防衛請負業者の皆さん、サイバーセキュリティの遵守が本格化しました
国防総省(DoD)は、防衛契約の世界を揺るがす新たな規則を発表しました。2024年8月15日に公開された48 CFR パート204、212、217、および252の改正は、Defense Federal Acquisition Regulation Supplement(DFARS)の一部であり、サイバーセキュリティを全体的に強化することを目的としています。これらの改正は単なる形式的なものではなく、防衛関連のビジネスに関わるすべての人にとって大きな転機となります。
何が変わるのか?CMMC規制はここに定着
Cybersecurity Maturity Model Certification(CMMC)が、DFARSの2つの新しい条項(DFARS 252.204-7XXXとDFARS 252.204-7021)に組み込まれました。これらの条項は単なる文言ではなく、法的に拘束力を持ちます。Controlled Unclassified Information(CUI)やFederal Contract Information(FCI)を扱う場合は、サイバーセキュリティがしっかりしていることを証明し、それを維持する必要があります。DoDは、もはや手加減しません。
見逃せないポイント
1. 遵守コストの現実: 必要なCMMCレベルを達成し維持することには、かなりの費用がかかります。特に中小企業にとっては、これは大きな負担となる可能性があります。DoDは、4年目までに約20,395の中小企業がこれに対応しなければならないと見積もっています。
2. CMMCレベルの競争: 新しい契約を獲得するためには、指定されたCMMCレベルが必要になります。適切なレベルの認証がなければ、入札することすらできません。競争はさらに激化します。
3. サプライチェーン管理の厳格化: 下請け業者がいる場合は、その業者も適切な認証を受けていることを確認しなければなりません。新しい規則では、下請け業者の遵守についても責任を負うことになります。
4. 事務負担の増加: 年次コンプライアンスの確認やシステム変更の報告が求められるため、事務作業が増えることは間違いありません。一つの手順を逃すと、大きな問題になる可能性があります。
5. 監視の強化: DoDは、これまで以上に厳しくサイバーセキュリティ対策を監視するでしょう。コンプライアンスを維持できない場合、契約の解除などのペナルティを受けるリスクがあります。
遅れを取らないために
時間は刻々と過ぎています。2024年10月15日までに、新しい規則に対する意見を提出する必要があります。それ以降は、段階的な実施が開始され、4年以内に完全な遵守が求められます。この機会を逃すと、今後の防衛契約から締め出される可能性があります。
これは単なる規則変更ではなく、DoDがその請負業者にサイバーセキュリティをどのように管理するかを大きく変えるものです。リスクがこれまで以上に高まっているため、今すぐ対策を講じ、遵守体制を整えることが不可欠です。将来の契約は、それにかかっています。
詳細については、FFI Systems LLC の専門家に連絡してください。
上記の提案された改正の全文や専門家の分析を確認し、必要に応じて法律やサイバーセキュリティの専門家に相談してください。
It Just Got Real