来源:环球市场播报
美国国防部 13 日宣布,暂停推进其 " 网络安全成熟度模型认证 "(CMMC)项目的第二阶段第三方评估要求,并针对该认证项目启动一项为期 60 天的 " 自上而下 " 的全面审查。此举意味着美军方长期推行的承包商网络安全合规机制面临重大调整。
美国国防部首席信息官基尔斯滕 · 戴维斯(Kirsten Davies)在 13 日签署的备忘录中指出,国防部决定暂停原定于 2026 年 11 月 10 日启动的 CMMC 第二阶段要求。按照原计划,该阶段将强制要求所有涉及敏感但非机密信息合同的国防承包商接受第三方网络安全评估。戴维斯表示,去年 11 月生效的第一阶段自评估要求目前依然有效,但所有悬而未决及未来的 CMMC 里程碑时间点均将 " 暂停并等待进一步通知 "。
国防部官员透露,此次叫停和审查的核心逻辑,在于当前 CMMC 机制的烦琐程序与美国国防部长皮特 · 海格塞斯(Pete Hegseth)推行的 " 武器装备采购转型系统 " 倡议存在严重冲突。海格塞斯的采购改革旨在消除行政官僚主义并促进技术创新。
戴维斯在备忘录中强调,当前版本的 CMMC 认证机制虽然旨在提升安全,但给美国国防工业基础(DIB),尤其是作为创新引擎的小型及非传统企业带来了巨大且往往是排他性的行政与财务负担。国防部的数据及中小企业管理局(SBA)的反馈表明,高昂的合规成本、第三方评估机构产能的严重不足以及复杂的监管时间表,正在迫使关键的新型技术供应商和中小企业放弃竞标军方合同,造成了关键供应链的实质性流失。
为此,戴维斯已授权成立一个为期 60 天的 "CMMC 改革工作组 ",负责提供新的替代框架建议。该框架将优先考虑技术能力的交付速度,降低中小企业及非传统供应商的准入门槛,并用可扩展、切实可行的日常网络防护措施取代高成本、流于形式的第三方认证。
美国中小企业管理局局长凯莉 · 洛夫勒(Kelly Loeffler)当天发表声明,对国防部的暂停决定表示支持。洛夫勒指出,中小企业是国家安全供应链的基石,CMMC 合规正在成为不可逾越的壁垒,支持军方削减此类高成本的行政繁文缛节。
" 网络安全成熟度模型认证 "(CMMC)项目最早于特朗普第一任期内启动,旨在引入独立的第三方审计机构对庞大的防务承包商网络安全水平进行强制评估,以解决长期存在的承包商安全自测不实问题。然而,由于合规成本过高,该项目在拜登政府时期也曾遭遇暂停和简化。美军方此前曾估算有约 8 万家企业将受此约束,此次重回审查轨道,折射出美军在强化供应链网络安全与维护工业基础规模之间难以调和的深层矛盾。