美国国防部周一宣布,立即暂停原定于2026年11月10日生效的网络安全成熟度模型认证(CMMC)第二阶段要求,并启动为期60天的全面审查。此举旨在减轻国防工业基础,尤其是中小型企业的合规负担。
CMMC第二阶段原计划要求处理受控未分类信息的国防承包商必须通过第三方评估机构的认证才能获得合同。然而,国防部表示,该计划造成了高昂的合规成本和官僚主义负担。小企业管理局的数据显示,合规成本已迫使部分小企业退出国防工业基础,影响了关键能力的交付。据估计,第二阶段将影响超过12万家小企业,其中部分企业的合规成本可能高达60万美元。
此外,现有第三方评估机构的数量严重不足,无法在11月截止日期前完成评估。
国防部首席信息官表示,暂停第二阶段要求旨在消除官僚障碍,同时维持严格的网络安全基线。第一阶段的自评估要求仍然有效。新成立的CMMC改革工作组将在60天内提交改革建议。