美国五角大楼于7月13日宣布,立即暂停网络安全成熟度模型认证(CMMC)第二阶段(Phase II)的强制要求,原定于2026年11月10日生效的第三方评估等规定被叫停。五角大楼首席信息官Kirsten Davies在记者会上表示,此举旨在响应国防部长Hegseth关于“积极提升战备状态”的指令,并强调“投资并动态维护强大的网络安全仍是关键且不可妥协的优先事项”,但“我们正在减少繁文缛节”。
根据7月10日发布的备忘录,现行CMMC项目对国防工业基础(DIB)施加了“显著且往往是禁止性的负担”,尤其对作为美国创新引擎的小型和非传统企业。备忘录指出:“虽然网络安全至关重要,但行政合规不能以牺牲作战能力和工业基础增长为代价。”当前政府已将放松官僚限制、加快系统与能力交付列为优先事项,同时寻求扩大工业基础。
CMMC项目最早可追溯至2019年特朗普政府时期,当时担忧美国对手渗透承包商和供应商窃取信息。项目最初设计为五级网络安全框架,按企业所处理数据的机密性分级。2021年拜登政府将其简化为三级(CMMC 2.0)。此次暂停的第二阶段要求企业每三年进行自我评估和第三方评估。
负责采购与保障的国防部副部长Michael Duffey明确表示:“我们正在停止复杂的审计,停止要求第三方评估机构和审计。”他指示项目经理和合同官员尽快修改包含暂停要求的现有招标和合同。Davies指出,目前有超过10万家DIB企业需要第三方评估,但仅有约100家合格评估机构可用,“对中小企业来说,数学上根本不可能在2026年11月10日之前合规”。
暂停期间,五角大楼将成立一个工作组,在60天内提交最终报告,提出优先考虑速度并降低中小企业准入门槛的务实措施。同时,企业仍需通过NIST SP 800-171 Rev 2标准进行自我评估,以维持基本网络安全合规。官员坚称此举不会牺牲网络安全,“我们绝没有放松任何标准”,Duffey说,“我们只是去掉了第三方评估的官僚主义”。
这一决定预计将受到长期抱怨CMMC设置过多障碍的国防企业欢迎,但也可能令项目开发者失望。CMMC自2019年启动以来历经多次调整,其核心目标——防止对手利用供应链薄弱环节——与减轻企业负担之间的平衡,仍是五角大楼面临的长期挑战。