integram a cadeia de suprimentos do Departamento de Defesa — mantenha um nível adequado de cibersegurança para proteger informações confidenciais de defesa.

De acordo com o Relatório Kaseya sobre a Situação dos MSPs de 2026, 71% dos MSPs relataram um crescimento ano a ano na receita proveniente da segurança cibernética. A conformidade com o CMMC está se tornando rapidamente a porta de entrada para o mercado de contratos de defesa e, com o Departamento de Defesa (DoD) estimando 350.000 fornecedores na base industrial de defesa, o mercado potencial para os MSPs que oferecem serviços de preparação para o CMMC é significativo.

A aplicação da Fase 1 teve início em 10 de novembro de 2025. A Fase 2, que torna obrigatória a certificação C3PAO para um conjunto mais amplo de contratos, terá início em 10 de novembro de 2026. As organizações que não estiverem certificadas quando for lançada uma licitação da Fase 2 não poderão concorrer à adjudicação desse contrato. A preparação geralmente leva de 9 a 12 meses. O momento de agir para os clientes que ainda precisam tomar providências é agora.

Este guia aborda os requisitos do CMMC 2.0, a quem se aplica e o que os MSPs precisam saber para ajudar os clientes — e a si mesmos — a alcançar e manter a conformidade.

O que é o CMMC e por que ele existe

O CMMC foi criado para resolver um problema específico: informações confidenciais de defesa, Informações de Contratos Federais (FCI) e Informações Não Classificadas Controladas (CUI) estavam sendo tratadas por contratados do Departamento de Defesa (DoD) com controles de segurança cibernética inadequados. A exigência existente (DFARS 252.204-7012, que exigia conformidade com a NIST SP 800-171) baseava-se na autoatestação. Os contratados atestavam a conformidade, muitas vezes de forma imprecisa, e as informações confidenciais continuavam em risco.

O CMMC muda o modelo de autoatestado para conformidade verificada. Os contratados podem optar pelo autoatestado (contratos de Nível 1 e alguns de Nível 2) ou serem avaliados por uma Organização de Avaliação de Terceiros Certificada (C3PAO) ou por avaliadores do governo (Nível 3), dependendo da sensibilidade das informações que tratam e do nível de CMMC exigido pelo contrato.

A norma definitiva foi codificada no 32 CFR Parte 170 e entrou em vigor em 16 de dezembro de 2024. A norma de aquisição que incorpora o CMMC aos contratos do Departamento de Defesa (DoD) por meio do DFARS entrou em vigor em 10 de novembro de 2025.

CMMC 2.0: o que mudou em relação à versão 1.0

O CMMC 1.0, anunciado em 2020, contava com cinco níveis de maturidade e introduziu uma complexidade significativa. Após receber feedback do setor, o Departamento de Defesa (DoD) lançou o CMMC 2.0 em 2021, que simplificou a estrutura de quatro maneiras significativas.

Três níveis em vez de cinco. O CMMC 2.0 consolida os níveis em três, alinhados com os níveis reais de risco na cadeia de suprimentos da defesa: Básico, Avançado e Especializado.

Alinhamento com a norma NIST SP 800-171 no Nível 2. O Nível 2 se alinha exatamente às 110 práticas da norma NIST SP 800-171, padrão que a maioria dos contratados do setor de defesa já vinha buscando cumprir. Isso reduz a duplicação de esforços e torna a conformidade mais viável para organizações que já possuem programas baseados na norma NIST.

A autocertificação é permitida para alguns contratos de Nível 2. As aquisições prioritárias (contratos envolvendo as CUI mais sensíveis) exigem avaliação por uma C3PAO terceirizada. As aquisições não prioritárias podem permitir a autocertificação anual durante a implementação gradual. O Nível 1 é sempre autocertificado.

Planos de ação e marcos (POA&Ms) são permitidos. A estrutura 2.0 permite o uso de POA&Ms para a correção limitada e com prazo determinado das lacunas identificadas, proporcionando um caminho para a elegibilidade contratual enquanto se trabalha para alcançar a conformidade total.

Os três níveis do CMMC

Nível 1, Básico (15 práticas). Aplica-se a organizações que lidam com Informações sobre Contratos Federais (FCI), mas não com Informações Controladas (CUI). Requer a implementação das 15 práticas básicas de higiene cibernética previstas na cláusula 52.204-21 do FAR. Autoatestado anual por um alto funcionário da empresa, com os resultados enviados ao Sistema de Risco de Desempenho do Fornecedor (SPRS). Não é necessária avaliação por terceiros. Não são permitidos POA&Ms neste nível; todos os 15 requisitos devem ser cumpridos integralmente.

Nota: os materiais anteriores sobre o CMMC faziam referência a 17 práticas de Nível 1. A norma final 32 CFR Parte 170, com vigência a partir de dezembro de 2024, consolidou três requisitos de Proteção Física em um único, elevando o número oficial para 15.

Nível 2, Avançado (110 práticas). Aplica-se a organizações que lidam com Informações Não Classificadas Controladas (CUI). Exige a implementação completa da norma NIST SP 800-171 Rev. 2. As aquisições prioritárias exigem avaliação trienal por uma C3PAO. As aquisições não prioritárias podem permitir a autoatestação anual. O Nível 2 é o nível que a maioria dos contratados do setor de defesa que buscam manter a elegibilidade para contratos com o Departamento de Defesa (DoD) precisa atingir.

Nível 3, Especialista (mais de 130 práticas). Aplica-se a organizações que lidam com as informações confidenciais (CUI) mais sensíveis em programas críticos. Requer o cumprimento integral da norma NIST SP 800-171, além de práticas selecionadas da norma NIST SP 800-172. Avaliação realizada por avaliadores governamentais da DCSA (DIBCAC). Aplica-se a um pequeno subconjunto de programas altamente sensíveis.

Quem precisa estar em conformidade com o CMMC?

A CMMC se aplica a qualquer organização, seja ela contratante principal ou subcontratada, que lide com FCI ou CUI no âmbito de contratos do Departamento de Defesa (DoD). O escopo é mais amplo do que muitas organizações imaginam inicialmente.

Contratados diretos do Departamento de Defesa (DoD). Empresas com contratos principais com o Departamento de Defesa (DoD). A maioria precisará do Nível 1 ou do Nível 2, dependendo se lidam com Informações Controladas de Interesse Nacional (CUI).

Subcontratados. Qualquer organização na cadeia de suprimentos que lide com FCI ou CUI. A transferência de responsabilidade é obrigatória: os contratantes principais devem garantir que seus subcontratados cumpram o nível CMMC exigido pelo contrato. Uma pequena empresa de engenharia que atue como subcontratada de segundo nível em um programa de defesa pode lidar com CUI e estar sujeita ao Nível 2.

Provedores de serviços gerenciados. Se um MSP tratar, armazenar ou transmitir CUI em nome de um cliente que seja uma empresa contratada do setor de defesa, ou se os sistemas do MSP processarem CUI como parte da prestação de serviços, o MSP faz parte do perímetro de CUI e pode estar sujeito aos requisitos do CMMC. Essa é a implicação mais frequentemente ignorada no que diz respeito aos MSPs.

A obrigação de repasse é o elemento mais frequentemente ignorado. Um MSP que nunca tenha verificado se a prestação de seus serviços gera uma obrigação de tratamento de CUI está operando com um risco não identificado, assim como os contratantes principais cuja conformidade depende disso.

O que o Nível 2 do CMMC realmente exige

As 110 práticas do Nível 2, distribuídas por 14 domínios, representam um programa de segurança abrangente. Os domínios que apresentam maiores desafios operacionais para pequenas e médias empresas e empresas contratadas pelo setor de defesa que partem de um nível básico baixo:

Controle de acesso (CA), 22 práticas. Autenticação multifatorial (MFA) em todas as contas, princípio do privilégio mínimo, acesso controlado com base na necessidade de saber, controles de tempo limite de sessão, restrições de acesso remoto e uso controlado de dispositivos móveis.

Gerenciamento de Configurações (CM), 9 práticas. Configurações de referência documentadas, monitoramento e alertas sobre alterações de configuração, restrição à instalação de software não autorizado.

Resposta a incidentes (IR), 3 práticas. Plano de resposta a incidentes documentado e testado, capacidade de conter e recuperar-se de incidentes e notificação obrigatória de incidentes ao Departamento de Defesa (DoD).

Avaliação de riscos (RA), 3 práticas. Avaliações periódicas de riscos, correção das vulnerabilidades identificadas e participação no compartilhamento de informações sobre ameaças.

Proteção de Sistemas e Comunicações (SC), 16 práticas. Segmentação de rede para isolar informações confidenciais controladas (CUI) de sistemas que não contêm CUI, criptografia de CUI em trânsito e em repouso, interfaces gerenciadas e proteções de perímetro.

Integridade do sistema e da informação (SI), 7 práticas. Proteção contra malware com atualizações regulares, monitoramento de alertas de segurança, gerenciamento de patches para sistemas operacionais e aplicativos, e monitoramento do sistema para detectar comportamentos anômalos.

O escopo do Nível 2 torna essa iniciativa um grande desafio para organizações que partem de um nível básico baixo. Uma avaliação de lacunas em relação à norma NIST SP 800-171 é o ponto de partida, identificando quais das 110 práticas já estão implementadas, quais estão parcialmente implementadas e quais ainda não foram abordadas. Em média, uma empresa contratada no setor de defesa leva de 9 a 12 meses para estar pronta para a avaliação a partir do momento em que uma avaliação formal de lacunas é iniciada.

MSPs e CMMC: a complexidade da cadeia de suprimentos

Os MSPs ocupam uma posição complexa no ecossistema do CMMC. Se um MSP acessar, processar ou armazenar CUI como parte da prestação de serviços a um contratante do setor de defesa, ele poderá ter que cumprir os requisitos do Nível 2 para seu próprio ambiente. O critério prático é se os sistemas e o pessoal do MSP entram em contato com CUI durante a prestação de managed services.

Um exemplo concreto: um MSP que presta serviços de monitoramento e gerenciamento remotos para uma empresa contratada do setor de defesa, com agentes de RMM implantados em terminais que processam CUI, possui sistemas que, sem dúvida, se encontram dentro do perímetro de CUI. O MSP precisa determinar se isso gera uma obrigação CMMC para seu próprio ambiente.

As empresas contratadas principais estão cada vez mais incluindo cláusulas de repasse do CMMC nos contratos de prestação de serviços de MSP. A desconhecimento do escopo não constitui justificativa, e uma declaração falsa acarreta responsabilidade legal nos termos da Lei de Reivindicações Falsas.

Os MSPs que alcançam a conformidade com o CMMC em seus próprios ambientes obtêm uma vantagem competitiva significativa: tornam-se o parceiro de TI preferencial para empresas contratadas pelo setor de defesa que precisam demonstrar que sua cadeia de fornecimento de MSPs não apresenta lacunas de conformidade. Os MSPs preparados para o CMMC podem acessar um segmento de mercado que os MSPs não conformes não conseguem atender e podem definir seus preços de acordo com isso.

Alcançando a conformidade com o CMMC: uma abordagem prática

Etapa 1: Delimitar o escopo do ambiente de CUI. Identificar todos os sistemas, funcionários e processos que lidam com CUI. O perímetro de CUI define o que deve estar em conformidade. Minimizar o escopo, isolando o tratamento de CUI em um enclave definido, reduz significativamente a carga de conformidade.

Etapa 2: Realizar uma avaliação de lacunas. Avaliar a implementação atual em relação às 110 práticas da norma NIST SP 800-171. Um Plano de Segurança do Sistema (SSP) documenta o estado atual de conformidade. Um Plano de Ação e Marcos (POA&M) documenta as lacunas identificadas e os prazos para correção. Ambos os documentos são artefatos obrigatórios para a certificação de Nível 2.

Etapa 3: Corrigir as lacunas. Aborde primeiro as lacunas mais críticas, especialmente aquelas relacionadas ao Controle de Acesso, à Resposta a Incidentes e à Integridade do Sistema e da Informação, que correspondem aos vetores de ataque de maior probabilidade. Ferramentas automatizadas tratam de um grande número de controles simultaneamente: o gerenciamento de patches atende aos requisitos de Integridade do Sistema (SI), a implantação de autenticação multifatorial (MFA) atende aos requisitos de Controle de Acesso (AC), o EDR atende aos requisitos de malware e monitoramento de Integridade do Sistema (SI), e o SIEM atende aos requisitos de registro de auditoria em vários domínios.

Etapa 4: Selecione a via de avaliação. Determine se a autoatestação de Nível 2 é permitida para o contrato específico ou se é necessária uma avaliação da C3PAO. A partir de 10 de novembro de 2026, a certificação da C3PAO passa a ser obrigatória para as licitações de Nível 2 aplicáveis. Prepare as provas de conformidade: o SSP, o POA&M e as evidências técnicas provenientes de ferramentas de segurança que demonstrem a implementação dos controles.

Etapa 5: Manter a conformidade. A CMMC não é uma certificação única. As autodeclarações anuais ou as avaliações trienais da C3PAO exigem a manutenção contínua da conformidade: monitoramento contínuo, gerenciamento de patches, testes do plano de resposta a incidentes e geração de evidências entre as avaliações.

Como Compliance Manager GRC ao CMMC

Compliance Manager GRC um caminho estruturado para a preparação para o CMMC, que aborda tanto a carga de trabalho da avaliação quanto os requisitos contínuos de comprovação.

A plataforma inclui um modelo de avaliação específico para o Nível 2 do CMMC, alinhado aos 110 requisitos da norma NIST SP 800-171 Rev. 2, incluindo o quadro de pontuação de riscos do Departamento de Defesa (DoD). O SSP e o POA&M, ambos artefatos obrigatórios para a certificação, são gerados e acompanhados dentro da plataforma. À medida que as lacunas são sanadas, as evidências são registradas para cada controle.

A integração direta com o VSA e o Datto RMM transfere evidências técnicas relacionadas à conformidade de patches, integridade dos terminais e dados de configuração diretamente para Compliance Manager GRC , reduzindo o trabalho manual de documentação da implementação dos controles. O Datto EDR fornece evidências para os controles de proteção contra malware e monitoramento do sistema. IT Glue envia automaticamente os relatórios de conformidade concluídos para a documentação de cada cliente, mantendo as evidências prontas para auditoria atualizadas entre as avaliações.

Para os MSPs que posicionam a preparação para o CMMC como uma oferta de serviço, a arquitetura multicliente Compliance Manager GRCpermite o gerenciamento de avaliações de vários clientes do setor de defesa a partir de um único console.

Conheça Compliance Manager GRC CMMC