O que é o CMMC (certificação de segurança da defesa dos EUA)?
O CMMC (Cybersecurity Maturity Model Certification) é o programa do Departamento de Defesa dos Estados Unidos que exige um nível comprovado de cibersegurança de quem quer fornecer para a defesa americana. Ele protege duas classes de informação do governo, a FCI e a CUI, e organiza a exigência em três níveis, do mais básico ao mais rigoroso. Não é só para empresa americana: qualquer fornecedor da cadeia de defesa, incluindo subcontratados fora dos EUA, precisa atingir o nível exigido no contrato. A regra final entrou em vigor em dezembro de 2024 e passou a valer nos contratos a partir de novembro de 2025.
Como o CMMC funciona na prática
O CMMC amarra o direito de fechar um contrato de defesa a uma prova de cibersegurança. O fornecedor não escolhe o nível: ele vem do tipo de informação que o contrato envolve. O ciclo tem quatro passos.
Descobrir o nível exigido pelo contrato
Se o trabalho envolve só informação de contrato (FCI), o Nível 1 basta; se envolve informação controlada não classificada (CUI), o Nível 2 ou 3 entra em cena.
Implementar os controles do nível
O Nível 2 se apoia nos 110 controles do NIST SP 800-171; o Nível 3 acrescenta controles do NIST SP 800-172 para os programas mais críticos.
Ser avaliado no rigor certo
O Nível 1 admite autoavaliação; o Nível 2 costuma exigir avaliação por um terceiro credenciado (C3PAO); o Nível 3 é avaliado pelo próprio governo.
Afirmar e manter
A conformidade é reafirmada periodicamente e registrada. Perder o nível no meio do contrato coloca o próprio contrato em risco.
Fonte: U.S. Department of Defense, regra final do CMMC (32 CFR Parte 170) e NIST SP 800-171 / 800-172.
Os três níveis do CMMC
- Nível 1 (Fundamental) Protege a informação de contrato (FCI) com 15 requisitos básicos de proteção. Admite autoavaliação anual.
- Nível 2 (Avançado) Protege a informação controlada não classificada (CUI) com os 110 controles do NIST SP 800-171. Costuma exigir avaliação por um terceiro credenciado.
- Nível 3 (Especialista) Para os programas mais críticos, soma controles do NIST SP 800-172 aos 110 do Nível 2, com avaliação conduzida pelo governo.
Por que o CMMC virou porta de entrada, não item opcional
O CMMC transformou cibersegurança em pré-requisito de negócio: sem o nível exigido, o fornecedor simplesmente não pode fechar o contrato de defesa. O alcance é grande, o Departamento de Defesa estima entre 220 mil e 300 mil empresas na sua cadeia de fornecimento, das quais cerca de 80 mil precisarão da certificação de Nível 2 por avaliação independente. E a cadeia é global: uma empresa de tecnologia, engenharia ou logística fora dos EUA que atenda um contratante de defesa entra na mesma exigência. Como o nível se propaga pela cadeia, o contratante principal cobra o CMMC dos seus subcontratados, o que empurra a exigência para empresas que nem lidam diretamente com o governo.
Como uma empresa se prepara para o CMMC
Preparação para o CMMC é menos sobre um certificado de última hora e mais sobre operar os controles de base antes de o contrato exigir. O caminho mais direto:
- Saiba se você toca FCI ou CUIÉ isso que define o nível. Muitos fornecedores subestimam e descobrem tarde que lidam com CUI, o que exige o Nível 2.
- Implemente os 110 controles do NIST 800-171São a espinha do Nível 2: controle de acesso, resposta a incidente, proteção de mídia e outros domínios que também elevam a segurança geral da empresa.
- Feche as lacunas com um plano registradoO que ainda não está pronto entra num plano de ação com prazo. O avaliador quer ver a lacuna sendo tratada, não escondida.
- Trate como postura contínuaO nível precisa se sustentar durante todo o contrato, com evidência coletada de forma contínua, não montada às pressas na véspera da avaliação.
Na prática
A pergunta que revela o risco real: a empresa sabe hoje se algum contrato que ela atende envolve CUI, ou descobriria isso só quando o contratante principal pedisse o certificado de Nível 2?
Como a Zamak trata a conformidade com o CMMC
A Zamak Technologies apoia a jornada de CMMC e do NIST SP 800-171 como parte da Governança e Conformidade do Método Zamak: mapeamento dos 110 controles, coleta contínua de evidência e trilha de auditoria sobre uma plataforma de conformidade. Um bom ponto de partida é o Compliance Audit Express, que mostra em minutos onde a empresa está mais exposta.