CMMC 2 将实质性扩大网络和法规合规市场

CMMC 2.0 将实质性扩展网络和法规合规市场 美国政府正在制定新的网络安全规定，这将促使与国防部（DoD）签订合同的约22万多家公司寻求第三方的帮助以达到合规要求，从而加强一个新兴且分散的服务和软件提供商生态系统，该生态系统正准备吸引投资。 同行和相近对手继续在下一代技术上进行大量投资，促使联邦政府加强对国防工业基础（DIB）的安全监管。1—特别是与知识产权（IP）、先进技术和信息安全相关。这种关注已经体现为一系列被称为“网络安全2.0”的规则，预计这些规则将与成熟度模型认证（CMMC）同步生效。到 2025 年， 迅速扩大提供 CMMC 评估的第三方市场 ， 从 5600 万美元增加到 2031 年的 35 亿美元。2 为了推动面向DoD承包商的CMMC咨询生态系统的发展和扩张，这一举措提供了两种执行路径：一是通过收购并构建（Buy-and-Build），二是为财务赞助方提供机会。考虑到现有咨询公司的当前规模和分散情况， 汇总策略。 行业评论 + 1 704 969 1583 Josh Ollekjollek @ williamblair. comGordie Vap + 1 704969 1581gvap @ williamblair. com 在本报告中，William Blair的航空航天、国防与政府服务团队与Arnovia（一家为航空航天、国防与政府服务市场提供交易和增长战略服务的领先提供商）合作，概述了不断演变的威胁 landscape，新的合同监管现实，支持合规的第三方崛起，以及第三方领域内的投资机会。 B. T. Remmert + 1 470 351 6927bremmert @ williamblair. com 库珀 · 布拉德利 + 1 704969 1789cbradley @ williamblair. com 重新制定的联邦标准将超越机密计划信息 (CUI) 还包括受控未分类3为了保护可能不包括某些贸易数据的信息，在努力使其得到保密。尽管该信息已被国防分类，但仍具有敏感性。承包商和分承包商将需要根据其对受保护分类信息（CUI）的访问级别，展示其网络安全计划的“成熟度”，以符合新的标准。因此，主要承包商将不会4仅负责确保自己的合规性 ， 但负责分包商的合规性。 下一代威胁景观 美国最大的竞争对手正在积极窃取其知识产权和国家安全机密，以缩小国家间的能力建差距。2016年，一名中国公民在美国被判有罪，涉嫌参与源自中国的“非法获取敏感军事数据”的阴谋，包括与美国F-22类似的军用飞机相关数据，此时中国正在开发类似美国F-22和两种隐形战斗机——J-20（以及）和两架隐形战斗机。FC - 31Gyrfalcon(类似于 第三方进行 CMMC 评估的需求可能越来越大 美国 F - 35) 。5在2021年，一个联邦陪审团裁定一名中国情报机构主导的航空贸易机密……相关的官员“企图窃取行业机密”。GE 航空独家的复合材料飞机发动机风扇。 ”6根据国防部的说法，中国“不仅利用其网络空间能力支持针对美国学术界、经济、军事以及敏感信息的情报收集以获得政治目标，还用于窃取相关信息。”经济和军事优势 ” 。7 要求，以及与联邦风险和授权管理计划（FedRAMP）和国家标准与技术研究院（NIST）相关的问题。 面临《虚假索赔法》（False ClaimsAct）下的潜在法律责任，尤其是在大型合同管理和各种分包关系中主要承包商所处的情况下。这为公司提供了额外的动力，使其能够雇佣第三方协助合规并降低其声明中的风险。对于不受CMMC 2.0更严格要求影响的小型企业而言，认证仍然可以在与DIB企业合作时作为一种竞争优势。 换句话说，DoD承包商对投入资金以保持合规的理解更加深刻。这在CMMC 2.0开始生效时肯定会发生，但很可能在此之前就已发生，因为准备组织工作，尤其是面对新规则，将需要大量的努力。合规过程可能需要大约一年的时间。 在2022年，FBI局长克里斯托弗·赖耶表示，中国的复杂网络攻击计划“比所有其他主要国家的总和都要庞大”，而美国是其主要目标。8但中国并非唯一的威胁。俄罗斯正在利用多种网络战术来识别安全漏洞并访问合同商级别的DIB供应链。近年来，联邦调查局（FBI）、国家安全局（NSA）和网络安全与基础设施安全局（CISA）均“观察到对美国已清关的国防承包商及其分包商的定期目标攻击”。9 可能涉及敏感或机密CMMC 2.0分类的交通可能会将承包商分为三个级别（从五个级别减少到三个）。1类——即处理相对不敏感信息的公司——可以进行自我评估。然而，CMMC认证的提供商仍然可以协助达到该级别的企业。 尽管违规风险很高，但减轻风险并遵守法规的成本无疑是显著的。一些承包商可能尚未意识到他们对网络安全威胁或法规合规性的脆弱性，这主要是由于商业技术的不一致采用以及“影子IT”——即使用第三方IT服务提供商，这些提供商可能会或可能不会使用受到攻击的技术或协议，而公司的IT或安全人员对此并不知情。为了了解威胁的普遍性质以及CMMC 2.0将如何解决这些问题，考虑这一点：向海外技术支持台上的某人展示被视为“不得向外国国民披露”的文件将违反新的要求。 然而，处于第2级和第3级的机构应避免不准确的自我认证。第三方评估组织将被要求使用认证的方法。12进行审计。第二级涵盖了近77,000家DIB公司，并且必须在评估中满足110项要求。第三级涵盖了大约1,400家公司，必须满足第二级的要求以及政府主导评估中的其他NIST要求。（C3PAO）这些过程将部分用于执行CMMC审计，涉及使用合格的第三方进行审计。在准备 CMMC 评估所需的文件之前。 为了在其庞大的供应链中实施统一的网络安全标准，国防部于2019年宣布了CMMC（Cyber Maturity ModelCertification）的发展，并在2020年推出了CMMC 1.0。作为最新的标准更新，CMMC 2.0更为全面，将对试图获取国防部商业机会的公司产生重大影响。 承包商的新现实 根据 CMMC 2.0 ， 承包商将被要求提交合规性11 This CMMC 广泛符合国防部的零信任策略，该策略旨在“到2027年减少攻击面、实现风险管理及合作伙伴环境中的有效数据共享，并迅速遏制和修复敌对活动”。10因此，国防承包商将需要采用并实际上正向“零信任”立场过渡，以防止意外的内部威胁暴露。鉴于最近的监管趋势，许多承包商越来越愿意寻求第三方专家的帮助，以获取合规支持，安装和管理旨在满足“零信任”要求的身份访问控制措施。 以及对寻求 CMMC 合规性的组织的审计。联邦注册公报，《国防部关于网络安全成熟度模型认证（CMMC）项目的拟议规则》，发布日期：2023年12月26日。12. 13. 一个由网络安全成熟度模型认证机构（CMMC-AB）授权和认证的独立实体，负责进行评估资料来源: 市场评估服务的市场规模从第一年第三方支持 CMMC 2.0 的兴起 CMMC 2.0 概述17 的5600万美元增长到2031年的350亿美元，如上文所述，这代表了接近100%的复合年增长率。14这一增长源于计划中的分阶段评估 rollout——并非所有承包商将在第一年接受评估——以及其后每三年所需的重新评估。这些预计的成本仅涵盖评估、规划和报告，而安全要求的实际实施则包含在其他联邦法规中。 扩展国防部（DoD）与其承包商和分包商共享的敏感信息的保护措施。 国防工业基地(DIB) 超过 22 万家公司 受影响最大的公司 近 77, 000 家处理更敏感信息的公司(第2 级和第 3 级) 时间线提议的规则于2023年12月发布， 并且公众评论期于2024年2月结束；分阶段实施将于2025年初开始，全面整合预计将在2028年完成。 威胁、法规和经常性收入 也有几个领域的投资者投资机会可以探索与相邻服务提供商相关的机遇，这些提供商能够应对CMMC变化：C3PAO领域，以及开发实施C3PAO审计发现的SaaS工具的开发者。评估和监控合规性。所有这些机会将与CMMC 2.0的七年分阶段推出同步扩展。被评估的DIB承包商数量将在第七年达到峰值，因为要求在公司中全部完成实施，并且每三年一次的评估再次到期。 The CMMC评估服务提供商市场包括许多已经着手准备同步扩展的小型提供商，以应对新的法规。但还将出现大量专注于CMMC合规性的高度专业化小型企业，这将创造一个动态且具有整合机会的市场。截至11月，市场正处于快速发展阶段，显示出显著的增长潜力。2023年 ， 大约有 450 份申请等待 50 份授权的 C3PAO ， 其中有更多从其他公司寻求15 CMMC 2.0的三年一次的审查和评估将对DIB承包商带来持续的合规负担。不断演变的威胁态势，以及其他宏观因素共同导致这一情况。原因在于承包商将 likely 依赖第三方对内部系统进行持续管理，并获取必要的更新以保持合规。 重要的是，提供CMMC服务和解决方案的主要对接对象是政府承包商，而不是政府本身。这减少了与合规要求相关风险的暴露，减少了需要与多个机构完成销售对接的需求，以及合同问题如延迟付款或其他特定于政府的怪异情况的风险，这些风险可能导致合同抗议。C3PAOs专注于业务发展职能 ， 通常由昂贵的中后期职业专业人士组成。 认证。鉴于威胁 landscape 的不断演变，未来几年内除了 CMMC 2.0之外很可能还会出台更多监管措施，第三方支持的强烈需求并未显示出任何减缓的迹象，尤其是对于服务于 DIB 承包商的机构。其他机遇方面，清晰明了，包括提供差距评估和持续维护以支持CMMC合规性和商业应用的持续性，尤其是在CMMC之外的非DIB公司和机构。第三方可以通过客户获取实现适当的规模扩大，从而提高成功几率，并通过投资自动化工具（特别是差异化软件解决方案）来降低成本。这将为与战略合作伙伴进行资本和交易经验的战略合作提供机会。 重要的是，国防行业在某种程度上是非周期性的，这有助于CMMC合规性，意味着合格的第三方能够提供稳定的支持。可能不受影响其他网络安全或科技导向企业所面临的相同宏观趋势。这些公司支持为国家安全使命关键工作提供服务的客户，从而确保其服务的持续需求。 因此，收购专注于CMMC的服务提供商实际上使购买方能够创建针对政府的“合成长期”投资于联邦数字现代化，这是一种常青的资产，能够捕获销售带来的利益。预算充足的客户，用于IT现代化改造，同时减少了政府合同中许多常见的缺点，包括与政府部门合作。 这是我们在国家安全技术系列文章中的第三篇，也是我们与合作伙伴共同撰写的首篇文章。Arnovia 的顾问。要了解有关 CMMC 机会的更多信息 ， 请不要犹豫与 WilliamBlair 或 Arnovia 联系。 金融赞助商。 "William Blair" 是对威廉·布莱尔及公司（William Blair & Company, L.L.C.）、威廉·布莱尔投资管理有限公司（William Blair Investment Management, LLC）以及威廉·布莱尔国际有限公司（William Blair International, Ltd.）的统称。威廉·布莱尔及公司（William Blair & Company, L.L.C.）和威廉·布莱尔投资管理有限公司（William Blair Investment Management, LLC）均为位于特拉华州的公司，并受美国证券交易委员会监管。威廉·布莱尔及公司（William Blair &Company, L.L.C.）还受到金融行业监管署（Financial Industry Regulatory Authority）及其他主要交易所的监管。威廉·布莱尔国际有限公司（William BlairInternational, Ltd.）由英国金融行为监管局（Financial Conduct Authority, FCA）