CMMC Phase 2: новый контрактный барьер для CUI

CMMC Phase 2 превращает кибербезопасность из цели в обязательное условие для получения DoD и GSA контрактов.

2026-05-12 GIGATAP Team #security
#CMMC#NIST-800-171#DoD

CMMC Phase 2: новый контрактный барьер для CUI

CMMC Phase 2 — это этап, на котором кибербезопасность перестает быть просто целевым требованием политики и становится обязательным условием контракта. Для defense suppliers, software vendors и всех, кто работает с Controlled Unclassified Information (CUI), этот сдвиг важен потому, что меняется сам вопрос: не «Пытаемся ли мы соответствовать требованиям?», а «Имеем ли мы право участвовать в тендере?»

Практическое влияние шире, чем можно подумать, если смотреть только на сроки DoD. К 10 ноября 2026 года компаниям, претендующим на определенные контракты Department of Defense, потребуется third-party assessment и сертификация CMMC Level 2 как условие получения контракта. Одновременно с этим новые контракты GSA уже требуют соблюдения базового уровня NIST SP 800-171 без какого-либо переходного периода. Если ваша организация работает с федеральными проектами сразу в нескольких ведомствах, прежнее разделение между defense compliance и civilian compliance быстро исчезает.

Это не теоретическое обновление политики. Это фильтр закупок.

Что меняется в Phase 2#

CMMC Phase 2 делает сертификацию Level 2 обязательным барьером для соответствующих контрактов DoD. Это означает, что self-attestation и неформальный подход в духе «у нас где-то эти controls есть» больше не работают. Если ваша организация попадает в scope, third-party review становится частью пути к получению контракта.

Почему это отличается от прежних compliance-инициатив#

Многие команды воспринимали NIST SP 800-171 как стандарт best-effort: важный, но на практике достаточно гибкий. Phase 2 убирает эту гибкость для контрактов, которые попадают под требования. Сами controls по-прежнему основаны на NIST framework, но модель enforcement меняется.

Это важно, потому что теперь работа по compliance напрямую влияет на сроки получения выручки. Вы больше не просто снижаете риски. Вы доказываете свое право участвовать в закупке.

Кому стоит обратить внимание#

Если ваша организация:

  • работает с CUI,
  • поддерживает DoD prime contractor или subcontract,
  • разрабатывает software, используемое в defense workflows,
  • или впервые выходит на федеральный рынок,

то scope CMMC — это уже не гипотетический, а вполне актуальный вопрос.

Частая ошибка — считать, что беспокоиться должны только prime contractors. На практике давление CMMC распространяется вниз по supply chain. Если prime contractor хранит, обрабатывает или передает CUI с вашей помощью, ваша среда может стать частью их compliance-модели.

Почему требование GSA меняет правила игры#

Самая важная вторичная мысль в статье — тот факт, что тот же базовый уровень NIST 800-171 теперь появляется и в новых контрактах GSA, причем без периода поэтапного внедрения. Это означает, что организации со смешанным федеральным портфелем больше не могут рассчитывать на то, что compliance можно отложить до наступления дедлайна DoD.

DoD и гражданские ведомства сходятся к одной и той же baseline#

Исторически некоторые команды могли рассматривать defense compliance и compliance для гражданских агентств как отдельные направления работы. Это разделение исчезает. Если вы выстраиваете controls для CUI, ожидание все больше выглядит как единая федеральная baseline:

  • последовательно защищать CUI,
  • документировать controls,
  • и быть готовыми это доказать.

Для поставщиков это дает преимущество в планировании, если заняться этим заранее. Если вы строите процессы по одной baseline сразу для разных ведомств, позже не придется дублировать усилия. Если ждать, можно внезапно обнаружить, что гражданский контракт уже требует той же дисциплины, которую вы считали актуальной только для DoD.

Отсутствие переходного периода означает отсутствие мягкой посадки#

Отсутствие переходного периода в новых контрактах GSA — это главный сигнал предупреждения. Он убирает привычное ощущение, что «после публикации правила у нас еще будет время». Для новых федеральных проектов требуемая планка compliance может уже действовать в тот момент, когда появляется возможность участия.

С точки зрения контракта это жесткий стоп-фактор. Если вы не готовы, вы рискуете не только провалить audit — вас могут просто не допустить к получению контракта.

Что на практике требует Level 2#

CMMC Level 2 основан на NIST SP 800-171 и предназначен для защиты систем, работающих с CUI, поддержания их под мониторингом и обеспечения auditability. Источник выделяет несколько областей controls, которые особенно важны.

Ключевые области controls, которые быстро выходят на первый план#

Как минимум, командам стоит ожидать давления в следующих направлениях:

  • multi-factor authentication (MFA),
  • encryption для CUI at rest и in transit,
  • continuous vulnerability scanning и remediation,
  • удаление unsupported и end-of-life systems,
  • и наличие документированных evidence, которые выдержат независимую assessment.

В теории эти требования знакомы многим. Самая сложная часть — реализовать их в реальной, неоднородной среде.

Auditability — это тоже часть требований#

Именно здесь многие команды недооценивают объем работы. Compliance — это уже не просто настройка инструментов. Это подготовка evidence, которые сможет проверить third-party assessor.

Такие evidence могут включать:

  • system security documentation,
  • SBOMs,
  • отчеты STIG scan,
  • сертификаты FIPS CMVP,
  • и remediation records, подтверждающие, что controls не просто спроектированы, но и поддерживаются в рабочем состоянии.

Если вы не можете продемонстрировать control, этот control не поможет вам во время assessment.

Где команды теряют время: crypto и continuous remediation#

Источник указывает на две области, которые создают…