美國五角大樓於7月13日宣佈,立即暫停網絡安全成熟度模型認證(CMMC)第二階段(Phase II)的強制要求,原定於2026年11月10日生效的第三方評估等規定被叫停。五角大樓首席信息官Kirsten Davies在記者會上表示,此舉旨在響應國防部長Hegseth關於“積極提升戰備狀態”的指令,並強調“投資並動態維護強大的網絡安全仍是關鍵且不可妥協的優先事項”,但“我們正在減少繁文縟節”。

根據7月10日發佈的備忘錄,現行CMMC項目對國防工業基礎(DIB)施加了“顯著且往往是禁止性的負擔”,尤其對作為美國創新引擎的小型和非傳統企業。備忘錄指出:“雖然網絡安全至關重要,但行政合規不能以犧牲作戰能力和工業基礎增長為代價。”當前政府已將放鬆官僚限制、加快系統與能力交付列為優先事項,同時尋求擴大工業基礎。

CMMC項目最早可追溯至2019年特朗普政府時期,當時擔憂美國對手滲透承包商和供應商竊取信息。項目最初設計為五級網絡安全框架,按企業所處理數據的機密性分級。2021年拜登政府將其簡化為三級(CMMC 2.0)。此次暫停的第二階段要求企業每三年進行自我評估第三方評估

負責採購與保障的國防部副部長Michael Duffey明確表示:“我們正在停止複雜的審計,停止要求第三方評估機構和審計。”他指示項目經理和合同官員儘快修改包含暫停要求的現有招標和合同。Davies指出,目前有超過10萬家DIB企業需要第三方評估,但僅有約100家合格評估機構可用,“對中小企業來說,數學上根本不可能在2026年11月10日之前合規”。

暫停期間,五角大樓將成立一個工作組,在60天內提交最終報告,提出優先考慮速度並降低中小企業准入門檻的務實措施。同時,企業仍需通過NIST SP 800-171 Rev 2標準進行自我評估,以維持基本網絡安全合規。官員堅稱此舉不會犧牲網絡安全,“我們絕沒有放鬆任何標準”,Duffey說,“我們只是去掉了第三方評估的官僚主義”。

這一決定預計將受到長期抱怨CMMC設置過多障礙的國防企業歡迎,但也可能令項目開發者失望。CMMC自2019年啟動以來歷經多次調整,其核心目標——防止對手利用供應鏈薄弱環節——與減輕企業負擔之間的平衡,仍是五角大樓面臨的長期挑戰。