重點摘要:
- 五角大廈暫停CMMC第二階段第三方認證要求
- 成立60天改革專案小組,審查小型供應商合規成本
- 第一階段自我評估在審查期間維持不變
重點摘要:

五角大廈暫停其國防承包商網路安全認證計畫的下一階段,回應業界對合規成本迫使小型供應商退出國防供應鏈的警告。
美國國防部週一暫停了「網路安全成熟度模型認證」(CMMC)計畫的第二階段。該階段原定於11月10日生效,要求承包商如何保護受控非機密資訊須接受第三方審計。根據國防部聲明,第一階段的自我評估將維持不變,同時新成立的CMMC改革專案小組將對該計畫的未來進行為期60天的審查。
國防部負責採購與後勤的次長麥可·達菲表示:「資訊長的決策確保我們維持嚴格的安全基準,同時消除癱瘓性成本,並讓創新者與競爭在國防供應鏈中持續成長。」
此次暫停源於業界投訴CMMC合規要求增加了官僚負擔,並提高了中小型企業的成本。小型企業管理局報告指出,部分公司因這些要求已退出國防工業基礎,五角大廈表示這導致了關鍵作戰能力的交付延誤。第三階段(原定2027年11月)及第四階段(全面實施)也同步暫停。
CMMC計畫最初在川普首任政府時期推出,並在拜登總統任內進行修訂,旨在保障國防供應鏈中約6萬家公司的受控非機密資訊安全。在此期間,五角大廈將依賴自我評估及部分由政府主導的評估,而非第二階段原定強制實施的第三方認證模式。
合規成本與小型企業的壓力
業界高層數月來一直警告,認證要求對小型承包商影響不成比例。這些企業通常利潤空間較小,且缺乏專職的網路安全合規團隊。國防部自身的數據顯示,一家小型製造商的合規成本可能高達數十萬美元——對於年營收低於1,000萬美元的企業而言,這是難以負擔的數字。
小型企業管理局發現CMMC合規導致部分公司退出國防工業基礎,這一現象與先前聯邦採購改革中的模式如出一轍。2018年五角大廈依據DFARS 252.204-7012條款收緊承包商IT安全要求後,政府問責署的報告指出,22%的小型國防承包商曾因合規成本而考慮退出合約。
CMMC改革專案小組將審查針對週一發布的資訊徵詢所收到的回應,徵求對成本驅動因素、行政負擔以及哪些NIST 800-171安全控制措施能帶來實質性風險降低的意見。國防部還希望了解企業如何使用商用網路安全工具與管理服務,以及這些工具是否能取代獨立的評估。
國防工業基礎面臨的風險
此次暫停代表該計畫發展多年的一項重大政策轉向。五角大廈的決策與國防部長皮特·赫格塞斯的採購指令一致,這些指令優先考慮速度並降低新進業者的門檻,同時以「可擴展、具韌性的網路安全措施」取代國防部所謂的「官僚式合規」。
對國防供應鏈而言,暫停舉措可能扭轉供應商退出的趨勢並改善競爭。洛克希德馬丁、RTX及諾斯洛普格魯曼等大型主承包商依賴數千家小型供應商網絡,提供從機械加工零件到專用電子元件等各類組件。供應商基礎的萎縮引發了對主要武器計畫成本上漲與交付延誤的擔憂。
對五角大廈資訊徵詢的回應截止日期為8月14日,之後專案小組將就該計畫的未來結構提出建議。
本文僅供資訊參考,不構成投資建議。