Le Aziende della Difesa Italiane, Europee, NATO e Americane devono proteggere il know-how e le informazioni sui progetti in corso da esfiltrazioni di soggetti stranieri o comunque malevoli. Se nel passato sono state definite rigide regole per le informazioni classificate a cui le imprese della difesa devono sottostare, oggi i rischi si estendono a tutto il panorama delle informazioni non classificate, ove sono comunque custoditi molti segreti industriali che fanno gola a paesi stranieri e concorrenti molto scaltri.
La Cyber Security è diventato un elemento centrale della c.d. “guerra assimmetrica” informatica, e gli Stati Uniti hanno sviluppato un modello di certificazione per tutti i loro fornitori: il CMMC - Cybersecurity Maturity Model Certification. Da qui al 2025 tutte le future RFQ del DoD prevederanno quale requisito obbligatorio un certo livello di Certificazione CMMC. Tale requisito sarà obbligatorio per TUTTI i fornitori e sub-fornitori del DoD, inclusi quelli stranieri.
La Cybersecurity è entrata come elemento fondamentale nelle nuove regole DFARS (Defence Federal Acquisition Regulation Supplement) entrate in vigore dal 1° dicembre 2020, che richiedono ai Fornitori del DoD di implementare, monitorare e assicurare la conformità alla NIST SP800-171 e successivamente al CMMC.
Gerico Security supporta le aziende che necessitano di essere conformi alla NIST SP800-171 e di effettuare il Self-Assessent per il DoD, sia chi necessita di essere conforme al CMMC per poter affrontare l’audit di certificazione Livello 1 o Livello 3.
Le nuove regole vanno a completare la DFARS clause 252.204-7012, sono:
- DFARS clause 252.204 – 7019. Gli appaltatori e sub-appaltatori devo verificare la loro conformità alla NIST SP 800 – 171. Il risultato del self-assessment andrà riportato sul DoD Supplier Performance Risk System (SPRS). La valutazione deve essere eseguita utilizzando il DoD Assessment Methodology nella attuale version 1.2.1.
- DFARS clause 252.204 – 7020. Gli appaltatori devono fornire al governo l’accesso alle loro strutture, sistemi e personale. Gli appaltatori devono anche garantire che i subappaltatori interessati abbiano a loro volta una valutazione NISP SP 800-171 pubblicata in SPRS.
- DFARS clause 252.204 – 7021. Appaltatori e subappaltatori devono disporre della appropriata certificazione CMMC da mantenere per tutta la durata del contratto.
DFAR Cybersecurity requirements timeline
