Een Leider in het 2025 Gartner® Magic Quadrant™ voor Endpoint Protection Platforms. Vijf jaar op rij.Een Leider in het Gartner® Magic Quadrant™Lees Rapport
Ervaart u een beveiligingslek?Blog
Aan de slagContact Opnemen
Header Navigation - NL
  • Platform
    Platform Overzicht
    • Singularity Platform
      Welkom bij de geïntegreerde bedrijfsbeveiliging
    • AI voor beveiliging
      Toonaangevend in AI-Powered beveiligingsoplossingen
    • Beveiliging van AI
      Versnel de adoptie van AI met veilige AI-tools, applicaties en agents.
    • Hoe het werkt
      Het Singularity XDR verschil
    • Singularity Marketplace
      Integraties met één klik om de kracht van XDR te ontsluiten
    • Prijzen en Pakketten
      Vergelijkingen en richtlijnen in één oogopslag
    Data & AI
    • Purple AI
      SecOps versnellen met generatieve AI
    • Singularity Hyperautomation
      Eenvoudig beveiligingsprocessen automatiseren
    • AI-SIEM
      De AI SIEM voor het Autonome SOC
    • AI Data Pipelines
      Beveiligingsdatapijplijn voor AI SIEM en data-optimalisatie
    • Singularity Data Lake
      Aangedreven door AI, verenigd door Data Lake
    • Singularity Data Lake For Log Analytics
      Naadloze opname van gegevens uit on-prem, cloud of hybride omgevingen
    Endpoint Security
    • Singularity Endpoint
      Autonome preventie, detectie en respons
    • Singularity XDR
      Inheemse en open bescherming, detectie en respons
    • Singularity RemoteOps Forensics
      Forensisch onderzoek op schaal orkestreren
    • Singularity Threat Intelligence
      Uitgebreide informatie over tegenstanders
    • Singularity Vulnerability Management
      Rogue Activa Ontdekken
    • Singularity Identity
      Bedreigingsdetectie en -respons voor Identiteit
    Cloud Security
    • Singularity Cloud Security
      Blokkeer aanvallen met een AI-gebaseerde CNAPP
    • Singularity Cloud Native Security
      Cloud en ontwikkelingsbronnen beveiligen
    • Singularity Cloud Workload Security
      Platform voor realtime bescherming van de cloudwerklast
    • Singularity Cloud Data Security
      AI-gestuurde detectie van bedreigingen
    • Singularity Cloud Security Posture Management
      Cloud misconfiguraties opsporen en herstellen
    AI Beveiligen
    • Prompt Security
      AI-tools in de hele organisatie beveiligen
  • Waarom SentinelOne?
    Waarom SentinelOne?
    • Waarom SentinelOne?
      Cybersecurity Ontworpen voor What’s Next
    • Onze Klanten
      Vertrouwd door 's Werelds Meest Toonaangevende Ondernemingen
    • Industrie Erkenning
      Getest en Gevalideerd door Experts
    • Over Ons
      De Marktleider in Autonome Cybersecurity
    Vergelijk SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Markten
    • Energie
    • Overheid
    • Financieel
    • Zorg
    • Hoger Onderwijs
    • Basis Onderwijs
    • Manufacturing
    • Retail
    • Rijksoverheid & lokale overheden
  • Services
    Managed Services
    • Managed Services Overzicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Wereldklasse expertise en Threat Intelligence.
    • Managed Detection & Response
      24/7/365 deskundige MDR voor uw volledige omgeving.
    • Incident Readiness & Response
      DFIR, paraatheid bij inbreuken & compromitteringsbeoordelingen.
    Support, Implementatie & Health
    • Technical Account Management
      Customer Success met Maatwerk Service
    • SentinelOne GO
      Begeleid Onboarden en Implementatieadvies
    • SentinelOne University
      Live en On-Demand Training
    • Services Overview
      Allesomvattende oplossingen voor naadloze beveiligingsoperaties
    • SentinelOne Community
      Community Login
  • Partners
    Ons Ecosysteem
    • MSSP Partners
      Versneld Succes behalen met SentinelOne
    • Singularity Marketplace
      Vergroot de Power van S1 Technologie
    • Cyber Risk Partners
      Schakel de Pro Response en Advisory Teams in
    • Technology Alliances
      Geïntegreerde, Enterprise-Scale Solutions
    • SentinelOne for AWS
      Gehost in AWS-regio's over de hele wereld
    • Channel Partners
      Lever de juiste oplossingen, Samen
    • SentinelOne for Google Cloud
      Geünificeerde, autonome beveiliging die verdedigers een voordeel biedt op wereldwijde schaal.
    Programma Overzicht→
  • Resources
    Resource Center
    • Case Studies
    • Datasheets
    • eBooks
    • Webinars
    • White Papers
    • Events
    Bekijk alle Resources→
    Blog
    • In de Spotlight
    • Voor CISO/CIO
    • Van de Front Lines
    • Cyber Response
    • Identity
    • Cloud
    • macOS
    SentinelOne Blog→
    Tech Resources
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Bedrijf
    Over SentinelOne
    • Over SentinelOne
      De Marktleider in Cybersecurity
    • Labs
      Threat Onderzoek voor de Moderne Threat Hunter
    • Vacatures
      De Nieuwste Vacatures
    • Pers & Nieuws
      Bedrijfsaankondigingen
    • Cybersecurity Blog
      De Laatste Cybersecuritybedreigingen, Nieuws en Meer
    • FAQ
      Krijg Antwoord op de Meest Gestelde Vragen
    • DataSet
      Het Live Data Platform
    • S Foundation
      Zorgen voor een veiligere toekomst voor iedereen
    • S Ventures
      Investeren in Next Generation Security en Data
Aan de slagContact Opnemen
Background image for CMMC-checklist: Auditvoorbereidingsgids voor DoD-aannemers
Cybersecurity 101/Cyberbeveiliging/CMMC-checklist

CMMC-checklist: Auditvoorbereidingsgids voor DoD-aannemers

CMMC 2.0 vereist onafhankelijke verificatie van de cybersecuritymaatregelen van DoD-aannemers. Gebruik deze CMMC-checklist om je voor te bereiden op de audit, van afbakening tot certificering.

CS-101_Cybersecurity.svg
Inhoud
Wat is CMMC (Cybersecurity Maturity Model Certification)?
Wie heeft een CMMC-checklist nodig?
Hoe bepaalt u uw vereiste CMMC-niveau
Gegevenstype koppelen aan certificeringsniveau
CMMC-niveaus begrijpen voordat u een checklist gebruikt
Pre-assessment readiness checklist
CMMC Level 1 Checklist (Fundamentele controles)
CMMC Level 2 Checklist (Geavanceerde controles)
CMMC Level 3 Checklist (Expert-niveau controles)
Documentatie- en bewijschecklist
Veelgemaakte fouten bij implementatie van de CMMC-checklist
Scopingsfouten die beoordelingen ontsporen
Documentatie die intentie beschrijft, geen realiteit
POA&M-mismanagement
CMMC-beoordelingskosten en tijdlijnverwachtingen
Typische tijdlijnranges
Kostenoverwegingen
Best practices voor het gebruik van een CMMC-checklist
Begin met CUI-detectie, niet met controle-implementatie
Segmenteer uw netwerk vóór de beoordeling
Bouw bewijs op over maanden, niet dagen
Bereid uw mensen voor op interviews
Handhaaf flow-down-eisen voor onderaannemers
Belangrijkste punten

Gerelateerde Artikelen

  • Wat is de DORA-verordening? EU-kader voor digitale weerbaarheid
  • Wat is Session Fixation? Hoe aanvallers gebruikerssessies kapen
  • Ethical Hacker: Methoden, Tools & Carrièrepad Gids
  • Wat zijn adversariële aanvallen? Dreigingen & verdedigingen
Auteur: SentinelOne | Recensent: Arijeet Ghatak
Bijgewerkt: April 30, 2026

Wat is CMMC (Cybersecurity Maturity Model Certification)?

Een DoD-aannemer verliest een groot defensiecontract omdat ze aannamen dat zelfattestatie aan NIST SP 800-171 voldoende was. Vanaf 10 november 2025 is dat niet meer het geval. De Cybersecurity Maturity Model Certification (CMMC) 2.0 is een DoD-certificeringskader voor cybersecurity dat de implementatie van bestaande federale beveiligingseisen door defensieaannemers verifieert via een onafhankelijke beoordeling. Het creëert geen nieuwe beveiligingseisen. Het voegt onafhankelijke verificatie toe aan controles die sinds 2017 al verplicht zijn onder DFARS 7012.

Het programma is vastgelegd in 32 CFR 170 (CMMC Programmaregel) en wordt gehandhaafd via 48 CFR 204 (DFARS Acquisitieregel). De Cyber AB fungeert als accreditatie-instantie voor het CMMC-ecosysteem. Als u Federal Contract Information (FCI) of Controlled Unclassified Information (CUI) verwerkt voor het Department of Defense, is CMMC op u van toepassing.

Volgens 48 CFR 204.7502 mogen contractbeheerders geen contracten toekennen aan aanbieders zonder actuele CMMC-status op het vereiste niveau. Uw voorbereiding op de CMMC-checklist begint nu, niet pas wanneer een aanbesteding op uw bureau belandt.

Voor CMMC beoordeelden aannemers zelf hun NIST SP 800-171-implementatie en dienden de resultaten in bij het Supplier Performance Risk System (SPRS). Zelfattestatie creëerde een vertrouwensgat binnen de defensie-industrie, waardoor aannemers naleving konden claimen zonder onafhankelijke validatie.

CMMC sluit dit gat door derde partij- of overheidsbeoordelingen te vereisen, afhankelijk van de gevoeligheid van de gegevens die u verwerkt. Elke controle die u claimt in uw System Security Plan (SSP) moet standhouden bij onderzoek, interviews en praktische technische tests door getrainde beoordelaars. Uw security operations tools, audit logging, toegangscontroles en incident response-procedures vallen allemaal binnen de beoordelingsscope van CMMC. Het kader organiseert deze eisen in drie certificeringsniveaus, elk met een eigen beoordelingsproces.

Wie heeft een CMMC-checklist nodig?

Niet elke organisatie die met het DoD samenwerkt, heeft identieke CMMC-eisen, maar de scope is breder dan veel aannemers verwachten. Elk bedrijf dat FCI of CUI opslaat, verwerkt of verzendt als onderdeel van een DoD-contract, moet het juiste CMMC-certificatieniveau behalen vóór gunning van het contract.

Hoofdaannemers met DoD-contracten waarin de DFARS 252.204-7021-clausule is opgenomen, moeten aantonen dat ze de actuele CMMC-status hebben op het in de aanbesteding gespecificeerde niveau. Deze eis stroomt door naar de toeleveringsketen: onderaannemers die CUI verwerken ter ondersteuning van de contractuitvoering moeten onafhankelijk voldoen aan het vereiste CMMC-niveau, en kunnen niet simpelweg vertrouwen op de certificering van de hoofdaannemer. Volgens een NDIA supply chain analysis gelden DFARS flow-down-eisen ongeacht de positie in de toeleveringsketen.

Organisaties die een CMMC-checklist moeten bijhouden zijn onder meer defensiefabrikanten en -leveranciers die CUI verwerken, IT-dienstverleners en managed service providers met toegang tot CUI-omgevingen, onderzoeksinstellingen met DoD-gefinancierde contracten, en detacherings- of professionele dienstverleners waarvan medewerkers toegang hebben tot CUI-systemen. Kleine bedrijven zijn niet uitgezonderd. Als uw contract CUI omvat, gelden de eisen van CMMC Level 2 ongeacht de omvang of omzet van het bedrijf.

De drempel is eenvoudig: als uw contract momenteel DFARS 252.204-7021 bevat of zal bevatten, heeft u een gestructureerd complianceproces nodig. Een CMMC-checklist stelt u in staat om de implementatie van controles bij te houden, bewijsverzameling te documenteren en hiaten te identificeren voordat een C3PAO- of DIBCAC-beoordelaar dat doet.

Hoe bepaalt u uw vereiste CMMC-niveau

Uw vereiste CMMC-niveau hangt af van het type informatie dat u verwerkt onder een DoD-contract. De bepaling begint met één vraag: bevat uw contract CUI?

Gegevenstype koppelen aan certificeringsniveau

  • Alleen FCI (Level 1): Uw contract omvat basis Federal Contract Information, maar geen CUI-markeringen. U implementeert 17 praktijken uit FAR 52.204-21 en voert jaarlijks een zelfbeoordeling uit.
  • CUI (Level 2): Uw contract bevat gegevens gemarkeerd als Controlled Unclassified Information volgens het CUI Registry. U implementeert alle 110 NIST SP 800-171-praktijken en ondergaat een C3PAO-beoordeling of zelfbeoordeling, afhankelijk van het contract.
  • High-value CUI (Level 3): Uw contract omvat CUI op kritieke programma's die door het DoD zijn geïdentificeerd. U implementeert 134 praktijken (110 uit NIST SP 800-171 plus 24 uit NIST SP 800-172) en ondergaat een door de overheid geleide DIBCAC-beoordeling. Level 3 vereist actuele Level 2-status als voorwaarde.

Als uw contract geen CMMC-niveau specificeert, bekijk dan de DFARS-clausules in uw aanbesteding. Volgens 32 CFR 170 bepaalt de contractbeheerder het vereiste niveau op basis van de gevoeligheid van de betrokken informatie. Bij twijfel, neem direct contact op met uw contractbeheerder. Het verkeerde niveau kiezen betekent voorbereiden op de verkeerde beoordeling, wat tijd en budget verspilt. Zodra u uw niveau weet, toont de onderstaande tabel precies wat dat niveau vereist.

CMMC-niveaus begrijpen voordat u een checklist gebruikt

Voordat u een CMMC-checklist doorloopt, moet u duidelijk weten wat elk certificeringsniveau vereist. De drie niveaus verschillen aanzienlijk in het aantal praktijken, het type beoordeling en de categorie informatie die ze beschermen.

KenmerkNiveau 1: FundamenteelNiveau 2: GeavanceerdNiveau 3: Expert
BeschermtFederal Contract Information (FCI)Controlled Unclassified Information (CUI)High-Value CUI
Aantal praktijken17 basisbeveiligingspraktijken110 praktijken134 praktijken
Type beoordelingJaarlijkse zelfbeoordelingDriejaarlijkse C3PAO- of zelfbeoordelingDriejaarlijkse DIBCAC-overheidsbeoordeling
POA&Ms toegestaan?NeeJa, afsluiting vereistJa, afsluiting vereist, kritieke eisen uitgesloten
Resultaten ingevoerd inSPRSSPRSCMMC eMASS
Vereiste voorwaardeGeenGeenActuele Level 2-status

Fase 1 van de implementatie begon op 10 november 2025, met de nadruk op Level 1- en Level 2-eisen. Fase 2 start op 10 november 2026, met uitbreiding van verplichte CMMC Third Party Assessment Organization (C3PAO) Level 2-beoordelingen. Volledige implementatie voor alle toepasselijke contracten begint na 9 november 2028.

Alle Level 2 C3PAO-beoordelingen volgen een verplichte vierfasenstructuur volgens het CMMC-proces:

  1. Plannen en voorbereiden pre-assessment: Scope bepalen, SSP en netwerkdiagrammen aanleveren, en overeenstemming bereiken over de beoordelingsplanning.
  2. Beoordelen van naleving van beveiligingseisen: Beoordelaars onderzoeken documentatie, interviewen personeel en testen controles direct.
  3. Beoordelingsresultaten afronden en rapporteren: C3PAO uploadt resultaten naar het vereiste rapportagesysteem.
  4. Certificaat uitgeven en POA&M afsluiten: Openstaande punten binnen de toegestane periode oplossen of uw Voorwaardelijke CMMC-status verliezen.

Beoordelaars gebruiken drie verplichte methoden uit NIST 171A: onderzoeken (documentatie, configuraties, logs beoordelen), interviewen (gestructureerde gesprekken met personeel) en testen (praktische technische validatie). U kunt niet alleen op papier slagen.

CMMC gebruikt momenteel NIST SP 800-171 Revisie 2. Volgens DoD CIO FAQ's heeft het DoD een class deviation uitgegeven op DFARS-clausule 252.204-7012 om Rev 2 als beoordelingsstandaard te behouden totdat Rev 3 via toekomstige regelgeving wordt opgenomen. Met deze context bieden de volgende checklists een gestructureerd pad voor de voorbereiding.

Pre-assessment readiness checklist

Pre-assessment readiness omvat het fundamentele werk dat voltooid moet zijn voordat u de scope nauwkeurig kunt bepalen, documenteren of een C3PAO kunt inschakelen. Hiaten die hier worden vastgesteld, beïnvloeden elk item op uw CMMC-checklist.

Asset scoping:

  • Volledige hardware- en software-inventarisatie over alle vijf CMMC-assetcategorieën (CUI Assets, Security Protection Assets, CRMA, Specialized Assets, Out-of-Scope)
  • Alle datastromen in kaart brengen waar CUI uw omgeving binnenkomt, doorheen beweegt en verlaat
  • Alle verbindingen met cloud service providers documenteren en aangeven of zij CUI of FCI verwerken
  • Alle externe verbindingen, thuiswerkers en leveranciers toegangspunten identificeren
  • Technische en fysieke scheiding voor out-of-scope assets verifiëren
  • CRMA risk management-onderbouwing in SSP documenteren voor elke CRMA-aanduiding
  • Alle Security Protection Assets en hun beveiligingsfuncties identificeren

Assessment readiness:

  • Gap-analyse afgerond voor alle Level 2-praktijken met behulp van de DoD assessment guide
  • Interne mock assessment of Registered Practitioner Organization (RPO) readiness review uitgevoerd
  • Personeel voorbereid op assessor-interviews (kan hun beveiligingsverantwoordelijkheden toelichten)
  • Zelfbeoordelingsscore ingediend bij SPRS
  • C3PAO geselecteerd uit Cyber AB-marktplaats en overeenkomst gesloten

Het afronden van asset scoping vóór het inschakelen van een C3PAO is niet optioneel. Beoordelaars die tijdens de beoordeling niet-gerapporteerde CUI-assets ontdekken, kunnen de scope uitbreiden, de tijdlijn verlengen en controles die eerst voldeden omzetten in bevindingen. Dit vroegtijdig goed regelen heeft meer invloed op de uitkomst van de beoordeling dan welke andere stap in de CMMC-voorbereiding dan ook.

CMMC Level 1 Checklist (Fundamentele controles)

Level 1 vereist 17 praktijken uit FAR 52.204-21, verdeeld over zes beveiligingsdomeinen. Dit zijn basisbeveiligingseisen voor systemen die FCI verwerken. POA&Ms zijn niet toegestaan op Level 1: alle 17 praktijken moeten volledig zijn geïmplementeerd vóór de zelfbeoordeling.

Toegangscontrole:

  • Systeemtoegang beperken tot geautoriseerde gebruikers, processen en apparaten
  • Toegang beperken tot de soorten transacties en functies die geautoriseerde gebruikers mogen uitvoeren
  • Verbindingen met externe informatiesystemen verifiëren en beheren
  • Informatie op openbaar toegankelijke systemen controleren en beheren

Identificatie en authenticatie:

  • Alle gebruikers, processen namens gebruikers en apparaten identificeren
  • Identiteiten van gebruikers, processen en apparaten authenticeren vóór toegang tot het systeem

Mediabescherming:

  • Informatiesysteemmedia wissen of vernietigen vóór verwijdering of hergebruik

Fysieke beveiliging:

  • Fysieke toegang tot systemen beperken tot geautoriseerde personen
  • Bezoekers begeleiden, bezoekersactiviteiten monitoren en fysieke toegangslogs bijhouden
  • Fysieke faciliteiten en ondersteunende infrastructuur beschermen en monitoren

Systeem- en communicatiebeveiliging:

  • Communicatie aan externe en belangrijke interne grenzen monitoren, controleren en beschermen
  • Subnetwerken implementeren voor openbaar toegankelijke componenten die gescheiden zijn van interne netwerken

Systeem- en informatie-integriteit:

  • Fouten in informatiesystemen tijdig identificeren en corrigeren
  • Bescherming bieden tegen kwaadaardige code op relevante systeemlocaties
  • Mechanismen voor bescherming tegen kwaadaardige code bijwerken wanneer nieuwe releases beschikbaar zijn
  • Periodieke systeemscans en realtime scans van bestanden uit externe bronnen uitvoeren

Level 1-naleving is haalbaar voor de meeste kleine aannemers met basis IT-hygiëne. Als alle 17 praktijken zijn geïmplementeerd, is uw CMMC-checklist op dit niveau eenvoudig te documenteren en zelf te attesteren. De zwaardere voorbereidingslast begint bij Level 2, waar 110 praktijken moeten worden beoordeeld op basis van gedocumenteerd, operationeel bewijs.

CMMC Level 2 Checklist (Geavanceerde controles)

Level 2 komt overeen met alle 110 praktijken in NIST SP 800-171 Revisie 2, verdeeld over 14 beveiligingsdomeinen. Deze CMMC-checklist is georganiseerd per domeinfamilie. Niet alle 110 individuele praktijkregels zijn hier opgenomen; gebruik de DoD assessment guide voor de volledige lijst en beoordelingsdoelen.

  • Toegangscontrole (AC): Implementeer least-privilege access, beheer bevoorrechte accounts, handhaaf sessievergrendeling na inactiviteit, beheer externe toegang en gebruik van externe systemen, en verbied het gebruik van draagbare opslag zonder identificeerbare eigenaar.
  • Audit en verantwoording (AU): Maak en bescherm systeemauditlogs, beoordeel en analyseer logs op ongeautoriseerde activiteiten, bewaar auditrecords ter ondersteuning van forensisch onderzoek, en bied systeemcapaciteit om gebeurtenissen te auditen zoals gedefinieerd in de SSP.
  • Configuratiebeheer (CM): Stel baselineconfiguraties vast en onderhoud deze, handhaaf beveiligingsinstellingen, volg en beheer wijzigingen aan systemen, analyseer beveiligingsimpact van wijzigingen vóór implementatie.
  • Identificatie en authenticatie (IA): Handhaaf multi-factor authenticatie voor alle netwerktoegang en bevoorrechte accounts, beheer sterkte en levenscyclus van authenticatiemiddelen, en gebruik replay-resistente authenticatie.
  • Incident response (IR): Stel een operationele incidentafhandelingscapaciteit in, inclusief voorbereiding, detectie, indamming, herstel en gebruikersrapportage. Test incident response-capaciteit en volg incidenten.
  • Onderhoud (MA): Voer onderhoud uit aan systemen, beheer onderhoudstools, wis apparatuur die voor onderhoud wordt verwijderd, en vereis MFA voor externe onderhoudssessies.
  • Mediabescherming (MP): Bescherm systeemmedia met CUI, beperk toegang tot CUI op media tot geautoriseerde gebruikers, wis media vóór verwijdering of hergebruik, en beheer toegang tot media met CUI tijdens transport.
  • Personeelsbeveiliging (PS): Screen personen vóór autorisatie tot systemen met CUI, en zorg dat CUI wordt beschermd tijdens en na personeelsacties zoals beëindiging en overplaatsing.
  • Risicobeoordeling (RA): Beoordeel periodiek risico's voor operaties en assets, scan op kwetsbaarheden in systemen en applicaties, en los kwetsbaarheden op volgens risicobeoordelingen.
  • Beveiligingsbeoordeling (SA): Beoordeel periodiek beveiligingscontroles, ontwikkel en implementeer actieplannen, monitor beveiligingscontroles continu, en produceer een actuele SSP die de operationele omgeving weerspiegelt.
  • Systeem- en communicatiebeveiliging (SC): Monitor, beheer en bescherm communicatie aan grenzen, implementeer architecturale ontwerpen en softwareontwikkeltechnieken die beveiliging bevorderen, en versleutel CUI tijdens transport en opslag.
  • Systeem- en informatie-integriteit (SI): Identificeer en verhelp fouten, bied bescherming tegen kwaadaardige code, monitor systemen op beveiligingswaarschuwingen, en werk bescherming tegen kwaadaardige code bij wanneer nieuwe releases beschikbaar zijn.

Het doorlopen van de CMMC Level 2-checklist vereist maandenlange, niet wekelijkse inspanning. Organisaties die NIST SP 800-171 nog niet hebben geïmplementeerd, moeten ruim voor de C3PAO-inschakeling beginnen met het oplossen van hiaten.

CMMC Level 3 Checklist (Expert-niveau controles)

Level 3 voegt 24 praktijken uit NIST SP 800-172 toe aan het volledige Level 2-pakket, voor een totaal van 134 praktijken. Deze aangescherpte eisen zijn gericht op organisaties die high-value CUI op kritieke DoD-programma's beschermen. Beoordelingen worden uitgevoerd door het Defense Industrial Base Cybersecurity Assessment Center (DIBCAC), niet door een C3PAO, en actuele Level 2-status is vereist.

De 24 aanvullende praktijken richten zich op vijf aangescherpte controlegebieden:

  • Verbeterde toegangscontrole: Gebruik dynamische toegangscontrole-benaderingen die aansluiten bij de risicostrategie van de organisatie en realtime toegangsbeslissingen ondersteunen
  • Geavanceerd configuratiebeheer: Stel een configuratiebeheersysteem in dat wijzigingen kan volgen met integriteitsverificatie
  • Versterkte incident response: Richt een security operations center (SOC) in en gebruik geautomatiseerde mechanismen ter ondersteuning van incidentafhandeling
  • Supply chain risk management: Beoordeel het risico van leveranciers, ontwikkelaars en externe partijen en adresseer het risico via contractuele eisen
  • Geavanceerde systeem- en communicatiebeveiliging: Gebruik architecturale mogelijkheden en systeemconfiguraties die beheerde interfaces benutten en grensbeveiligingsmechanismen toepassen

Level 3-organisaties moeten ook persistent monitoren, threat-hunting uitvoeren en afstemmen met federale cybersecurity-instanties. Omdat DIBCAC overheidsbeoordelingen uitvoert, zijn de doorlooptijden aanzienlijk en is vroege afstemming met DoD-programmakantoren essentieel vóór de voorbereiding op de Level 3 CMMC-checklist.

Documentatie- en bewijschecklist

Hiaten in documentatie en bewijs zijn de meest voorkomende reden dat CMMC-beoordelingen vastlopen of mislukken. Uw SSP is het centrale artefact in elke CMMC-checklist, maar beoordelaars eisen een volledig bewijspakket voor elk domein binnen de scope.

SSP en documentatie:

  • Volledige beschrijvingen van alle in-scope assets in alle vijf categorieën
  • Actuele netwerkdiagrammen met CUI-datastromen en systeemgrenzen
  • Documentatie van alle beveiligingscontroles en hun implementatiestatus
  • Rollen en verantwoordelijkheden voor implementatie van beveiligingscontroles
  • Incident response-procedures en contactpersonen
  • Alle vermelde non-POA&M-praktijken volledig geïmplementeerd (AC.L2-3.1.20, AC.L2-3.1.22, CA.L2-3.12.4, PE.L2-3.10.3, PE.L2-3.10.4, PE.L2-3.10.5)

Bewijsverzameling:

  • Systeemlogs die continue monitoring aantonen (AU-domein)
  • Toegangscontroleconfiguraties en actuele lijsten van geautoriseerde gebruikers
  • Multi-factor authenticatiegegevens voor alle in-scope systemen
  • Bewijs van voltooiing van security awareness-training met data en inhoud
  • Incident response plan met gedocumenteerde oefenrecords
  • Configuratiebaselines en wijzigingsbeheerrecords
  • Resultaten van kwetsbaarheidsbeoordelingen en opvolging van herstelmaatregelen
  • Cryptografie-documentatie en certificaten
  • Fysieke toegangslogs voor CUI-gebieden
  • Media-saneringsrecords
  • Documentatie van CUI-verwerking door derden en cloud service providers

Onderhoud na certificering:

  • Jaarlijkse zelfbeoordeling met attestatie door senior management
  • Jaarlijkse bevestiging ingediend bij SPRS
  • Continue monitoring en audit logging onderhouden
  • SSP bijwerken bij wijzigingen in de omgeving
  • Her-certificeringsplanning starten vóór afloop

Volgens de Cyber AB CAP kan een beoordeling niet doorgaan zonder een adequaat gedocumenteerde SSP en resulteert dit standaard in een mislukte beoordeling. Bouw uw CMMC-checklist-bewijsrepository continu op tijdens de voorbereiding, niet pas in de weken voor uw beoordelingsdatum.

Veelgemaakte fouten bij implementatie van de CMMC-checklist

Veel aannemers benaderen CMMC met vertrouwen in hun bestaande beveiligingsprogramma's, maar lopen vast tijdens de voorbereidingsfase van de beoordeling. Dit zijn de meest voorkomende faalpunten en hoe u ze kunt vermijden.

Scopingsfouten die beoordelingen ontsporen

Over-scoping van uw CUI-omgeving verhoogt kosten en complexiteit zonder de beveiliging te verbeteren. Als een systeem nooit CUI verwerkt, opslaat of verzendt, kan een juiste Contractor Risk Managed Asset (CRMA)-aanduiding en technische scheiding uw beoordelingsscope legitiem verkleinen. Volgens het CMMC-proces zijn CRMA-aanduidingen echter "onderhevig aan het oordeel van de beoordelaar." Elke CRMA moet worden onderbouwd met documentatie in uw SSP.

Even riskant: onder-scoping door back-upsystemen met CUI, cloudservices die CUI verwerken of endpoints van thuiswerkers uit te sluiten. Als CUI een systeem kan passeren, valt dat systeem binnen de scope, ongeacht informele verklaringen.

Documentatie die intentie beschrijft, geen realiteit

Volgens de Cyber AB CAP kan een beoordeling niet doorgaan zonder een adequaat gedocumenteerd System Security Plan en resulteert dit standaard in een mislukte beoordeling. Uw SSP is het belangrijkste document binnen CMMC en moet de feitelijke operationele situatie weerspiegelen, niet een gewenste situatie.

Veelvoorkomende bewijshiaten zijn toegangscontrollijsten zonder recent toegevoegde medewerkers, beleid zonder goedkeuring van het senior management en attestaties ondertekend door medewerkers die niet de juiste eigenaar, operator of supervisor zijn.

POA&M-mismanagement

Sommige praktijken mogen niet op een Plan of Action and Milestones (POA&M) worden geplaatst, waaronder CA.L2-3.12.4 (System Security Plan), diverse fysieke beveiligingspraktijken en specifieke toegangscontrolepraktijken. Als u een C3PAO-beoordeling ingaat met hiaten in deze controles, kunt u een volledig nieuwe beoordeling krijgen.

Als u een Voorwaardelijke CMMC-status ontvangt met openstaande POA&M-items, is de afsluittermijn absoluut. Volgens DoD CMMC guidance betekent het niet afsluiten van POA&Ms binnen de vastgestelde periode dat uw status verloopt zonder mogelijkheid tot verlenging.

Bij al deze faalpunten is timing de rode draad. De tijdlijn van gap tot CMMC-certificering kan aanzienlijk zijn, en de kosten van gemiste deadlines of herhaalde beoordelingen zijn groot. Inzicht in het realistische budget en de tijdlijn is de volgende stap.

CMMC-beoordelingskosten en tijdlijnverwachtingen

Budget en tijdlijn zijn twee van de meest voorkomende zorgen voor aannemers die aan CMMC-voorbereiding beginnen. Beide variëren sterk afhankelijk van de omvang van uw organisatie, bestaande beveiligingsvolwassenheid en het benodigde certificeringsniveau.

Typische tijdlijnranges

Volgens DoD CIO guidance is er geen vaste voorbereidingsperiode, maar branche-ervaring biedt nuttige referenties:

  • Level 1 zelfbeoordeling: 1-3 maanden voor organisaties met basiscontroles die al zijn geïmplementeerd.
  • Level 2 met bestaand NIST SP 800-171-programma: 6-12 maanden voor gap-remediatie, bewijsverzameling en C3PAO-planning.
  • Level 2 vanaf nul: 12-18 maanden of langer, rekening houdend met implementatie van controles, documentatie, bewijsopbouw en beschikbaarheid van beoordelaars.
  • Level 3 overheidsbeoordeling: Tijdlijn afhankelijk van DIBCAC-planning en vereist eerst actuele Level 2-status.

Beschikbaarheid van C3PAO's verlengt deze tijdlijnen. Volgens GAO-26-107955 is de beoordelaarscapaciteit beperkt, dus vroegtijdige betrokkenheid is belangrijk.

Kostenoverwegingen

Beoordelingskosten zijn afhankelijk van de omvang van uw omgeving en de complexiteit van de scope. Belangrijke kostencategorieën zijn consultant- en RPO-kosten voor gap-analyse en remediatie, C3PAO-beoordelingskosten (variërend per organisatiegrootte en scope), technologische investeringen voor nog niet geïmplementeerde controles en interne tijd voor documentatie en bewijsvoorbereiding. 

Kleinere onderaannemers met een beperkte CUI-scope zullen minder uitgeven dan grote hoofdaannemers met complexe, multi-site omgevingen. Neem deze kosten vroegtijdig op in uw programmabegroting om verrassingen tijdens de aanbestedingsfase te voorkomen. Met budget en tijdlijn in beeld, helpen de volgende operationele praktijken u om beide optimaal te benutten.

Best practices voor het gebruik van een CMMC-checklist

Slagen voor een CMMC-beoordeling vereist meer dan alleen afvinken van een CMMC-checklist. Deze praktijken helpen aannemers een duurzame CMMC-compliancehouding op te bouwen die beoordelaars verwachten.

Begin met CUI-detectie, niet met controle-implementatie

Voordat u een enkele beveiligingscontrole implementeert, identificeer elke locatie waar CUI zich bevindt. Veelvoorkomende locaties zijn:

  • E-mailarchieven en samenwerkingsplatforms
  • HR-bestanden en projectdocumentatie
  • Leveranciersdocumenten en notulen
  • Gedeelde schijven en cloudopslag

Breng precies in kaart hoe CUI uw omgeving binnenkomt, waar het reist, waar het wordt opgeslagen en waar het vertrekt. Deze CUI-map stuurt uw SSP en bepaalt direct uw beoordelingsscope. Als externe cloud service providers CUI verwerken, moeten zij voldoen aan DFARS 252.204-7012(b)(2)(ii)(D).

Segmenteer uw netwerk vóór de beoordeling

Juiste segmentatie is het primaire middel om uw beoordelingsscope te verkleinen. Implementeer firewalls tussen interne netwerken en het internet. Gebruik routers en switches om zones te creëren die CUI-omgevingen scheiden van algemene bedrijfsnetwerken, en versleutel alle CUI die over het internet wordt verzonden. De policy enforcement- en apparaatbeheerfuncties van het Singularity Platform kunnen deze segmentatie ondersteunen door toegang tot CUI-verwerkende systemen te beheren.

Bouw bewijs op over maanden, niet dagen

Stel een gestructureerde bewijsrepository op die is afgestemd op de CMMC-controlefamilies. Vul deze continu aan, niet reactief. De Level 2 assessment guide vereist bewijs dat controles consistent in werking zijn, dus trainingsrecords, auditlogvoorbeelden, kwetsbaarheidsscans en incident response-oefenbewijzen moeten aanhoudende werking aantonen. Beoordelaars beoordelen operationele volwassenheid, niet alleen technische aanwezigheid.

Bereid uw mensen voor op interviews

Personeel dat hun beveiligingsverantwoordelijkheden niet kan uitleggen aan beoordelaars is een vaak onderschat faalpunt. Oefen interne interviews. Zorg dat iedereen binnen de scope kan uitleggen wat ze doen, waarom ze het doen en waar het is gedocumenteerd.

Beoordelaars zullen personeel in verschillende sleutelrollen interviewen:

  • Ontvangers van security awareness-training
  • Beheerders van informatiebeveiligingstraining
  • Incident response team-leden
  • Medewerkers auditmonitoring en logreview

Voorbereiding binnen deze groepen vergroot het vertrouwen en vermindert verrassingen tijdens de beoordeling.

Handhaaf flow-down-eisen voor onderaannemers

Volgens een NDIA supply chain analysis gelden DFARS 252.204-7012 flow-down-eisen "ongeacht hun positie in de toeleveringsketen" voor elke onderaannemer die CUI opslaat, verwerkt of genereert als onderdeel van de contractuitvoering. Identificeer alle onderaannemers die CUI zullen verwerken en neem CMMC-clausules op in onderaannemingscontracten. Verifieer dat elke onderaannemer de juiste CMMC-status heeft op het vereiste niveau. Stroom CMMC-eisen niet door naar onderaannemers die geen CUI verwerken.

Het consequent toepassen van deze praktijken bouwt de operationele volwassenheid op waar beoordelaars naar zoeken. De juiste security tooling kan de handmatige inspanning voor het behouden van deze houding verder verminderen.

Ontketen AI-aangedreven cyberbeveiliging

Verhoog uw beveiliging met realtime detectie, reactiesnelheid en volledig overzicht van uw gehele digitale omgeving.

Vraag een demo aan

Belangrijkste punten

CMMC 2.0 is nu afdwingbaar, met Fase 1 actief sinds 10 november 2025. Uw CMMC-checklist moet asset scoping, SSP-documentatie, bewijsverzameling en doorlopend onderhoud van Level 2-praktijken omvatten. De meest voorkomende fouten zijn documentatie die intentie beschrijft in plaats van operationele realiteit, onvolledige CUI-detectie en reactieve bewijsverzameling. 

Begin ruim voor certificering met de voorbereiding op CMMC-naleving, houd rekening met beperkte C3PAO-capaciteit en bouw monitoringinfrastructuur die CMMC-certificeringsbewijs standaard genereert.

Veelgestelde vragen

Een CMMC-checklist is een gestructureerd hulpmiddel dat DoD-aannemers helpt bij het bijhouden van de implementatie en het verzamelen van bewijs voor elke vereiste cybersecuritypraktijk onder het Cybersecurity Maturity Model Certification-framework. Het organiseert de 17, 110 of 134 vereiste praktijken op elk CMMC-niveau in uitvoerbare items, waaronder asset scoping, documentatie, implementatie van controles en gereedheid voor assessment. 

Het gebruik van een CMMC-checklist vermindert het risico op het missen van kritieke controles of het arriveren bij een C3PAO-assessment zonder voldoende bewijs.

Een volledige CMMC-checklist omvat het inventariseren van assets en het afbakenen van CUI, documentatievereisten voor het System Security Plan (SSP), de status van de implementatie van controls binnen alle toepasselijke NIST SP 800-171 practice families, vereisten voor het verzamelen van bewijs per domein (toegangsbeheer, auditlogs, incidentrespons, configuratiebeheer en andere), POA&M-tracking voor openstaande punten en de gereedheid van personeel voor assessor-interviews. 

Op Level 2 is de checklist gekoppeld aan 110 practices verdeeld over 14 beveiligingsdomeinen. Op Level 3 breidt dit uit naar 134 practices, inclusief de vereisten van NIST SP 800-172.

Geen enkele regelgeving vereist dat aannemers een specifiek checklistformaat gebruiken. Het DoD-assessmentproces vereist echter dat elke relevante praktijk wordt onderzocht, getest of geobserveerd door assessoren. Zonder een systematische benadering voor het bijhouden missen aannemers routinematig bewijsstukken of documenteren zij de implementatie van controles onvoldoende. 

Volgens de Cyber AB CAP kan een assessment niet doorgaan zonder een adequaat gedocumenteerd SSP, waardoor gestructureerde voorbereiding feitelijk verplicht is, ook al is het checklistformaat zelf niet voorgeschreven.

Het kernpakket documentatie voor een CMMC Level 2-beoordeling omvat: een System Security Plan dat alle in-scope assets dekt, netwerkdiagrammen die CUI-datastromen en systeemgrenzen weergeven, toegangscontrollijsten en autorisatieregistraties, documentatie van security awareness-trainingen met voltooiingsdata, incident response plan en oefendocumentatie, configuratiebaselines en wijzigingsbeheerregistraties, resultaten van kwetsbaarheidsscans en opvolging van remediatie, en alle openstaande POA&M-items met mijlpaaldata. 

Beoordelaars zullen ook gestructureerde interviews met personeel afnemen en praktische technische tests uitvoeren, dus de documentatie moet de operationele werkelijkheid weerspiegelen, niet de beoogde situatie.

De voorbereidingstijd varieert op basis van je bestaande maatregelen, de volwassenheid van je documentatie en hoeveel historisch bewijs je al kunt aanleveren. Organisaties met volwassen beveiligingsprogramma's en gevestigde SSP's gaan doorgaans sneller, terwijl organisaties die vanaf nul beginnen op een langere doorlooptijd moeten rekenen. 

Alle organisaties moeten rekening houden met periodes voor het verzamelen van bewijs, interne gereedheidsbeoordelingen en de wachttijd voor C3PAO-planning, wat maanden aan de totale doorlooptijd kan toevoegen.

Je Voorwaardelijke CMMC-status kan verlopen en je moet mogelijk een volledig nieuwe beoordeling ondergaan in plaats van simpelweg verder te gaan waar je was gebleven. Dit zet je tijdlijn terug en verhoogt de kosten. 

Het kan je ook diskwalificeren voor lopende contractkansen waarvoor een actuele CMMC-status vereist is. Plan herstelmaatregelen zorgvuldig en wijs voldoende middelen toe om POA&M-items ruim voor de deadline af te ronden.

Als een cloudserviceprovider CUI namens jou verwerkt, opslaat of verzendt, moet deze voldoen aan de beveiligingseisen zoals beschreven in DFARS 252.204-7012(b)(2)(ii)(D). Dit betekent doorgaans FedRAMP Moderate of een gelijkwaardige autorisatie. 

Als je de nalevingsstatus van je cloudprovider niet documenteert en valideert, ontstaan er afbakeningsproblemen tijdens de beoordeling en kan dit leiden tot bevindingen tegen jouw organisatie, niet alleen tegen de provider.

DFARS 252.204-7012 stelt de onderliggende cybersecurity-eisen vast die defensieaannemers moeten implementeren, voornamelijk gebaseerd op NIST SP 800-171. CMMC voegt een verificatielaag toe door een onafhankelijke beoordeling van die implementaties te vereisen. 

De twee werken samen: DFARS bepaalt wat je moet doen en CMMC bevestigt dat je het daadwerkelijk hebt gedaan. Voor CMMC rapporteerden aannemers zelf hun naleving zonder onafhankelijke validatie.

Onderaannemers die CUI opslaan, verwerken of genereren als onderdeel van de contractuitvoering, hebben de juiste CMMC-status nodig op het niveau dat in het contract is vastgelegd. 

Hoofdaannemers zijn verantwoordelijk voor het opnemen van CMMC-clausules in onderaannemingscontracten en het verifiëren van de status van onderaannemers. Onderaannemers die alleen FCI verwerken of niet met CUI werken, mogen geen onnodige CMMC-eisen opgelegd krijgen die verder gaan dan wat het contract vereist.

Ontdek Meer Over Cyberbeveiliging

Wat is Insecure Direct Object Reference (IDOR)?Cyberbeveiliging

Wat is Insecure Direct Object Reference (IDOR)?

Insecure Direct Object Reference (IDOR) is een toegangscontrolefout waarbij ontbrekende eigendomscontroles aanvallers in staat stellen om gegevens van elke gebruiker op te halen door een URL-parameter te wijzigen. Leer hoe u het kunt detecteren en voorkomen.

Lees Meer
IT versus OT-beveiliging: Belangrijkste verschillen & best practicesCyberbeveiliging

IT versus OT-beveiliging: Belangrijkste verschillen & best practices

IT- en OT-beveiliging bestrijken twee domeinen met verschillende risicoprofielen, compliance-eisen en operationele prioriteiten. Ontdek de belangrijkste verschillen en best practices.

Lees Meer
Wat zijn Air Gapped Backups? Voorbeelden & Best PracticesCyberbeveiliging

Wat zijn Air Gapped Backups? Voorbeelden & Best Practices

Air Gapped Backups houden ten minste één herstelkopie buiten het bereik van aanvallers. Lees hoe ze werken, de verschillende typen, voorbeelden en best practices voor herstel na ransomware.

Lees Meer
Wat is OT-beveiliging? Definitie, uitdagingen & best practicesCyberbeveiliging

Wat is OT-beveiliging? Definitie, uitdagingen & best practices

OT-beveiliging beschermt industriële systemen die fysieke processen aansturen binnen kritieke infrastructuur. Behandelt Purdue Model-segmentatie, IT/OT-convergentie en NIST-richtlijnen.

Lees Meer
Ervaar het meest geavanceerde platform voor cyberbeveiliging

Ervaar het meest geavanceerde platform voor cyberbeveiliging

Ontdek hoe 's werelds meest intelligente, autonome cyberbeveiligingsplatform uw organisatie vandaag en in de toekomst kan beschermen.

Vraag een demo aan
  • Aan de slag
  • Vraag een demo aan
  • Product Tour
  • Waarom SentinelOne
  • Prijzen & Pakketten
  • FAQ
  • Contact
  • Contact
  • Support
  • SentinelOne Status
  • Taal
  • Platform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support Services
  • Markten
  • Energie
  • Overheid
  • Financieel
  • Zorg
  • Hoger Onderwijs
  • Basis Onderwijs
  • Manufacturing
  • Retail
  • Rijksoverheid & lokale overheden
  • Cybersecurity for SMB
  • Resources
  • Blog
  • Labs
  • Case Studies
  • Product Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • Whitepapers
  • Pers
  • Nieuws
  • Ransomware Anthology
  • Bedrijf
  • Over SentinelOne
  • Onze klanten
  • Vacatures
  • Partners
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle rechten voorbehouden.

Privacyverklaring Gebruiksvoorwaarden

Dutch