CMMC רמה 1 מול רמה 2 — מה שרשרת ההגנה האמריקאית מצפה ב-2026
CMMC (Cybersecurity Maturity Model Certification) הוא המודל שמשרד ההגנה האמריקאי (DoD) משתמש בו כדי לוודא שקבלנים מגנים על מידע רגיש בשרשרת האספקה. לחברות ישראליות בייצור, הגנה וטכנולוגיה — זה לעיתים תנאי לפני חוזה, לא «בונוס». ב-2026 חשוב להבדיל: Level 1 ל-FCI (מידע חוזי פשוט), Level 2 ל-CUI (מידע מוגן יותר) עם 110 פרקטיקות NIST SP 800-171.
Level 1 — מתי מספיק
17 פרקטיקות בסיסיות — סיסמאות, עדכונים, אנטי-מלוור, גבולות גישה. מיועד לסביבות עם Federal Contract Information (FCI) בלבד.
מתאים לספק קטן שלא נוגע ב-CUI אבל כן חותם על סעיפי DFARS — עדיין צריך תיעוד ו-self-assessment מסודר.
Level 2 — מה מעלה את הרף
110 בקרות — ניהול תצורה, לוגים, MFA, תגובה לאירועים, ספקים. נדרש כשמעבדים Controlled Unclassified Information (CUI).
ביקורת צד שלישי (C3PAO) נכנסת לתמונה לרבים — לא מספיק «עשינו את זה פעם».
חפיפה ל-ISO 27001 ו-NIST עוזרת, אבל CMMC דורש מיפוי מפורש לכל practice וראיה שוטפת.
טיפים ל-SMB בישראל
שאלו את הלקוח: FCI או CUI? איזה Level בחוזה? בלי זה קשה לתמחר ולתכנן.
התחילו ממלאי מערכות וספקים שמחזיקים מידע מהחוזה — לפני רכישת כלי GRC יקר.