События

Пентагон заморозил обязательные кибераудиты подрядчиков

Маша Даровская
By Маша Даровская , IT-редактор и автор
Пентагон заморозил обязательные кибераудиты подрядчиков
Обложка © Anonhaven

Пентагон остановил переход ко второй фазе программы Cybersecurity Maturity Model Certification — сертификации по модели зрелости кибербезопасности. С 10 ноября 2026 года американские военные заказчики должны были шире применять обязательные проверки поставщиков независимыми аудиторами. Новый срок пока не установлен.

Решение не отменяет требования к защите данных и не освобождает подрядчиков от действующих условий контрактов. Первая фаза CMMC с самооценкой остаётся в силе. Пауза затрагивает расширение внешней сертификации и последующие этапы внедрения программы. Пентагон одновременно запустил 60-дневный пересмотр всей модели.

Главными причинами ведомство назвало высокую стоимость подготовки, нехватку аккредитованных проверяющих организаций и сложные регуляторные сроки. Эти факторы особенно сильно влияют на небольших производителей и технологические компании, которые раньше не работали с оборонными заказами.

Информация

Фаза II и уровень 2 обозначают разные вещи. Уровень показывает, насколько чувствительную информацию получает подрядчик и какие меры защиты ему требуются. Фаза определяет, когда Пентагон начинает включать соответствующие условия в новые закупки и контракты. CMMC состоит из трёх уровней: Первый предназначен для компаний, обрабатывающих сведения федерального контракта — Federal Contract Information, или FCI. Это несекретные данные, которые государство предоставляет поставщику либо которые создаются при исполнении договора. Второй уровень применяется к контролируемой несекретной информации — Controlled Unclassified Information, или CUI. Она формально не относится к государственной тайне, но может содержать техническую документацию, схемы изделий, характеристики оборудования, результаты исследований и сведения о военных поставках. Третий уровень предназначен для наиболее значимых систем с CUI, которым требуется защита от подготовленных целевых атак. Его должны проверять специалисты государственного Центра оценки кибербезопасности оборонно-промышленной базы.

Фаза I стартовала 10 ноября 2025 года. Заказчики начали включать в контракты требования первого уровня и отдельные варианты второго уровня, где допускалась самооценка.

Фаза II должна была начаться через год. На этом этапе контракты с чувствительной информацией чаще требовали бы сертификат уровня 2, выданный независимой CMMC Third-Party Assessment Organization — аккредитованной организацией внешней оценки, сокращённо C3PAO.

Именно этот переход сейчас остановлен. Сам уровень 2 из модели не удалили.

Пентагон приостановил переход ко второй фазе, а также ожидаемые и будущие контрольные сроки внедрения CMMC в закупках и контрактах. Третью фазу ранее планировали начать в ноябре 2027 года. Она должна была добавить контракты с требованиями третьего уровня. Полное внедрение ожидалось к 2028 году. Эти даты теперь нельзя считать действующими. Ведомство вернётся к календарю после завершения пересмотра либо выпустит новую схему внедрения.

На время пересмотра Пентагон продолжит требовать выполнение NIST Special Publication 800-171 Revision 2. Этот стандарт Национального института стандартов и технологий США описывает защиту контролируемой несекретной информации в системах частных организаций.

Требования охватывают управление учётными записями, разграничение доступа, многофакторную проверку входа, журналы событий, реагирование на инциденты, резервное копирование, настройку оборудования и защиту каналов связи. Стандарт применяется к компонентам, которые хранят, обрабатывают или передают CUI.

Соответствие будут проверять через самооценки и отдельные оценки, проводимые государственными специалистами. Ведомство заявило о намерении сосредоточиться на практической защищённости систем, а не на количестве подготовленных документов и сертификатов.

Такой подход уменьшает нагрузку на поставщиков, но возвращает старую проблему CMMC: компания фактически cfvf оценивает собственную готовность. Программа первоначально создавалась именно потому, что прежняя модель самооценки не обеспечивала одинакового качества защиты у тысяч участников цепочки поставок.

Подрядчики и субподрядчики по-прежнему обязаны защищать военную информацию по пункту 252.204-7012 Дополнения к федеральным правилам оборонных закупок — Defense Federal Acquisition Regulation Supplement, или DFARS.

Это условие требует обеспечить достаточную безопасность систем, где находится защищаемая оборонная информация, а также сообщать о киберинцидентах. Оно действует независимо от переноса внешней сертификации CMMC.

Компания не сможет законно хранить CUI в незащищённой сети, сославшись на остановку второй фазы. Пауза означает, что в ближайшее время у части поставщиков не будут требовать сертификат C3PAO как обязательное условие нового контракта.

Само выполнение требований NIST остаётся частью договорных обязательств. Недостоверная самооценка также может привести к расторжению договора, финансовым требованиям или разбирательству по американскому закону о ложных заявлениях государству.

Пересмотром займётся CMMC Reform Task Force — рабочая группа по реформированию CMMC. Ей поручено разобрать программу целиком и представить итоговый доклад руководителю информационного направления Пентагона через 60 дней.

Группа должна собрать замечания поставщиков через публичный запрос информации и предложить более масштабируемые меры безопасности. Отдельное внимание уделят малому бизнесу, средним предприятиям и нетрадиционным поставщикам.

Нетрадиционным поставщиком обычно называют компанию, которая создаёт полезную для оборонного заказчика коммерческую технологию, но не имеет многолетнего опыта участия в военных закупках. К этой категории могут относиться разработчики программного обеспечения, робототехники, беспилотных систем, искусственного интеллекта и специализированной электроники.

Пентагон считает, что расходы на CMMC мешали таким компаниям выходить на рынок. Рабочая группа должна сохранить обязательный уровень защиты и одновременно уменьшить стоимость входа в оборонную цепочку поставок.

Главным изменением второй фазы должно было стать массовое применение C3PAO. Эти организации проводят сертификационные проверки второго уровня и выдают заключения, необходимые для участия в соответствующих закупках.

C3PAO должна получить разрешение официального органа аккредитации The Cyber AB, пройти собственную проверку, иметь сертифицированных специалистов, страхование ответственности и утверждённый порядок рассмотрения жалоб.

Подготовить достаточное число таких организаций к ноябрю не удалось. Пентагон отдельно указал на серьёзную нехватку мощностей для сторонних проверок.

Проблема создаёт очередь ещё до обязательного запуска второй фазы. Часть программных подразделений уже требовала внешнюю оценку в отдельных закупках. После расширения правил спрос мог резко превысить количество доступных аудиторских команд.

Предыдущая оценка предполагала, что обязательные сторонние проверки со временем могут затронуть около 80 тысяч компаний. Реальный объём зависел бы от числа контрактов с CUI и решений конкретных заказчиков.

Вопросы и ответы

Пентагон полностью отменил CMMC?

Нет. Приостановлена вторая фаза внедрения и последующие контрольные сроки. Первая фаза с самооценками остаётся в силе.

Что должно было произойти 10 ноября 2026 года?

Заказчики должны были шире включать в новые контракты требование сертификации второго уровня независимой организацией C3PAO.

Фаза II и уровень 2 — одно и то же?

Нет. Фаза обозначает этап календарного внедрения программы. Уровень описывает требования к защите информации.

Нужно ли подрядчикам продолжать выполнять NIST SP 800-171?

Да. Пентагон прямо сохранил стандарт и планирует контролировать его через самооценки и выборочные государственные проверки.

Можно ли прекратить подготовку к внешнему аудиту?

Техническую подготовку прекращать рискованно. Большая часть работ нужна для действующих контрактных требований, а обязательная сертификация может вернуться в изменённой форме.

Что будет с уже выданными сертификатами?

Пентагон не объявлял их недействительными. Их применение зависит от конкретных контрактов и последующих указаний.

Почему программу остановили?

Ведомство указало на высокую стоимость, сложность правил, нехватку внешних аудиторов и уход небольших компаний из оборонных закупок.

Кто проводит внешние проверки второго уровня?

Их проводят C3PAO — организации, аккредитованные официальным органом The Cyber AB.

Должны ли субподрядчики соблюдать требования?

Да, если они получают FCI, CUI или обслуживают информационные системы, где такие данные обрабатываются.

Когда появятся новые правила?

Рабочая группа должна представить рекомендации через 60 дней. Дата возобновления второй фазы пока не объявлена.

Есть новость? Станьте автором.

Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.