Die DFARS-Compliance ist für Hauptauftragnehmer und Lieferanten des Verteidigungsministeriums schon seit einiger Zeit ein wichtiges Thema. Über 87 % der 2017 abgeschlossenen DoD-Verträge enthielten bereits die DFARS-Klausel 252.204-7012, und große und kleine DoD-Auftragnehmer profitieren von den Vorteilen, die sich aus dem Nachweis einer „angemessenen Sicherheit“ durch die Implementierung von NIST SP 800-171 ergeben, wie wir bei unseren Kunden feststellen. Auf der anderen Seite des Regenbogens der DoD-Cyber-Compliance erleben einige die Schattenseiten des Aufschiebens der Compliance und suchen derzeit händeringend nach einer Lösung, um das Hindernis für den Erhalt von Auszeichnungen zu beseitigen. Wir haben diese Erfahrung aus erster Hand gemacht, da wir unseren Kunden mit CyberStrong geholfen haben, die Vorschriften schnell einzuhalten.
Nach der DoD-Publikation Assessing the State of a Contractor’s Internal Information System in a Procurement Action (Bewertung des Zustands des internen Informationssystems eines Auftragnehmers bei einer Beschaffungsmaßnahme) müssen „Aktionspläne, kontinuierliche Überwachung und der Systemsicherheitsplan (NIST SP 800-171 Security Requirements 312.2-3.12.4) alle Sicherheitsanforderungen berücksichtigen“.
Nach demselben Dokument ist eines der Ziele bei der Bewertung eines Auftragnehmers für die Beschaffung die Bewertung der Umsetzung von NIST SP 800-171 / DFARS 252.204-7012 als separater technischer Faktor zusätzlich zur „angemessenen Sicherheit“, daher wird der Bewerter „den Systemsicherheitsplan (SSP) und den Aktionsplan in den Vertrag selbst einbeziehen“. Beachten Sie: Wenn Sie noch keinen SSP oder POAM haben, sollten Sie in Erwägung ziehen, diese mit der CyberStrong-Plattform zu automatisieren.
Ein weiteres wichtiges Ziel, das es zu beachten gilt, ist, dass die Organisation, die den Vertrag vergibt, „die Umsetzung der Sicherheitsanforderungen von NIST SP 800-171 nach der Vertragsvergabe bewerten/verfolgen“ wird. Dieses Ziel wirkt sich auf Unternehmen aus, die mit Tabellenkalkulationen kämpfen, um die Einhaltung der Anforderungen nachzuweisen – sie sollten den Einsatz einer Live-Plattform für die kontinuierliche Einhaltung der DFARS-Anforderungen wie CyberStrong in Erwägung ziehen, die den Nachweis der Einhaltung und die Verfolgung des Fortschritts leicht, einfach und unkompliziert macht. Nicht nur der Unterauftragnehmer muss die Einhaltung der Vorschriften verfolgen und nachweisen, sondern auch der Hauptauftragnehmer muss alle seine Facetten und Lieferanten verfolgen. CyberStrong macht es sowohl den Zulieferern als auch den Hauptauftragnehmern leicht, den Stand der Konformität zu erkennen und ihre Fortschritte zu verfolgen, um die gebührende Sorgfalt zu zeigen und eine „angemessene Sicherheit“, wenn nicht sogar eine bessere, nachzuweisen.
Vor diesem Hintergrund finden Sie hier eine Liste der Risiken, die Sie eingehen, wenn Sie die Einhaltung der DFARS 252.204-7012 aufschieben oder auf eine Art und Weise handhaben, die den Nachweis der Konformität erschwert, z. B. durch Tabellenkalkulationen. Diese Risiken stammen glaubhaft aus der National Law Review.
Gebote: Die oben erwähnte DoD-Anleitung macht deutlich, dass SSPs und POA&Ms eine Rolle bei der Qualifizierung „angemessener Sicherheit“ spielen, aber wir wissen nicht, welche Rolle sie bei Ausschreibungsprotesten spielen werden. Im ersten Entwurf des Leitfadens heißt es, dass das Verteidigungsministerium auf der Grundlage dieser Dokumente folgende Maßnahmen ergreifen kann: Es kann auf der Grundlage des Implementierungsstatus entscheiden, ob der Auftrag angenommen oder abgelehnt wird, oder es kann die Implementierung „als separaten technischen Bewertungsfaktor“ bewerten. Dies deutet jedoch darauf hin, dass mehr als die in NIST SP 800-171 geforderten Mindestanforderungen erforderlich sein könnten.
Als Organisation im Ausschreibungsverfahren könnten Sie aufgrund von Unstimmigkeiten zwischen Ihrem SSP und POAM und dem Stand Ihrer Cybersicherheit in Bezug auf NIST 800-171 abgelehnt werden. Wenn die Umsetzung von NIST SP 800-171 durch den Zuschlagsempfänger nicht mit den Dokumenten übereinstimmt, wird das Verteidigungsministerium oder der Auftraggeber wahrscheinlich einen anderen Vertrag wählen. Unabhängig davon werden sie den SSP und den POAM zur Überprüfung anfordern, da diese für die Vergabe eines Auftrags im Jahr 2018 entscheidend sind. Wenn Sie in der Vergangenheit einen Fragebogen erhalten haben, sollten Sie sich darüber im Klaren sein, dass Sie mit diesem Dokument noch nicht konform sind und dass diese Konformitätsdokumente für Ihren Erfolg von größter Bedeutung sind.
Beendigung: Um die Einhaltung Ihres SSP und POAM zu bewerten, muss Ihr Vertrag laut Leitfaden Vertragsdatenanforderungen (CDRL) enthalten, die „die Übergabe des Systemsicherheitsplans und etwaiger Aktionspläne nach der Auftragsvergabe verlangen.“ Auch hier gilt: Wenn Sie nicht über eine funktionierende, transparente und einfache Möglichkeit verfügen, diese Dokumente für jeden neuen Vertrag bereitzustellen, sollten Sie sie automatisieren! Die Genauigkeit Ihres SSP und POAM sowie der klare Nachweis, dass Sie auf dem Weg zur vollständigen Einhaltung der Vorschriften sind, sind von größter Bedeutung. SSP und POAM sind Bestandteil Ihres Vertrags, so dass die Nichteinhaltung leicht zur Kündigung führen kann.
DCMA-Audits: Das DoD hat in Präsentationen und online deutlich gemacht, dass die DCMA überprüfen wird, ob der Auftragnehmer über einen SSP und einen POA&M verfügt. Wenn die DCMA noch nicht mit Ihrer Organisation in Bezug auf NIST 800-171 interagiert hat, könnte dies in Ihrer Zukunft liegen.
False Claims Act: Dieses Risiko sollte unbedingt beachtet werden. Die Verwendung des SSP zur Bewertung Ihrer Sicherheitsmaßnahmen und die Verwendung des SSP als Leistung im Zusammenhang mit einem Regierungsvertrag kann das potenzielle Risiko einer Verletzung des False Claims Act für Ihr Unternehmen erhöhen. Beispiel: Ein SSP kann den tatsächlichen Cybersicherheitsstatus eines Auftragnehmers falsch darstellen, und das Verteidigungsministerium kann Maßnahmen aufgrund von Betrug bei der Veranlassung ergreifen. Das Verteidigungsministerium kann nachweisen, dass der Cybersicherheitsstatus eines Auftragnehmers in die Vergabeentscheidung eingeflossen ist, was möglicherweise alle Einnahmen aus dem Vertrag gefährdet.