Pentagon zastavil certifikační program. Co vlastně znamená pro dodavatele obrany?

Pentagon pozastavil druhou fázi svého kybernetického certifikačního programu CMMC, ale to neznamená uvolnění bezpečnostních požadavků. Ochrana údajů obranu zůstává prioritou, pouze se mění přístup k jejich ověřování.
Americké ministerstvo obrany se rozhodlo pozastavit druhou fázi svého ambiciózního programu CMMC (Cybersecurity Maturity Model Certification). Zatímco řada dodavatelů a obranných podnikatelů to vnímá jako úlevu, ve skutečnosti jde o mnohem složitější rozhodnutí, které mění pouze tempo implementace, nikoli její obsah. Kybernetická bezpečnost se neodkládá – pouze se přehodnocuje způsob jejího zajišťování.
Program CMMC byl původně navržen jako komplexní systém certifikace zaměřený na posílení kybernetické obrany v dodavatelském řetězci ministerstva obrany. Druhá fáze měla zavést přísná pravidla a povinná certifikační řízení pro všechny dodavatele, což vyvolalo značné obavy ohledně nákladů a administrativní zátěže. Pozastavení nyní umožňuje ministerstvu přehodnotit a zjednodušit požadavky tak, aby byly lépe přizpůsobeny skutečným potřebám obrany bez zbytečného zatěžování menších firem.
Co však zůstává zcela jasné: bezpečnostní standardy se nesnižují. Naopak, ministerstvo obrany zdůraznilo, že základní požadavky na ochranu citlivých informací a údajů zůstávají v plné platnosti. Dodavatelé, kteří se zaměřují na vývoj obranných technologií, nemohou spoléhat na to, že by se kybernetická bezpečnost stala volitelnou záležitostí. Pozastavení je spíše příležitostí k přehodnocení strategií než k jejich zrušení.
Průmyslové kruhy v České republice pozorují situaci s zájem. Řada domácích technologických firem spolupracuje s americkými subjekty na obranných projektech a rozumí, že globální bezpečnostní standardy se postupně harmonizují. Bez ohledu na momentální pozastavení CMMC Phase II si mohou všechny firmy sázející na obranné smlouvy přistoupit k укреплению svých vlastních bezpečnostních infrastruktur – jde o dlouhodobou investici, která se vyplací.
Experti upozorňují, že překotné zavádění certifikačního programu bez jeho dostatečného otestování by mohlo více uškodit, než prospět. Pozastavení nabízí čas na konsultace s průmyslem, zlepšení procesů a vytvoření realističtějších harmonogramů implementace. Cílem zůstává totéž: zajistit, aby americká obrana měla spolehlivé partnery s vyspělou kybernetickou bezpečností. Prakticky to znamená, že místo единičných velkých opatření bude následovat více střízlivý a krok za krokem přípravený přístup.
Pro dodavatele, kteří již s přípravou na CMMC začali, to rozhodně není důvod k zastavení jejich snah. Naopak – firmy, které budou v budoucnu prosazovat certifikace, získají konkurenční výhodu a budou připravené na kterýkoli scénář, který ministerstvo obrany nakonec zvolí. Kybernetická bezpečnost zůstává jednou z nejdůležitějších součástí obranné strategie, a to se v dohledné době nezmění.
Zdroj: Forbes Innovation
Rubrika: Business