עושים עסקים עם ממשלת ארה”ב? תקן חדש יקבע סטנדרט בהגנת סייבר ויחול על הספקים של מחלקת ההגנה האמריקאית ובהמשך על ספקים של סוכנויות ממשלתיות נוספות

חברות ישראליות המשמשות ספקיות לממשלת ארה”ב, במישרין או כקבלניות משנה, עשויות למצוא את עצמן בקרוב מתמודדות עם תקן חדש. בשל חשש מפני איומי סייבר בקרב ספקי מחלקת ההגנה האמריקאית (DoD), הוחלט להחיל עליהם תקן אחיד – “מודל הסמכה לבשלות בהגנת סייבר” (Cybersecurity Maturity Certification Model; CMMC). התקן יחול בשלב הראשון על כ- 300,000 הקבלנים בשרשרת האספקה של מחלקת ההגנה, מכלל הסקטורים.

דרישות תקן ההסמכה צפויות להיות תנאי להשתתפות במכרזים של מחלקת ההגנה כבר בשלבי ההגשה אליהם (RFI, RFP). הדרישות יחולו על כל הספקים בכל הקטגוריות בשרשרת האספקה, ובכלל זאת עסקים קטנים וספקים זרים. יתר על כן, צפוי כי בעתיד, מעבר לספקים של מחלקת ההגנה, ספקים של כלל הרשויות הפדרליות בארה”ב, אזרחיות וצבאיות, יהיו כפופים לתקן ההסמכה להגנת סייבר.

מהו מודל הסמכה לבשלות בהגנה בסייבר (CMMC)?

מודל ההסמכה לבשלות בהגנת סייבר מגדיר חמש רמות המשקפות את היכולת של תשתית אבטחת סייבר לשמור על מידע ממשלתי רגיש במערכות המידע של הספק. חמש הרמות מדורגות, ועמידה בדרישותיה של כל רמה מהווה בסיס ותנאי לעמידה ברמה שמעליה.

אישור העמידה בתקן עבור חברות וספקים יבוצע על ידי מבקרים חיצוניים שיוסמכו לכך. יחידת ההסמכה של התקן (CMMC Accreditation Body; CMMC-AB) קבעה נהלים וסטנדרטים להסמיך בודקים ומעריכים שיהיו צד-שלישי ובלתי תלויים (Certify Independent Third-Party Assessment Organizations; CP3AOs) ויבחנו את רמות הבשלות בקרב הספקים.

רמת התקן הנדרשת תיקבע בהתאם לגודל החברה ומידת הרגישות של החוזה הממשלתי. כך למשל, קבלן ראשי העוסק במערכת נשק גדולה ובהיקף של מיליארדי דולרים יזדקק להסמכה ברמה 5, בעוד שעסק קטן שהינו ספק בדרג שלישי צפוי להזדקק להסמכה ברמה 1.

צעדים מומלצים לחברות וספקים ישראלים לקראת ההטמעה של התקן החדש

  1. במידה והפעילות העסקית של החברה הינה מול מחלקת ההגנה, יש להתחיל לפעול באופן מידי להתאמה לדרישות התקן. במידה וההתקשרות של החברה הינה למול סוכנות ממשלתית אמריקאית אחרת, על החברה להיות מודעת לתקן ולבחון היערכות לעמידה בדרישותיו בעתיד.
  1. מומלץ לשקול יצירת קשר עם מבקר מוסמך שיוכל הן לסייע לחברה לעמוד בדרישות תקן ההסמכה והן לספק את האישור הנדרש. לנספחות משרד הכלכלה והתעשייה בשגרירות ישראל בוושינגטון קשר עם מספר ארגונים המעוניינים לסייע לחברות ישראליות לעמוד בדרישות התקן.

לסיכום, הכנה ראויה ומקדימה תאפשר ביתר קלות עמידה בדרישות תקן מודל ההסמכה לבשלות בהגנת סייבר. כמו כן, תהליך ההתאמה לתקן, בוודאי יביא לשיפור אבטחת הסייבר בקרב החברות והספקים.

חברות ישראליות המעוניינות לקבל מידע נוסף בנושא תקן ההסמכה מוזמנות לפנות לג’וש כהן במחלקה הכלכלית-מסחרית בשגרירות ישראל בוושינגטון.

האמור בפרסום זה אינו מהווה ייעוץ משפטי, ואינו יוצר מחויבות משפטית מצד כל מי שכתב, ערך, תרגם או מצוין בפרסום. כל פעולה שנעשית על סמך המידע והפרטים המופיעים בפרסום היא באחריות המשתמש בלבד. מומלץ לקרוא את המסגרות הרגולטוריות במלואן בשפת המקור.

צור קשר עם:

יפעת אלון-פרל

ליצירת קשר לחצו >>

אהבתם? שתפו

שתפו בפייסבוק
שתפו בטוויטר
שתפו בלינקדאין
שתפו במייל