CMMC ist ein Rahmenwerk, mit dem überprüft wird, ob Unternehmen beim Umgang mit Regierungsinformationen grundlegende Cybersicherheitsstandards einhalten, bevor sie Verteidigungsaufträge erhalten können. Betroffen sind Auftragnehmer und Unterauftragnehmer, die Federal Contract Information (FCI) oder Controlled Unclassified Information (CUI) verarbeiten – unabhängig von ihrer Größe.

Mit CMMC 2.0 wurde das Programm von fünf auf drei Stufen reduziert. Stufe 1 betrifft den Schutz von FCI. Stufe 2 deckt CUI auf Basis von NIST 800-171 ab. Stufe 3 richtet sich auf kritische CUI im Kontext fortgeschrittener persistenter Bedrohungen.

Die Regelung trat am 10. November 2025 in Kraft und leitete eine mehrjährige stufenweise Einführung ein. In Phase 1 waren Selbstbewertungen für Stufe 1 und Stufe 2 vorgesehen. Die nun ausgesetzte zweite Phase sollte am 10. November 2026 beginnen und für neue Verträge Zertifizierungsprüfungen durch unabhängige Dritte auf Stufe 2 vorschreiben.

Bei der Ankündigung der Änderungen am Montag nannten Regierungsvertreter einen Mangel an zugelassenen externen Prüfern als einen Grund dafür, dass die Frist im November nicht mehr realistisch sei. Die neue CMMC-Taskforce soll nun zunächst Rückmeldungen aus der Industrie einholen und auf dieser Grundlage Reformvorschläge vorlegen.

Davies stellte die Entscheidung als organisatorische Entlastung dar, nicht als sicherheitspolitischen Rückschritt. Das Department of War unternehme „entschlossene Schritte, um bürokratische Straßensperren zu beseitigen und unsere verteidigungsindustrielle Basis im Einklang mit der Direktive von Secretary of War Pete Hegseth zur entschlossenen Skalierung der Einsatzbereitschaft der Streitkräfte zu beleben“, sagte sie. Zugleich betonte Davies: „Ich möchte aber klarstellen: Im gesamten Department of War und in unserer verteidigungsindustriellen Basis bleibt die Investition in robuste Cybersicherheit und deren dynamische Aufrechterhaltung eine entscheidende, nicht verhandelbare Priorität.“

Auch Michael Duffey verband die Aussetzung mit industriepolitischen Zielen. Aus seiner Sicht ist die Pause notwendig, damit kleinere Hersteller nicht durch die Kosten der Regelbefolgung aus Verteidigungsaufträgen gedrängt werden.

An den weiteren Ausbaustufen des Programms hat sich zunächst nichts geändert. Phase 3 ist für November 2027 vorgesehen und soll Zertifizierungsanforderungen für Stufe 3 einführen. Die vierte und letzte Phase würde bis 2028 die vollständige Umsetzung über alle einschlägigen Verträge hinweg bringen.