Un leader nel Magic Quadrant™ Gartner® 2025 per la Protezione di Endpoints. Cinque anni di fila.Leader nel Magic Quadrant™ di Gartner®Leggi il report
La tua azienda è stata compromessa?Blog
IniziareContattaci
Header Navigation - IT
  • Piattaforma
    Panoramica della piattaforma
    • Singularity Platform
      Benvenuti nella Sicurezza Aziendale Integrata
    • IA per la sicurezza
      Leader nelle Soluzioni di Sicurezza basate su AI
    • Sicurezza dell’IA
      Accelera l’adozione dell’IA con strumenti, applicazioni e agenti di IA sicuri.
    • Come funziona
      La Differenza di Singularity XDR
    • Marketplace di Singularity
      Integrazioni con un solo clic per sbloccare la potenza di XDR
    • Prezzi e Pacchetti
      Confronti e indicazioni in sintesi
    Data & AI
    • Purple AI
      Accelerare la SecOps con l'IA generativa
    • Singularity Hyperautomation
      Automatizzare facilmente i processi di sicurezza
    • AI-SIEM
      Il SIEM AI per il SOC autonomo
    • AI Data Pipelines
      Pipeline di dati di sicurezza per AI SIEM e ottimizzazione dei dati
    • Singularity Data Lake
      Alimentato dall'IA, unificato dal lago di dati
    • Singularity Data Lake for Log Analytics
      Ingestione dei dati da ambienti on-premise, cloud o ibridi senza soluzione di continuità
    Endpoint Security
    • Singularity Endpoint
      Prevenzione, rilevamento e risposta autonoma
    • Singularity XDR
      Protezione, rilevamento e risposta nativa e aperta
    • Singularity RemoteOps Forensics
      Orchestrare l'analisi forense su larga scala
    • Singularity Threat Intelligence
      Intelligence avversaria completa
    • Singularity Vulnerability Management
      Scoperta di risorse illecite
    • Singularity Identity
      Rilevamento e risposta alle minacce per l'identità
    Cloud Security
    • Singularity Cloud Security
      Bloccare gli attacchi con una CNAPP basata sull'IA
    • Singularity Cloud Native Security
      Proteggere il cloud e le risorse di sviluppo
    • Singularity Cloud Workload Security
      Piattaforma di protezione del carico di lavoro del cloud in tempo reale
    • Singularity Cloud Data Security
      Rilevamento delle minacce potenziato dall'intelligenza artificiale
    • Singularity Cloud Security Posture Management
      Rilevare e correggere le configurazioni errate del cloud
    Protezione dell’IA
    • Prompt Security
      Proteggere gli strumenti di IA in tutta l’azienda
  • Perché SentinelOne?
    Perché SentinelOne?
    • Perché SentinelOne?
      Cybersecurity per il futuro
    • I nostri Clienti
      Scelta dalle aziende leader nel mondo
    • Riconoscimenti dal mercato
      Testato e comprovato dagli esperti
    • Chi siamo
      Il leader del settore nella sicurezza informatica autonoma
    SentinelOne a confronto
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Settori Verticali
    • Energia
    • Governo Federale
    • Servizi Finanziari
    • Sanitario
    • Scuola Superiore
    • Istruzione Primaria e Secondaria
    • Manifatturiero
    • Retail
    • Settore pubblico statale e locale
  • Servizi
    Managed Services
    • Panoramica dei Managed Services
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Competenza di livello mondiale e Threat Intelligence.
    • Managed Detection & Response
      MDR esperto 24/7/365 per tutto il tuo ambiente.
    • Incident Readiness & Response
      DFIR, preparazione alle violazioni & valutazioni di compromissione.
    Supporto, implementazione e igiene
    • Gestione tecnica dei clienti
      Customer Success con un servizio personalizzato
    • SentinelOne GO
      Consulenza per l'onboarding e l'implementazione
    • SentinelOne University
      Formazione live e on-demand
    • Panoramica dei Servizi
      Soluzioni complete per operazioni di sicurezza senza interruzioni
    • SentinelOne Community
      Community Login
  • Partner
    La Nostra Rete
    • Partner MSSP
      Successo più veloce con SentinelOne
    • Marketplace di Singularity
      Amplia la potenza della tecnologia SentinelOne
    • Partner specializzati nel Cyber Risk
      Ingaggiare i team per gestire le risposte agli incidenti
    • Alleanze Tecnologiche
      Soluzione aziendale integrata su larga scala
    • SentinelOne per AWS
      Ospitato nelle regioni AWS di tutto il mondo
    • Partner di canale
      Offriamo le soluzioni giuste, insieme
    • SentinelOne for Google Cloud
      Sicurezza unificata e autonoma che offre ai difensori un vantaggio su scala globale.
    Per saperne di più sul Programma→
  • Risorse
    Centro Risorse
    • Schede tecniche
    • eBook
    • Video
    • Whitepaper
    • Events
    Accedi a tutte le risorse→
    Blog
    • Riflettori puntati sulle funzionalità
    • Per CISO/CIO
    • Direttamente dalla prima linea
    • Identità
    • Cloud
    • macOS
    • Blog di SentinelOne
    Blog→
    Risorse Tecniche
    • SentinelLABS
    • Glossario del Ransomware
    • Cybersecurity 101
  • Chi siamo
    Informazioni su SentinelOne
    • Informazioni su SentinelOne
      Il leader di mercato nella sicurezza cyber
    • SentinelLABS
      Ricerche sulle minacce per il moderno Threat Hunter
    • Carriere
      Opportunità di lavoro
    • Stampa e notizie
      Annunci dell’azienda
    • Blog
      Tutto sulle minacce alla cyber security, le ultime notizie e molto altro
    • FAQ
      Ottieni risposte alle domande più frequenti
    • DataSet
      La Piattaforma dal vivo
    • S Foundation
      Garantire un futuro più sicuro per tutti
    • S Ventures
      Investire nella sicurezza e nei dati di prossima generazione
IniziareContattaci
Background image for Checklist CMMC: Guida alla preparazione dell’audit per i contractor DoD
Cybersecurity 101/Sicurezza informatica/Checklist CMMC

Checklist CMMC: Guida alla preparazione dell’audit per i contractor DoD

CMMC 2.0 richiede la verifica indipendente dei controlli di cybersecurity dei contractor DoD. Utilizza questa checklist CMMC per prepararti all’audit, dalla definizione dell’ambito alla certificazione.

CS-101_Cybersecurity.svg
Indice dei contenuti
Che cos'è il CMMC (Cybersecurity Maturity Model Certification)?
Chi ha bisogno di una checklist CMMC?
Come determinare il livello CMMC richiesto
Abbinamento del tipo di dato al livello di certificazione
Comprendere i livelli CMMC prima di utilizzare una checklist
Checklist di readiness pre-valutazione
Checklist CMMC Livello 1 (Controlli Fondamentali)
Checklist CMMC Livello 2 (Controlli Avanzati)
Checklist CMMC Livello 3 (Controlli di livello esperto)
Checklist di documentazione ed evidenze
Errori comuni nell'implementazione della checklist CMMC
Errori di scoping che compromettono le valutazioni
Documentazione che descrive l'intento, non la realtà
Gestione errata dei POA&M
Costi e tempistiche della valutazione CMMC
Intervalli temporali tipici
Considerazioni sui costi
Best practice per l'utilizzo di una checklist CMMC
Inizia dalla scoperta del CUI, non dall'implementazione dei controlli
Segmenta la rete prima della valutazione
Costruisci le evidenze in mesi, non in giorni
Prepara il personale per le interviste
Applica i requisiti di flow-down ai subappaltatori
Key Takeaways

Articoli correlati

  • Cos'è il Regolamento DORA? Quadro di Resilienza Digitale dell'UE
  • Cos'è la Session Fixation? Come gli attaccanti dirottano le sessioni utente
  • Ethical Hacker: Metodi, Strumenti e Guida al Percorso Professionale
  • Cosa sono gli attacchi avversari? Minacce e difese
Autore: SentinelOne | Recensore: Arijeet Ghatak
Aggiornato: April 30, 2026

Che cos'è il CMMC (Cybersecurity Maturity Model Certification)?

Un appaltatore del DoD perde un importante contratto di difesa perché ha ritenuto che l'auto-attestazione alla NIST SP 800-171 fosse sufficiente. Dal 10 novembre 2025 non lo è più. Il Cybersecurity Maturity Model Certification (CMMC) 2.0 è un framework di certificazione della cybersecurity del DoD che verifica, tramite valutazione indipendente, l'implementazione da parte degli appaltatori della difesa dei requisiti federali di sicurezza esistenti. Non crea nuovi requisiti di sicurezza. Aggiunge una verifica indipendente ai controlli già richiesti dal DFARS 7012 dal 2017.

Il programma è codificato nel 32 CFR 170 (CMMC Program Rule) ed è applicato tramite il 48 CFR 204 (DFARS Acquisition Rule). Il Cyber AB funge da ente di accreditamento per l'ecosistema CMMC. Se gestisci Federal Contract Information (FCI) o Controlled Unclassified Information (CUI) per il Dipartimento della Difesa, il CMMC si applica anche a te.

Secondo il 48 CFR 204.7502, i responsabili degli appalti non possono aggiudicare contratti a offerenti privi dello stato CMMC attuale al livello richiesto. La preparazione della tua checklist CMMC inizia ora, non quando ricevi una richiesta di offerta.

Prima del CMMC, gli appaltatori auto-valutavano l'implementazione della NIST SP 800-171 e inviavano i risultati al Supplier Performance Risk System (SPRS). L'auto-attestazione ha creato un gap di fiducia nell'intera defense industrial base (DIB), consentendo agli appaltatori di dichiarare la conformità senza una validazione indipendente.

Il CMMC colma questo gap richiedendo valutazioni di terze parti o governative a seconda della sensibilità dei dati gestiti. Ogni controllo dichiarato nel tuo System Security Plan (SSP) deve superare esame, intervista e test tecnico pratico da parte di valutatori qualificati. I tuoi strumenti di security operations, i log di audit, i controlli di accesso e le procedure di incident response rientrano tutti nell'ambito di valutazione del CMMC. Il framework organizza questi requisiti in tre livelli di certificazione, ciascuno con il proprio processo di valutazione.

Chi ha bisogno di una checklist CMMC?

Non tutte le organizzazioni che interagiscono con il DoD affrontano requisiti CMMC identici, ma l'ambito è più ampio di quanto molti appaltatori si aspettino. Qualsiasi azienda che archivia, elabora o trasmette FCI o CUI come parte di un contratto DoD deve ottenere il livello di certificazione CMMC appropriato prima dell'aggiudicazione del contratto.

I prime contractor titolari di contratti DoD che includono la clausola DFARS 252.204-7021 devono dimostrare lo stato CMMC attuale al livello specificato nella richiesta di offerta. Questo requisito si estende lungo la supply chain: i subappaltatori che gestiscono CUI a supporto dell'esecuzione del contratto devono soddisfare in modo indipendente il livello CMMC richiesto, senza poter semplicemente fare affidamento sulla certificazione del prime contractor. Secondo un analisi della supply chain NDIA, i requisiti di flow-down DFARS si applicano indipendentemente dalla posizione nella supply chain.

Le organizzazioni che dovrebbero mantenere una checklist CMMC includono produttori e fornitori della difesa che gestiscono CUI, fornitori di servizi IT e managed service provider con accesso ad ambienti CUI, istituti di ricerca con contratti finanziati dal DoD e società di servizi professionali o di staffing i cui dipendenti accedono a sistemi CUI. Le piccole imprese non sono esenti. Se il tuo contratto coinvolge CUI, i requisiti del Livello 2 CMMC si applicano indipendentemente da dimensioni o fatturato aziendale.

La soglia è semplice: se il tuo contratto include attualmente o includerà la clausola DFARS 252.204-7021, hai bisogno di un processo di conformità strutturato. Una checklist CMMC ti consente di tracciare l'implementazione dei controlli, documentare la raccolta delle evidenze e identificare i gap prima che lo faccia un valutatore C3PAO o DIBCAC.

Come determinare il livello CMMC richiesto

Il livello CMMC richiesto dipende dal tipo di informazioni gestite nell'ambito di un contratto DoD. La determinazione parte da una domanda: il tuo contratto coinvolge CUI?

Abbinamento del tipo di dato al livello di certificazione

  • Solo FCI (Livello 1): Il tuo contratto riguarda solo Federal Contract Information di base, senza dati CUI. Implementi 17 pratiche dal FAR 52.204-21 e ti auto-valuti annualmente.
  • CUI (Livello 2): Il tuo contratto include dati classificati come Controlled Unclassified Information secondo il CUI Registry. Implementi tutte le 110 pratiche della NIST SP 800-171 e sei sottoposto a valutazione C3PAO o auto-valutazione a seconda del contratto.
  • CUI di alto valore (Livello 3): Il tuo contratto riguarda CUI su programmi critici identificati dal DoD. Implementi 134 pratiche (110 dalla NIST SP 800-171 più 24 dalla NIST SP 800-172) e sei sottoposto a valutazione DIBCAC guidata dal governo. Il Livello 3 richiede come prerequisito lo stato attuale di Livello 2.

Se il tuo contratto non specifica un livello CMMC, esamina le clausole DFARS nella richiesta di offerta. Secondo il 32 CFR 170, il responsabile degli appalti determina il livello richiesto in base alla sensibilità delle informazioni coinvolte. In caso di dubbio, contatta direttamente il responsabile degli appalti. Sbagliare livello significa prepararsi per la valutazione sbagliata, con spreco di tempo e budget. Una volta noto il livello, la tabella seguente mostra esattamente cosa richiede.

Comprendere i livelli CMMC prima di utilizzare una checklist

Prima di affrontare qualsiasi checklist CMMC, è necessario avere un quadro chiaro di ciò che richiede ciascun livello di certificazione. I tre livelli differiscono notevolmente per numero di pratiche, tipo di valutazione e categoria di informazioni protette.

CaratteristicaLivello 1: FondamentaleLivello 2: AvanzatoLivello 3: Esperto
ProteggeFederal Contract Information (FCI)Controlled Unclassified Information (CUI)CUI di alto valore
Numero di pratiche17 pratiche di salvaguardia di base110 pratiche134 pratiche
Tipo di valutazioneAuto-valutazione annualeValutazione triennale C3PAO o auto-valutazioneValutazione triennale DIBCAC governativa
POA&M consentiti?NoSì, richiesta chiusuraSì, richiesta chiusura, requisiti critici esclusi
Risultati inseriti inSPRSSPRSCMMC eMASS
PrerequisitoNessunoNessunoStato attuale Livello 2

L'implementazione della Fase 1 è iniziata il 10 novembre 2025, concentrandosi principalmente sui requisiti di Livello 1 e Livello 2. La Fase 2 inizia il 10 novembre 2026, ampliando le valutazioni obbligatorie di Livello 2 da parte dei C3PAO. L'implementazione completa su tutti i contratti applicabili inizia dopo il 9 novembre 2028.

Tutte le valutazioni C3PAO di Livello 2 seguono una struttura obbligatoria in quattro fasi secondo il processo CMMC:

  1. Pianificazione e preparazione pre-valutazione: Definire l'ambito, fornire SSP e diagrammi di rete, concordare la tempistica della valutazione.
  2. Valutare la conformità ai requisiti di sicurezza: I valutatori esaminano la documentazione, intervistano il personale e testano direttamente i controlli.
  3. Completare e riportare i risultati della valutazione: Il C3PAO carica i risultati nel sistema di reporting richiesto.
  4. Rilasciare il certificato e chiudere il POA&M: Sanare gli elementi aperti entro il periodo consentito o perdere lo stato CMMC condizionale.

I valutatori utilizzano tre metodi obbligatori tratti dal NIST 171A: esame (revisione di documentazione, configurazioni, log), intervista (colloqui strutturati con il personale) e test (validazione tecnica pratica). Non è possibile superare la valutazione solo sulla carta.

Il CMMC utilizza attualmente la NIST SP 800-171 Revisione 2. Secondo le FAQ del CIO DoD, il DoD ha emesso una deviazione di classe alla clausola DFARS 252.204-7012 per mantenere la Rev 2 come standard di valutazione fino all'integrazione della Rev 3 tramite futura regolamentazione. Con questo contesto, le checklist seguenti ti offrono un percorso strutturato per la preparazione.

Checklist di readiness pre-valutazione

La readiness pre-valutazione copre il lavoro fondamentale che deve essere completato prima di poter definire correttamente l'ambito, documentare o coinvolgere un C3PAO. I gap identificati qui influenzano ogni voce della tua checklist CMMC.

Scoping degli asset:

  • Inventario completo di hardware e software su tutte e cinque le categorie di asset CMMC (CUI Assets, Security Protection Assets, CRMA, Specialized Assets, Out-of-Scope)
  • Mappatura di tutti i flussi di dati che mostrano dove il CUI entra, si muove ed esce dal tuo ambiente
  • Documentazione di tutte le connessioni ai cloud service provider e se elaborano CUI o FCI
  • Identificazione di tutte le connessioni esterne, lavoratori remoti e punti di accesso dei fornitori
  • Verifica della separazione tecnica e fisica per gli asset fuori ambito
  • Documentazione della giustificazione risk management CRMA nell'SSP per ogni designazione CRMA
  • Identificazione di tutti i Security Protection Assets e delle loro funzioni di sicurezza

Readiness alla valutazione:

  • Analisi dei gap completata rispetto a tutte le pratiche di Livello 2 utilizzando la guida di valutazione DoD
  • Mock assessment interno o revisione di readiness da Registered Practitioner Organization (RPO) effettuata
  • Personale preparato per le interviste dei valutatori (in grado di articolare le proprie responsabilità di sicurezza)
  • Punteggio di auto-valutazione inviato a SPRS
  • C3PAO selezionato dal marketplace Cyber AB e accordo di ingaggio eseguito

Completare lo scoping degli asset prima di coinvolgere un C3PAO non è opzionale. I valutatori che scoprono asset CUI non dichiarati durante la valutazione possono ampliare l'ambito, estendere le tempistiche e trasformare controlli superati in rilievi. Fare bene questa fase iniziale ha più impatto sull'esito della valutazione di qualsiasi altro singolo passaggio nella preparazione CMMC.

Checklist CMMC Livello 1 (Controlli Fondamentali)

Il Livello 1 richiede 17 pratiche tratte dal FAR 52.204-21, organizzate in sei domini di sicurezza. Si tratta di requisiti di salvaguardia di base per i sistemi che gestiscono FCI. Nessun POA&M è consentito al Livello 1: tutte le 17 pratiche devono essere pienamente implementate prima dell'auto-valutazione.

Controllo degli accessi:

  • Limitare l'accesso al sistema a utenti, processi e dispositivi autorizzati
  • Limitare l'accesso ai tipi di transazioni e funzioni che gli utenti autorizzati possono eseguire
  • Verificare e controllare le connessioni a sistemi informativi esterni
  • Controllare le informazioni pubblicate o elaborate su sistemi accessibili pubblicamente

Identificazione e autenticazione:

  • Identificare tutti gli utenti, i processi che agiscono per conto degli utenti e i dispositivi
  • Autenticare l'identità di utenti, processi e dispositivi prima di consentire l'accesso al sistema

Protezione dei supporti:

  • Sanificare o distruggere i supporti dei sistemi informativi prima dello smaltimento o del riutilizzo

Protezione fisica:

  • Limitare l'accesso fisico ai sistemi a persone autorizzate
  • Accompagnare i visitatori, monitorare l'attività dei visitatori e mantenere i log di accesso fisico
  • Proteggere e monitorare le strutture fisiche e le infrastrutture di supporto

Protezione di sistema e comunicazioni:

  • Monitorare, controllare e proteggere le comunicazioni ai confini esterni e interni chiave
  • Implementare subnet per componenti accessibili pubblicamente separate dalle reti interne

Integrità di sistema e informazioni:

  • Identificare e correggere tempestivamente le vulnerabilità dei sistemi informativi
  • Fornire protezione dal codice malevolo nei punti appropriati del sistema
  • Aggiornare i meccanismi di protezione dal codice malevolo quando sono disponibili nuove versioni
  • Eseguire scansioni periodiche del sistema e scansioni in tempo reale dei file provenienti da fonti esterne

La conformità al Livello 1 è raggiungibile per la maggior parte dei piccoli appaltatori con una corretta igiene IT di base. Se tutte le 17 pratiche sono implementate, la checklist CMMC a questo livello è semplice da documentare e auto-attestare. Il carico di preparazione più significativo inizia al Livello 2, dove 110 pratiche devono essere valutate sulla base di evidenze documentate e operative.

Checklist CMMC Livello 2 (Controlli Avanzati)

Il Livello 2 corrisponde a tutte le 110 pratiche della NIST SP 800-171 Revisione 2 suddivise in 14 domini di sicurezza. Questa checklist CMMC è organizzata per famiglia di dominio. Non tutte le 110 singole pratiche sono elencate qui; utilizzare la guida di valutazione DoD per l'elenco completo delle pratiche e degli obiettivi di valutazione.

  • Controllo degli accessi (AC): Implementare il principio del minimo privilegio, gestire gli account privilegiati, applicare il blocco della sessione dopo inattività, controllare l'accesso remoto e l'uso di sistemi esterni, e vietare l'uso di supporti portatili senza proprietario identificabile.
  • Audit e accountability (AU): Creare e proteggere i log di audit di sistema, revisionare e analizzare i log per attività non autorizzate, conservare i record di audit per supportare indagini a posteriori e fornire la capacità di audit degli eventi definiti nell'SSP.
  • Configuration management (CM): Stabilire e mantenere configurazioni di base, applicare impostazioni di sicurezza, tracciare e controllare le modifiche ai sistemi, analizzare l'impatto sulla sicurezza delle modifiche prima dell'implementazione.
  • Identificazione e autenticazione (IA): Applicare autenticazione a più fattori per tutti gli accessi di rete e account privilegiati, gestire la robustezza e il ciclo di vita degli autenticatori, e utilizzare autenticazione resistente al replay.
  • Incident response (IR): Stabilire una capacità operativa di gestione degli incidenti che includa preparazione, rilevamento, contenimento, recupero e reporting da parte degli utenti. Testare la capacità di incident response e tracciare gli incidenti.
  • Maintenance (MA): Eseguire la manutenzione sui sistemi, controllare gli strumenti di manutenzione, sanificare le apparecchiature rimosse per manutenzione off-site e richiedere MFA per le sessioni di manutenzione remota.
  • Protezione dei supporti (MP): Proteggere i supporti di sistema contenenti CUI, limitare l'accesso al CUI sui supporti agli utenti autorizzati, sanificare i supporti prima dello smaltimento o riutilizzo e controllare l'accesso ai supporti contenenti CUI durante il trasporto.
  • Sicurezza del personale (PS): Verificare le persone prima di autorizzare l'accesso a sistemi contenenti CUI e garantire che il CUI sia protetto durante e dopo azioni sul personale come cessazioni e trasferimenti.
  • Risk assessment (RA): Valutare periodicamente il rischio per operazioni e asset, eseguire scansioni per vulnerabilità su sistemi e applicazioni e sanare le vulnerabilità secondo le valutazioni del rischio.
  • Security assessment (SA): Valutare periodicamente i controlli di sicurezza, sviluppare e implementare piani d'azione, monitorare i controlli di sicurezza del sistema in modo continuo e produrre un SSP aggiornato che rifletta l'ambiente operativo.
  • Protezione di sistema e comunicazioni (SC): Monitorare, controllare e proteggere le comunicazioni ai confini, implementare architetture e tecniche di sviluppo software che promuovano la sicurezza e crittografare il CUI in transito e a riposo.
  • Integrità di sistema e informazioni (SI): Identificare e correggere le vulnerabilità, fornire protezione dal codice malevolo, monitorare i sistemi per alert di sicurezza e aggiornare le protezioni dal codice malevolo quando sono disponibili nuove versioni.

Affrontare la checklist CMMC di Livello 2 richiede uno sforzo sostenuto di mesi, non settimane. Le organizzazioni che non hanno mai implementato la NIST SP 800-171 dovrebbero iniziare la remediation dei gap molto prima di coinvolgere un C3PAO.

Checklist CMMC Livello 3 (Controlli di livello esperto)

Il Livello 3 aggiunge 24 pratiche dalla NIST SP 800-172 al set completo di pratiche del Livello 2, per un totale di 134 pratiche. Questi requisiti avanzati sono rivolti alle organizzazioni che proteggono CUI di alto valore su programmi DoD critici. Le valutazioni sono condotte dal Defense Industrial Base Cybersecurity Assessment Center (DIBCAC), non da un C3PAO, e lo stato attuale di Livello 2 è un prerequisito.

Le 24 pratiche aggiuntive si concentrano su cinque aree di controllo avanzate:

  • Controllo degli accessi avanzato: Adottare approcci dinamici di controllo degli accessi coordinati con la strategia di rischio organizzativa e che supportano decisioni di accesso in tempo reale
  • Configuration management avanzato: Stabilire e mantenere un sistema di configuration management in grado di tracciare le modifiche con verifica di integrità
  • Incident response rafforzata: Stabilire una capacità di security operations center (SOC) e utilizzare meccanismi automatizzati a supporto della gestione degli incidenti
  • Gestione del rischio della supply chain: Valutare il rischio associato a fornitori, sviluppatori e provider esterni e affrontare il rischio tramite requisiti contrattuali
  • Protezione avanzata di sistema e comunicazioni: Adottare capacità architetturali e configurazioni di sistema che sfruttano interfacce gestite e dispositivi/meccanismi di protezione dei confini

Le organizzazioni di Livello 3 devono inoltre dimostrare monitoraggio persistente, capacità di threat hunting e coordinamento con agenzie federali di cybersecurity. Poiché le valutazioni DIBCAC sono guidate dal governo, i tempi di pianificazione sono significativi e il coordinamento anticipato con gli uffici programma DoD è essenziale prima di iniziare la preparazione della checklist CMMC di Livello 3.

Checklist di documentazione ed evidenze

I gap di documentazione ed evidenze sono la causa più comune di blocco o fallimento delle valutazioni CMMC. Il tuo SSP è l'artefatto centrale di qualsiasi checklist CMMC, ma i valutatori richiedono un pacchetto di evidenze completo che copra ogni dominio in ambito.

SSP e documentazione:

  • Descrizioni complete di tutti gli asset in ambito su tutte e cinque le categorie
  • Diagrammi di rete aggiornati che mostrano i flussi di dati CUI e i confini di sistema
  • Documentazione di tutti i controlli di sicurezza e del loro stato di implementazione
  • Ruoli e responsabilità per l'implementazione dei controlli di sicurezza
  • Procedure di incident response e contatti
  • Tutte le pratiche non-POA&M elencate pienamente implementate (AC.L2-3.1.20, AC.L2-3.1.22, CA.L2-3.12.4, PE.L2-3.10.3, PE.L2-3.10.4, PE.L2-3.10.5)

Raccolta delle evidenze:

  • Log di sistema che dimostrano il monitoraggio continuo (dominio AU)
  • Configurazioni di controllo degli accessi e liste utenti autorizzati aggiornate
  • Registri di autenticazione a più fattori su tutti i sistemi in ambito
  • Registri di completamento della formazione sulla sicurezza con date e contenuti
  • Piano di incident response con registri documentati degli esercizi
  • Baseline di configurazione e registri di change management
  • Risultati delle valutazioni di vulnerabilità e tracciamento della remediation
  • Documentazione e certificati di crittografia
  • Log di accesso fisico per le aree CUI
  • Registri di sanificazione dei supporti
  • Documentazione sulla gestione del CUI da parte di terze parti e cloud service provider

Mantenimento post-certificazione:

  • Auto-valutazione annuale con attestazione di un dirigente senior
  • Affermativa annuale inviata a SPRS
  • Monitoraggio continuo e audit logging mantenuti
  • SSP aggiornato in caso di cambiamenti ambientali
  • Pianificazione della ricertificazione avviata prima della scadenza

Secondo il Cyber AB CAP, senza un SSP adeguatamente documentato, la valutazione non può procedere e si traduce automaticamente in un fallimento. Costruisci il repository delle evidenze della checklist CMMC in modo continuo durante la preparazione, non nelle settimane precedenti la data della valutazione.

Errori comuni nell'implementazione della checklist CMMC

Molti appaltatori affrontano il CMMC con fiducia nei propri programmi di sicurezza esistenti, solo per bloccarsi durante la preparazione alla valutazione. Questi sono i punti di fallimento più frequenti e come evitarli.

Errori di scoping che compromettono le valutazioni

Sovra-scoping dell'ambiente CUI aumenta costi e complessità senza migliorare la sicurezza. Se un sistema non elabora, archivia o trasmette mai CUI, una corretta designazione Contractor Risk Managed Asset (CRMA) e segregazione tecnica possono ridurre legittimamente l'ambito della valutazione. Tuttavia, secondo il processo CMMC, le designazioni CRMA sono "a discrezione del valutatore". Ogni CRMA deve essere supportato da una giustificazione documentata nell'SSP.

Altrettanto pericoloso: sotto-scoping escludendo sistemi di backup contenenti CUI, servizi cloud che elaborano CUI o endpoint di lavoratori remoti. Se il CUI può attraversare un sistema, quel sistema è in ambito indipendentemente da dichiarazioni informali.

Documentazione che descrive l'intento, non la realtà

Secondo il Cyber AB CAP, senza un System Security Plan adeguatamente documentato, la valutazione non può procedere e si traduce automaticamente in un fallimento. Il tuo SSP è il documento più critico nel CMMC e deve riflettere lo stato operativo reale, non una postura aspirazionale.

I gap di evidenza comuni includono liste di controllo accessi che non includono personale aggiunto di recente, policy prive di approvazione della direzione e attestazioni firmate da dipendenti che non sono i reali owner, operator o supervisor.

Gestione errata dei POA&M

Alcune pratiche non possono essere inserite in un Plan of Action and Milestones (POA&M), incluse CA.L2-3.12.4 (System Security Plan), diverse pratiche di protezione fisica e specifiche pratiche di controllo accessi. Se entri in una valutazione C3PAO con gap su questi controlli, potresti dover affrontare una valutazione completamente nuova.

Se ricevi uno stato CMMC condizionale con POA&M aperti, il tempo di chiusura è tassativo. Secondo le linee guida DoD CMMC, il mancato completamento dei POA&M entro il periodo documentato comporta la scadenza dello stato senza possibilità di proroga documentata.

In tutti questi punti di fallimento, il filo conduttore è il tempismo. I tempi dal gap alla certificazione CMMC possono essere significativi e i costi associati a scadenze mancate o valutazioni ripetute sono rilevanti. Comprendere il quadro realistico di budget e tempistiche è il passo successivo.

Costi e tempistiche della valutazione CMMC

Budget e tempistiche sono due delle preoccupazioni più comuni per gli appaltatori che iniziano la preparazione CMMC. Entrambi variano notevolmente in base alle dimensioni dell'organizzazione, al livello di maturità della sicurezza esistente e al livello di certificazione richiesto.

Intervalli temporali tipici

Secondo le linee guida CIO DoD, non esiste un periodo di preparazione fisso, ma l'esperienza del settore fornisce parametri utili:

  • Auto-valutazione Livello 1: 1-3 mesi per organizzazioni con controlli di base già implementati.
  • Livello 2 con programma NIST SP 800-171 esistente: 6-12 mesi per remediation dei gap, raccolta delle evidenze e pianificazione C3PAO.
  • Livello 2 da zero: 12-18 mesi o più, considerando implementazione dei controlli, documentazione, maturazione delle evidenze e disponibilità dei valutatori.
  • Valutazione governativa Livello 3: La tempistica dipende dalla pianificazione DIBCAC e richiede prima lo stato attuale di Livello 2.

La disponibilità dei C3PAO si aggiunge a queste tempistiche. Secondo il GAO-26-107955, la capacità dei valutatori è limitata, quindi è importante un coinvolgimento anticipato.

Considerazioni sui costi

I costi di valutazione dipendono dalle dimensioni dell'ambiente e dalla complessità dell'ambito. Le principali voci di costo includono consulenti e RPO per analisi dei gap e supporto alla remediation, tariffe di valutazione C3PAO (che variano in base a dimensioni e ambito dell'organizzazione), investimenti tecnologici per controlli non ancora implementati e tempo interno del personale per documentazione e preparazione delle evidenze. 

I subappaltatori più piccoli con un ambito CUI ristretto spenderanno meno rispetto ai prime contractor che gestiscono ambienti complessi e multi-sito. Considera questi costi nella pianificazione del programma fin dall'inizio per evitare sorprese durante la risposta alle richieste di offerta. Con budget e tempistiche considerati, le seguenti pratiche operative ti aiutano a massimizzare entrambi.

Best practice per l'utilizzo di una checklist CMMC

Superare una valutazione CMMC richiede più che spuntare le caselle di una checklist. Queste pratiche aiutano gli appaltatori a costruire la postura di conformità CMMC sostenuta che i valutatori si aspettano.

Inizia dalla scoperta del CUI, non dall'implementazione dei controlli

Prima di implementare qualsiasi controllo di sicurezza, identifica ogni posizione in cui esiste CUI. Le posizioni comuni includono:

  • Archivi email e piattaforme di collaborazione
  • File HR e documentazione di progetto
  • Documenti dei fornitori e note di riunione
  • Unità condivise e storage cloud

Mappa esattamente come il CUI entra nel tuo ambiente, dove si sposta, dove viene archiviato e dove esce. Questa mappa CUI guida il tuo SSP e determina direttamente l'ambito della valutazione. Se cloud service provider esterni elaborano CUI, devono soddisfare i requisiti DFARS 252.204-7012(b)(2)(ii)(D).

Segmenta la rete prima della valutazione

La segmentazione corretta è il principale meccanismo per ridurre l'ambito della valutazione. Implementa firewall tra le reti interne e Internet. Utilizza switch di routing per creare zone che separano gli ambienti CUI dalle reti aziendali generali e crittografa tutto il CUI che transita su Internet. Le funzionalità di enforcement delle policy e controllo dei dispositivi della Singularity Platform possono supportare questa segmentazione controllando l'accesso dei dispositivi periferici ai sistemi che gestiscono CUI.

Costruisci le evidenze in mesi, non in giorni

Stabilisci un repository strutturato delle evidenze allineato alle famiglie di controlli CMMC. Popolalo in modo continuo, non reattivo. La guida di valutazione Livello 2 richiede evidenze che dimostrino che i controlli operano in modo coerente nel tempo, quindi registri di formazione, campioni di log di audit, risultati di scansioni di vulnerabilità e documentazione degli esercizi di incident response devono mostrare operatività sostenuta. I valutatori valutano la maturità operativa, non solo la presenza tecnica.

Prepara il personale per le interviste

Il personale che non sa spiegare ai valutatori le proprie responsabilità di sicurezza è un punto di fallimento spesso sottovalutato. Esegui simulazioni di intervista interne. Assicurati che ogni persona in ambito sappia spiegare cosa fa, perché lo fa e dove è documentato.

I valutatori intervisteranno il personale in diversi ruoli chiave:

  • Destinatari della formazione sulla consapevolezza della sicurezza
  • Amministratori della formazione sulla sicurezza delle informazioni
  • Membri del team di incident response
  • Personale di monitoraggio audit e revisione dei log

La preparazione di questi gruppi aumenta la fiducia e riduce le sorprese durante la valutazione.

Applica i requisiti di flow-down ai subappaltatori

Secondo un analisi della supply chain NDIA, i requisiti di flow-down DFARS 252.204-7012 si applicano "indipendentemente dal livello di posizione nella supply chain" per qualsiasi subappaltatore che archivia, elabora o genera CUI come parte dell'esecuzione del contratto. Identifica tutti i subappaltatori che gestiranno CUI e includi la clausola CMMC di flow-down nei contratti di subappalto. Verifica che ogni subappaltatore abbia lo stato CMMC appropriato al livello richiesto. Non applicare i requisiti CMMC a subappaltatori che non gestiranno CUI.

L'applicazione coerente di queste pratiche costruisce la maturità operativa che i valutatori cercano. Gli strumenti di sicurezza adeguati possono ridurre ulteriormente lo sforzo manuale necessario per mantenere questa postura.

Liberate la cybersicurezza alimentata dall'intelligenza artificiale

Elevate la vostra posizione di sicurezza con il rilevamento in tempo reale, la risposta automatica e la visibilità totale dell'intero ambiente digitale.

Richiedi una demo

Key Takeaways

Il CMMC 2.0 è già applicabile, con la Fase 1 attiva dal 10 novembre 2025. La tua checklist CMMC deve coprire lo scoping degli asset, la documentazione SSP, la raccolta delle evidenze e la manutenzione continua su tutte le pratiche di Livello 2. I fallimenti più comuni sono la documentazione che descrive l'intento invece della realtà operativa, la scoperta incompleta del CUI e la raccolta reattiva delle evidenze. 

Inizia la preparazione alla conformità CMMC molto prima di aver bisogno della certificazione, considera la capacità limitata dei C3PAO e costruisci un'infrastruttura di monitoraggio che generi evidenze di certificazione CMMC by design.

Domande frequenti

Una checklist CMMC è uno strumento strutturato che aiuta i contraenti del DoD a monitorare l'implementazione e la raccolta delle evidenze per ciascuna pratica di cybersecurity richiesta dal framework Cybersecurity Maturity Model Certification. Organizza le 17, 110 o 134 pratiche richieste a ciascun livello CMMC in elementi operativi, coprendo la definizione dell'ambito degli asset, la documentazione, l'implementazione dei controlli e la preparazione alla valutazione. 

L'utilizzo di una checklist CMMC riduce il rischio di tralasciare controlli critici o di presentarsi a una valutazione C3PAO senza evidenze sufficienti.

Una checklist CMMC completa copre l'inventario degli asset e la definizione dell'ambito CUI, i requisiti di documentazione del System Security Plan (SSP), lo stato di implementazione dei controlli in tutte le famiglie di pratiche NIST SP 800-171 applicabili, i requisiti di raccolta delle evidenze per dominio (controllo degli accessi, log di audit, risposta agli incidenti, gestione della configurazione e altri), il tracciamento POA&M per eventuali elementi aperti e la preparazione del personale per le interviste con gli assessor. 

Al Livello 2, la checklist si riferisce a 110 pratiche suddivise in 14 domini di sicurezza. Al Livello 3, si espande a 134 pratiche che incorporano i requisiti NIST SP 800-172.

Nessuna normativa richiede ai contraenti di utilizzare un formato specifico per la checklist. Tuttavia, il processo di valutazione del DoD richiede che ogni pratica inclusa nell’ambito venga esaminata, testata o osservata dai valutatori. Senza un approccio sistematico di tracciamento, i contraenti spesso trascurano lacune nelle evidenze o documentano in modo insufficiente l’implementazione dei controlli. 

Secondo il Cyber AB CAP, una valutazione non può procedere senza un SSP adeguatamente documentato, rendendo di fatto obbligatoria una preparazione strutturata anche se il formato della checklist non è prescritto.

Il pacchetto principale di documentazione per una valutazione CMMC Livello 2 include: un Piano di Sicurezza del Sistema che copre tutti gli asset in-scope, diagrammi di rete che mostrano i flussi di dati CUI e i confini del sistema, elenchi di controllo degli accessi e registri di autorizzazione, registri della formazione sulla consapevolezza della sicurezza con date di completamento, piano di risposta agli incidenti e documentazione delle esercitazioni, baseline di configurazione e registri di gestione delle modifiche, risultati delle scansioni di vulnerabilità e tracciamento delle attività di remediation, e qualsiasi elemento POA&M aperto con date delle milestone. 

Gli assessor condurranno anche interviste strutturate al personale ed eseguiranno test tecnici pratici, quindi la documentazione deve riflettere la realtà operativa, non lo stato previsto.

I tempi di preparazione variano in base ai controlli già implementati, alla maturità della documentazione e alla quantità di evidenze storiche già disponibili. Le organizzazioni con programmi di sicurezza maturi e SSP consolidati procedono generalmente più rapidamente, mentre chi parte da zero deve prevedere tempistiche più lunghe. 

Tutte le organizzazioni devono considerare i periodi di raccolta delle evidenze, le revisioni interne di readiness e i tempi di attesa per la pianificazione C3PAO, che possono aggiungere mesi alla tempistica complessiva.

Lo stato CMMC condizionale può scadere e potrebbe essere necessario sottoporsi a una nuova valutazione completa invece di riprendere da dove si era interrotto. Questo azzera la tempistica e aumenta i costi. 

Può inoltre escludere da opportunità contrattuali attive che richiedono uno stato CMMC attuale. Pianifica attentamente le attività di remediation e assegna risorse per chiudere gli elementi POA&M ben prima della scadenza.

Se un provider cloud elabora, archivia o trasmette CUI per conto tuo, deve soddisfare i requisiti di sicurezza indicati in DFARS 252.204-7012(b)(2)(ii)(D). Questo significa generalmente autorizzazione FedRAMP Moderate o equivalente. 

La mancata documentazione e validazione dello stato di conformità del provider cloud crea problemi di definizione dell’ambito durante la valutazione e può portare a rilievi a carico dell’organizzazione, non solo del provider.

DFARS 252.204-7012 stabilisce i requisiti di cybersecurity di base che i contractor della difesa devono implementare, principalmente basati su NIST SP 800-171. CMMC aggiunge un livello di verifica richiedendo una valutazione indipendente di tali implementazioni. 

I due lavorano insieme: DFARS definisce cosa devi fare, CMMC conferma che sia stato effettivamente fatto. Prima di CMMC, i contractor dichiaravano la conformità senza una validazione indipendente.

I subappaltatori che archiviano, elaborano o generano CUI nell’ambito dell’esecuzione del contratto devono possedere lo stato CMMC appropriato al livello specificato nel flow-down contrattuale. 

I contractor principali sono responsabili dell’inclusione delle clausole CMMC negli accordi di subappalto e della verifica dello stato dei subappaltatori. I subappaltatori che gestiscono solo FCI o non trattano CUI non dovrebbero ricevere requisiti CMMC aggiuntivi rispetto a quanto richiesto dal contratto.

Scopri di più su Sicurezza informatica

Cybersecurity nel Settore Governativo: Rischi, Best Practice e FrameworkSicurezza informatica

Cybersecurity nel Settore Governativo: Rischi, Best Practice e Framework

Scopri quali rischi e minacce devono affrontare le agenzie e gli enti governativi nel mondo della cybersecurity. Trattiamo anche le best practice per la protezione dei sistemi governativi. Continua a leggere per saperne di più.

Per saperne di più
Che cos'è l'Insecure Direct Object Reference (IDOR)?Sicurezza informatica

Che cos'è l'Insecure Direct Object Reference (IDOR)?

L'Insecure Direct Object Reference (IDOR) è una vulnerabilità di controllo degli accessi in cui l'assenza di verifiche sulla proprietà consente agli attaccanti di recuperare i dati di qualsiasi utente modificando un parametro nell'URL. Scopri come rilevarla e prevenirla.

Per saperne di più
Sicurezza IT vs OT: principali differenze e best practiceSicurezza informatica

Sicurezza IT vs OT: principali differenze e best practice

La sicurezza IT e OT copre due domini con profili di rischio, obblighi di conformità e priorità operative distinti. Scopri le principali differenze e le best practice.

Per saperne di più
Cosa sono i backup air gapped? Esempi e best practiceSicurezza informatica

Cosa sono i backup air gapped? Esempi e best practice

I backup air gapped mantengono almeno una copia di ripristino fuori dalla portata degli attaccanti. Scopri come funzionano, tipologie, esempi e best practice per il ripristino da ransomware.

Per saperne di più
Provate la piattaforma di cybersecurity più avanzata

Provate la piattaforma di cybersecurity più avanzata

Scoprite come la piattaforma di cybersecurity più intelligente e autonoma al mondo può proteggere la vostra organizzazione oggi e in futuro.

Richiedi una demo
  • Iniziare
  • Richiedi una demo
  • Presentazione del prodotto
  • Perché SentinelOne
  • Prezzi e Pacchetti
  • Contattaci
  • Contattaci
  • Supporto
  • SentinelOne Status
  • Lingua
  • Piattaforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servizi
  • Wayfinder TDR
  • SentinelOne GO
  • Gestione tecnica dei clienti
  • Servizi di Supporto
  • Settori Verticali
  • Energia
  • Governo Federale
  • Servizi Finanziari
  • Sanitario
  • Scuola Superiore
  • Istruzione Primaria e Secondaria
  • Manifatturiero
  • Retail
  • Settore pubblico statale e locale
  • Cybersecurity for SMB
  • Risorse
  • Blog
  • Labs
  • Video
  • Presentazione del prodotto
  • Events
  • Cybersecurity 101
  • eBooks
  • Stampa
  • Pers
  • Notizie
  • Glossario del Ransomware
  • Azienda
  • Chi siamo
  • I nostri clienti
  • Opportunità di Lavoro
  • Partner
  • Legale e conformità
  • Sicurezza e conformità
  • S Foundation
  • S Ventures

©2026 SentinelOne, Tutti i diritti riservati.

Informativa sulla privacy Condizioni di utilizzo

Italiano