TL;DR

Se lida com contratos do DoD e toca em informação federal (FCI ou CUI), o CMMC (Cybersecurity Maturity Model Certification) é obrigatório.

Três níveis:

• Nível 1: Ciber-higiene básica (autoavaliação).
• Nível 2: NIST 800-171 (avaliado por terceiros).
• Nível 3: Segurança avançada (auditorias conduzidas pelo governo).

Sem CMMC = sem contrato. Obtenha a certificação, mantenha-se elegível.

Resumo do Quadro de Resultados da CMMC:

• Esforço do programador: Moderado a elevado (dependendo do nível; requer a implementação de controlos relacionados com o controlo do acesso, gestão da configuração, integridade do sistema, gestão de vulnerabilidades, práticas de codificação seguras relevantes para a proteção de CUI).
• Custo das ferramentas: Moderado a elevado (requer ferramentas para controlo de acesso, MFA, segurança dos pontos finais, análise de vulnerabilidades, registo/SIEM, gestão da configuração, potencialmente DLP, alinhadas com os controlos NIST 800-171).
• Impacto no mercado: Crítico (Obrigatório para participação em contratos do DoD que envolvam FCI/CUI; tornando-se um requisito fundamental para todo o DIB).
• Flexibilidade: Baixa a moderada (com base em controlos NIST específicos; o nível 2 permite planos de ação e marcos (POA&M) limitados no momento da avaliação, mas o objetivo é a conformidade total).
• Intensidade da auditoria: Elevada (o nível 1 é uma autoavaliação, mas o nível 2 exige uma avaliação formal por terceiros efectuada por um C3PAO e o nível 3 exige uma avaliação governamental).

O que é o CMMC?

O programa de Certificação do Modelo de Maturidade da Cibersegurança (CMMC) é uma iniciativa do Departamento de Defesa dos EUA (DoD) concebida para aplicar normas de cibersegurança em toda a Base Industrial de Defesa (DIB). O seu principal objetivo é proteger as informações sensíveis não classificadas que residem nas redes dos contratantes, especificamente:

• Informações sobre contratos federais (FCI): Informação não destinada a divulgação pública, fornecida ou produzida para o Governo ao abrigo de um contrato.
• Informação não classificada controlada (CUI): Informações que exigem controlos de salvaguarda ou divulgação nos termos da lei, regulamentação ou política governamental.

O CMMC 2.0, a iteração atual, simplifica o modelo original em três níveis de maturidade:

• Nível 1 (Básico): Concentra-se na salvaguarda básica da FCI. Alinha-se com os 15 requisitos básicos especificados no FAR 52.204-21. Requer uma autoavaliação anual.
• Nível 2 (Avançado): Concentra-se na proteção de CUI. Alinha-se completamente com os 110 requisitos de segurança descritos no NIST SP 800-171 Rev 2. Requer avaliações trienais de terceiros efectuadas por uma Organização de Avaliação de Terceiros CMMC acreditada (C3PAO) para a maioria dos contratos que envolvam CUI. Um subconjunto de programas de Nível 2 pode permitir a autoavaliação.
• Nível 3 (Especialista): Concentra-se na proteção de CUI contra Ameaças Persistentes Avançadas (APTs). Inclui todos os 110 controlos do NIST SP 800-171 e um subconjunto de controlos do NIST SP 800-172 (Requisitos de segurança melhorados). Requer avaliações trienais conduzidas pelo governo.

Ao contrário das anteriores abordagens de auto-atestação do NIST 800-171, o CMMC introduz avaliações obrigatórias (próprias, de terceiros ou do governo, consoante o nível) para verificar a implementação das práticas de cibersegurança exigidas. O nível CMMC exigido será especificado nas solicitações e contratos do DoD.

Porque é que é importante?

O CMMC é um fator de mudança para a Base Industrial de Defesa (DIB):

• Obrigatório para contratos do DoD: Eventualmente, alcançar e manter o nível CMMC exigido será um pré-requisito para que as empresas recebam ou mesmo participem em contratos do DoD que envolvam FCI ou CUI. O não cumprimento significa perder a elegibilidade para o trabalho do DoD.
• Protege a informação sensível: Tem por objetivo reduzir significativamente o roubo de informações de defesa sensíveis (FCI/CUI) da cadeia de abastecimento de DIB, que constitui uma grande preocupação de segurança nacional.
• Normaliza a cibersegurança: Cria uma norma unificada de cibersegurança em todo o DIB, passando de uma auto-atestação incoerente para uma conformidade verificada.
• Aumenta a segurança da cadeia de abastecimento: Os requisitos são transmitidos aos subcontratantes que lidam com FCI/CUI, com o objetivo de proteger toda a cadeia de abastecimento.
• Aumenta a responsabilidade: Passa da auto-atestação para avaliações verificadas, aumentando a responsabilidade pela implementação dos controlos de segurança necessários.
• Cria confiança: A certificação CMMC garante ao DoD (e aos contratantes principais) que os subcontratantes dispõem de medidas de cibersegurança adequadas.

Para qualquer empresa que esteja atualmente a fazer negócios com o DoD ou que planeie fazê-lo, compreender e alcançar a conformidade com o CMMC está a tornar-se essencial para a sobrevivência e o crescimento no mercado da defesa.

O que e como implementar (técnica e política)

A implementação do CMMC implica a adoção das práticas de cibersegurança associadas ao nível pretendido, que são em grande parte retiradas do FAR 52.204-21 e do NIST SP 800-171 / 800-172:

1. Determinar o nível necessário: Identificar o nível CMMC necessário com base no tipo de informação tratada (FCI apenas para o Nível 1; CUI para o Nível 2/3) e nos requisitos específicos do contrato.
2. Definir o âmbito: Identificar claramente os sistemas, activos, locais e pessoal que lidam com FCI/CUI. Este "limite CUI" é fundamental para a avaliação. Documentar os fluxos de dados.
3. Análise de lacunas: Avaliar a postura de segurança atual em relação aos requisitos do nível CMMC pretendido (15 controlos para L1; 110 controlos NIST 800-171 para L2; L2 + subconjunto NIST 800-172 para L3). Identificar lacunas.
4. Remediação e implementação: Resolver as lacunas identificadas através da implementação dos controlos necessários. Isto abrange 14 domínios derivados do NIST 800-171:
   
   • Controlo de acesso (AC): Implementar o privilégio mínimo, gerir contas, controlar o acesso remoto, utilizar MFA (necessário para CUI).
   • Sensibilização e formação (AT): Realizar formação de sensibilização para a segurança.
   • Auditoria e responsabilização (AU): Gerar e reter registos do sistema, garantir que as acções podem ser rastreadas até aos utilizadores.
   • Gestão da configuração (CM): estabelecer linhas de base de configuração, gerir alterações, restringir a instalação de software.
   • Identificação e autenticação (IA): Identificar e autenticar utilizadores de forma única (incluindo MFA para acesso CUI).
   • Resposta a incidentes (IR): Desenvolver e testar um plano de resposta a incidentes.
   • Manutenção (MA): Efetuar a manutenção do sistema de forma segura.
   • Proteção dos suportes de dados (MP): Desinfetar ou destruir suportes de dados que contenham CUI.
   • Segurança do pessoal (PS): Fazer o rastreio dos indivíduos antes de conceder o acesso.
   • Proteção física (PE): Limitar o acesso físico, escoltar os visitantes.
   • Avaliação de riscos (RA): Avaliar periodicamente os riscos, procurar vulnerabilidades.
   • Avaliação da segurança (CA): Desenvolver o Plano de Segurança do Sistema (SSP), monitorizar os controlos, gerir os POA&M.
   • Proteção do sistema e das comunicações (SC): Monitorizar/controlar os limites das comunicações (firewalls), implementar protecções criptográficas (por exemplo, cifragem validada por FIPS 140 para CUI em repouso/em trânsito), recusar tráfego de rede por defeito.
   • Integridade do sistema e da informação (SI): Identificar/gerir falhas, proteger contra malware, monitorizar alterações não autorizadas.
5. Documentação: Desenvolver documentação essencial:
   
   • Plano de segurança do sistema (SSP): Descreve a forma como cada controlo necessário é cumprido.
   • Políticas e procedimentos: Documentação formal que apoia a implementação do controlo.
   • Plano de ação e etapas (POA&M): Se subsistirem lacunas (permitidas apenas temporariamente para o CMMC de nível 2 em condições específicas), documentar o plano para as corrigir.
6. Autoavaliação (todos os níveis): Efetuar uma avaliação interna em relação aos requisitos e calcular uma pontuação de avaliação NIST SP 800-171, se aplicável (necessária para a apresentação do SPRS).
7. Preparar a avaliação: Recolher provas, preparar o pessoal para as entrevistas, assegurar que a documentação está completa.
8. Submeter-se a uma avaliação:
   
   • Nível 1: Autoavaliação anual.
   • Nível 2: Avaliação trienal por terceiros efectuada pela C3PAO (para a maioria) ou autoavaliação (para alguns).
   • Nível 3: Avaliação trienal conduzida pelo governo.

A implementação baseia-se fortemente no alinhamento de práticas com o NIST SP 800-171 e na demonstração de maturidade e eficácia através de documentação e avaliação.

Erros comuns a evitar

A obtenção da certificação CMMC requer um planeamento cuidadoso. Evite estes erros:

1. Subestimação do âmbito/complexidade: Não identificação exacta de todos os sistemas/locais onde as informações confidenciais/UI são armazenadas, processadas ou transmitidas, o que conduz a uma avaliação incompleta.
2. Falta de adesão dos executivos: Tratar o CMMC como um mero problema de TI sem o apoio da liderança para os recursos necessários, mudanças de política e mudanças culturais.
3. Recursos insuficientes: Subfinanciamento do esforço ou falta de pessoal com a experiência necessária para implementar e documentar corretamente os controlos NIST 800-171.
4. Documentação deficiente: Ter SSPs, políticas e procedimentos fracos ou inexistentes, ou não recolher provas adequadas para demonstrar a implementação do controlo durante a avaliação.
5. Ignorar o NIST SP 800-171: Assumir que as práticas de segurança existentes são suficientes sem efetuar uma análise detalhada das lacunas em relação aos 110 controlos exigidos para o Nível 2.
6. Negligenciar a cadeia de fornecimento: Não transmitir os requisitos CMMC aos subcontratantes que lidam com FCI/CUI, ou não gerir os riscos dos Prestadores de Serviços Externos (ESP), como as plataformas de nuvem.
7. Procrastinação: Esperar até que os requisitos CMMC apareçam nos contratos, subestimando os 9-18+ meses frequentemente necessários para a preparação e correção.
8. Tratar o controlo como um exercício de "verificação da caixa": Implementar controlos superficialmente sem garantir que são realmente eficazes e integrados nas operações.

O que os auditores/avaliadores perguntarão (foco no desenvolvedor)

Embora as avaliações CMMC abranjam práticas gerais de TI e segurança, os programadores que lidam com CUI ou trabalham em sistemas no âmbito do CMMC podem estar envolvidos na demonstração da conformidade com controlos como:

• (Controlos CM) "Como são geridas e controladas as alterações à configuração do software?"
• (Controlos SI) "Que medidas estão em vigor para detetar e prevenir códigos maliciosos durante o desenvolvimento?"
• (Controlos SA - relacionados com o 800-171) "Descreva as suas práticas de desenvolvimento seguro de software". (Embora não seja explicitamente detalhado no próprio 800-171 na medida do SSDF, o desenvolvimento seguro é uma expetativa implícita para proteger as CUI).
• (AC Controls) "Como é controlado o acesso aos ambientes de desenvolvimento e ao código fonte que contém CUI?"
• (Controlos da UA) "As acções dos programadores são registadas, especialmente quando acedem a sistemas com CUI?"
• (Controlos RA) "Como são identificadas e corrigidas as vulnerabilidades no software desenvolvido por encomenda que lida com CUI? (por exemplo, utilização de SAST/DAST)
• (SC Controls) "Como é que as CUI são protegidas durante a transmissão (por exemplo, encriptação utilizada nas API)?"

Os avaliadores procurarão controlos técnicos implementados, procedimentos documentados seguidos pelos programadores e provas (registos, resultados de análises, análises de acesso) que confirmem a conformidade.

Ganhos rápidos para as equipas de desenvolvimento

As equipas de desenvolvimento podem contribuir para a preparação do CMMC, especialmente para o Nível 2 (alinhamento com o NIST 800-171):

1. Identificar CUI no desenvolvimento: Compreender se/onde podem existir CUI no código, nos dados de teste, na documentação ou nas ferramentas de desenvolvimento. Implementar procedimentos de tratamento, se necessário.
2. Ambientes de desenvolvimento seguros: Aplique controlos de acesso (privilégio mínimo, MFA) a servidores de desenvolvimento, repositórios de código e pipelines de CI/CD, especialmente se lidar com CUI.
3. Integrar SAST/SCA: Utilizar ferramentas automatizadas para encontrar vulnerabilidades no código e nas dependências numa fase precoce. (Suporta RA.L2-3.11.2, SI.L2-3.14.1)
4. Gestão deSecrets : Assegurar que nenhum secrets(especialmente os que dão acesso a CUI) é codificado. (Suporta AC.L1-3.1.1, AC.L1-3.1.2)
5. Formalizar a gestão de alterações: Utilizar Gitflow/PRs, exigir aprovações, ligar as alterações às questões. (Suporta CM.L2-3.4.1, CM.L2-3.4.2)
6. Formação em segurança para programadores: Formação básica de sensibilização para a segurança e de codificação segura. (Suporta AT.L2-3.2.1)

Ignorar isto e... (Consequências do incumprimento)

Para as organizações da Base Industrial de Defesa, a não conformidade com o CMMC terá consequências diretas e graves à medida que o quadro for sendo implementado:

• Inelegibilidade para contratos do DoD: A principal consequência. A incapacidade de atingir o nível CMMC exigido desqualificará as organizações de receberem novos contratos do DoD ou de continuarem a trabalhar em contratos existentes que envolvam FCI/CUI.
• Perda de receitas: O bloqueio dos contratos do DoD pode significar uma perda significativa de receitas actuais e futuras para os contratantes do sector da defesa.
• Exclusão da cadeia de abastecimento: Os contratantes principais exigirão que os seus subcontratantes cumpram os requisitos CMMC, o que significa que os subcontratantes não conformes serão excluídos das cadeias de abastecimento do DoD.
• Desvantagem competitiva: As empresas que obtiverem a certificação CMMC terão uma vantagem significativa sobre os concorrentes que não a obtiverem.
• Potenciais penalizações contratuais: Os contratos existentes poderão ser afectados se os requisitos do CMMC forem transmitidos e não forem cumpridos, o que poderá conduzir a problemas de violação do contrato (embora as especificidades ainda estejam a evoluir).

Essencialmente, a conformidade com o CMMC está a tornar-se um custo de negócio para o DIB.

FAQ

Quem precisa da certificação CMMC?

Todas as organizações da cadeia de fornecimento da Base Industrial de Defesa (DIB) que lidam com Informação Contratual Federal (FCI) ou Informação Não Classificada Controlada (CUI) terão eventualmente de atingir um nível CMMC específico, conforme exigido pelos seus contratos do DoD.

Qual é a diferença entre o CMMC 1.0 e o CMMC 2.0?

O CMMC 2.0 simplificou os 5 níveis originais para 3. Removeu práticas e processos exclusivos do CMMC, alinhando o Nível 2 diretamente com o NIST SP 800-171 e o Nível 3 com o NIST SP 800-171 + um subconjunto do NIST SP 800-172. Também permite auto-avaliações no Nível 1 (e um subconjunto do Nível 2) e permite a utilização limitada de Planos de Ação e Marcos (POA&M) no momento da avaliação de Nível 2 em condições específicas.

Qual é a diferença entre FCI e CUI?

FCI (Federal Contract Information) é a informação não destinada a divulgação pública, fornecida pelo/para o governo ao abrigo de um contrato. CUI (Controlled Unclassified Information - Informação não classificada controlada) é uma categoria mais vasta que requer controlos de salvaguarda, definidos por leis, regulamentos ou políticas governamentais (por exemplo, dados controlados para exportação, determinados dados técnicos). O manuseamento de CUI implica a necessidade de CMMC de nível 2 ou 3.

Quando é que o CMMC será exigido nos contratos?

O DoD está a implementar o CMMC através de um lançamento faseado, com início potencialmente em meados ou finais de 2025, com base na finalização da regra do programa CMMC (atualmente em revisão). Espera-se que apareça cada vez mais em contratos nos anos seguintes, tornando-se um requisito para quase todos os contratos do DoD que lidam com FCI/CUI aproximadamente no final de 2027/início de 2028.

O que é o NIST SP 800-171 e qual é a sua relação com o CMMC?

A norma NIST SP 800-171 define os requisitos para a proteção de CUI em sistemas não federais. O CMMC Nível 2 está diretamente alinhado com os 110 requisitos de segurança especificados na NIST SP 800-171 Rev 2. A conformidade com a norma NIST 800-171 é a base para atingir o nível 2 do CMMC.

O que é um C3PAO?

Uma Organização de Avaliação de Terceiros CMMC (C3PAO) é uma organização acreditada pelo Organismo de Acreditação CMMC (The Cyber AB) autorizada a efetuar avaliações de certificação CMMC de Nível 2.

Podemos utilizar serviços de nuvem (como AWS, Azure, Google Cloud) para o CMMC?

Sim, mas o ambiente do provedor de serviços de Cloud (CSP) deve atender a requisitos específicos. Para contratos que exigem CMMC Nível 2, os contratantes podem usar ofertas de CSP que sejam autorizadas pelo FedRAMP Moderado (ou Alto) ou equivalente. As responsabilidades pelos controlos são partilhadas entre o contratante e o CSP, o que exige uma documentação cuidadosa (por exemplo, a Matriz de Responsabilidade Partilhada).