EN-US 
TR-TR 
Siber Güvenlik Olgunluk Modeli Sertifikası ("CMMC"), tüm savunma sanayi yüklenicilerinin birden beşe kadar bir siber güvenlik seviyesi almasını gerektiren ve belirlenecek asgari seviyenin Ekim 2025’e kadar tüm savunma sözleşmelerine uygulanması planlanan bir program olarak ABD Savunma Bakanlığı (“Bakanlık”) tarafından ilk olarak Mayıs 2019'da duyurulmuştu. Bakanlık CMMC’nin amacını federal sözleşme bilgileri ve kontrollü sınıflandırılmamış bilgiler gibi hassas niteliğe sahip ve sınıflandırılmamış bilgileri, tedarik zincirindeki alt yüklenicilere ulaşacak bilgi akışını da göz önüne alarak, taşıdıkları risklerle orantılı bir düzeyde koruyarak daha fazla güvence sağlamak olarak açıklamıştı. Buna göre seviyenin yükselmesiyle birlikte yerine getirilmesi beklenen ek siber güvenlik uygulamalarının artması sebebiyle, uygulamadan en fazla CMMC programındaki dört ve beşinci seviyelerde belgelendirilecek olan departmanın en büyük ve en sofistike yüklenicilerinin etkilenmesi beklenmektedir.
Duyurunun ardından uzun süre beklenen ve 29 Eylül 2020 tarihinde yayınlanan Siber Güvenlik Olgunluk Modeli Sertifikasyon programının uygulanmasına ilişkin ara kural (“Ara Kural”), yükleniciler bakımından üç seviyeden oluşan bir siber güvenlik değerlendirmesi ve biri halihazırda yürürlükte olan NIST 800-171 diğeri CMMC için olmak üzere iki değerlendirme takibi ortaya koymaktadır. Bu çerçevede, yüklenicilerin Savunma Bakanlığı sözleşmelerine taraf olabilmeleri için öncelikle bu aşamalardaki uyumlarının öz değerlendirmesini tamamlamaları gerekmektedir. Ara kuralın yayınlanmasının ardından idareyi ve yüklenicileri temsil eden ticaret grupları tarafından CMMC sistemi övülürken, uygulama ve kural koyma süreci eleştirilmiştir.
Yakın zamanda CMMC programının uygulanmasına ilişkin olarak savunma endüstrisinde faaliyet gösteren yüklenicilerce, Bakanlığın “herkese uyan tek beden/ one-size-fits-all” anlayışının ötesine geçilmesi gerektiği konusunda bir görüş birliği oluşmaya başlamıştır. Ara kurala cevaben Savunma ve Uzay Endüstrisi Birlikleri Konseyi (“CADSIA”), program kapsamındaki en yüksek sertifikasyon seviyelerinin, yüklenicilere CMMC'yi nasıl uygulayacaklarına dair daha fazla seçenek sunan risk temelli bir esnek yaklaşıma izin vermesi gerektiğini ileri sürmüştür. Savunma yüklenicilerini temsil eden en büyük sekiz endüstri birliğinden oluşan bu koalisyon tarafından, yüklenicilere mimari çevre ve dinamik tehlike modelleri bazındaki gelişmiş kalıcı tehditleri tespit etmek ve bunlara karşı savunma yapmak için kullanılacak araç, teknik ve süreçlere ilişkin uygulamaları seçme esnekliğinin verilmesi gerektiği ifade edilmiştir.
CODSIA'ya göre önceki siber güvenlik standartlarının CMMC'nin temelini oluşturduğu göz önüne alındığında, Savunma Bakanlığı "herkese uyan tek beden kavramı" ile en üst iki CMMC seviyesine uyumun sağlanması için risk temelli bir yaklaşıma izin vererek, bu programı gelişmiş siber güvenlik standartlarını ortaya koyan Ulusal Standartlar ve Teknoloji Enstitüsü ("NIST") yayımıyla benzer bir hale getirebilecektir. Ayrıca alt yükleniciyle sözleşmenin genellikle ilk ana sözleşmeden çok daha sonra gerçekleştiğinin altı çizilerek, Bakanlığın CMMC ile tedarik zinciri uyumluluğu konusunda daha esnek olması da tavsiye edilmektedir.
Son olarak, Bakanlığın CMMC seviyelerini Federal Risk ve Yetkilendirme Yönetimi Programı gibi mevcut siber güvenlik çerçeveleriyle daha yakından eşleştirerek farklı siber güvenlik programları arasında karşılıklılık sağlanmasını önerilmiştir.
Şafak Herdem, Nihan Ünal
