Die Reaktionen aus der Branche fallen im Ton unterschiedlich aus, beim Kern aber weitgehend einheitlich: Die Aussetzung von CMMC Phase 2 stoppt nur die verpflichtende unabhängige Prüfung, nicht die materiellen Sicherheitsanforderungen. Abdie Mohamed, GRC Engineering Lead bei NR Labs, betont, dass Unternehmen mit CUI weiterhin alle 110 Anforderungen aus NIST 800-171 selbst bewerten und ihren Wert im Supplier Performance Risk System (SPRS) melden müssen. Auch DFARS 252.204-7012 bleibe Vertragsbestandteil. Wer dort eine volle Punktzahl angebe, ohne die gebotene Sorgfalt tatsächlich umgesetzt zu haben, setze sich nach seiner Einschätzung Verfahren nach dem False Claims Act aus. Er verweist auf Vergleiche des US-Justizministeriums mit Aerojet Rocketdyne über 9 Millionen Dollar, Raytheon über 8,4 Millionen Dollar, Penn State über 1,25 Millionen Dollar und MORSE Corp über 4,6 Millionen Dollar.
Mohamed hält die Pause wegen der Kapazitätsprobleme für nachvollziehbar. Er nennt rund 100 autorisierte C3PAOs für mehr als 100.000 Unternehmen. Genau diese Größenordnung sei nicht tragfähig gewesen. Gleichzeitig warnt er vor der Übergangsphase, weil reine Selbstattestierung aus seiner Sicht bislang nicht ausgereicht habe und Drittprüfungen Unternehmen zur Rechenschaft zögen.
Auch Chris Nyhuis, CEO von Vigilant, begrüßt die Aussetzung grundsätzlich. Das bisherige Prüfregime habe kleine, schnelle und innovative Anbieter aus der Defense Industrial Base gedrängt. An den Anforderungen selbst ändere sich aber nichts, sondern nur an der Validierung. Gerade deshalb sei Vorsicht geboten: Fielen Prüfungen weg und werde Selbstattestierung zu einer bloßen Kästchenübung, ersetze man einen langsamen Prozess durch eine schnelle Falschangabe. Nyhuis plädiert deshalb für mehr persönliche Verantwortlichkeit derjenigen, die Verträge unterzeichnen.
Ned Butler von Redspin trennt in seiner Einordnung zwischen den Kosten der eigentlichen Umsetzung und den Kosten der Prüfung. DFARS 252.204-7012 verpflichte Auftragnehmer zur Implementierung von NIST SP 800-171; dort entstünden die wesentlichen Aufwände. CMMC nach 32 CFR §170 diene dagegen der Validierung. Butler hält die Bewertungskosten im Vergleich zu Programmen wie PCI, HITRUST oder ISO für nicht ungewöhnlich hoch. Zugleich benennt er strukturelle Probleme: etwa die Pflicht zur vollständigen Rezertifizierung nach Fusionen oder Übernahmen sowie ungelöste Fragen bei der Abgrenzung dessen, was überhaupt als CUI gilt.
Genau dieses Abgrenzungsproblem sieht Butler auch als Ursache der Kapazitätskrise. Nach Schätzung des Department of War müssten 76.598 Einheiten eine Level-2-C3PAO-Zertifizierung durchlaufen. Statt Drittprüfungen abzuschwächen, solle ihr Umfang nach seiner Ansicht drastisch reduziert werden — auf etwa 15.000 bis 20.000 Organisationen, fokussiert auf Auftragnehmer mit tatsächlich sensibler CUI oder kritischen Programmen.
Robert Teague, ebenfalls von Redspin, widerspricht der Erzählung, kleine und mittlere Unternehmen könnten CMMC nicht bewältigen. Von fast 150 durch Redspin durchgeführten Bewertungen seien 79 auf Organisationen mit weniger als 600 Beschäftigten entfallen; mehrere hätten bereits erfolgreiche Rezertifizierungen abgeschlossen. Auch die häufig genannte Zahl von „nur 100 Prüfern“ hält er für unzutreffend. Er nennt 107 autorisierte C3PAOs, mehr als 590 Lead Certified CMMC Assessors, mehr als 1.000 Certified CMMC Assessors und fast 2.000 Certified CMMC Professionals. Ein größeres Hindernis sei die Tier-3-Hintergrundüberprüfung für Prüfer, die sechs Monate oder länger dauern könne.
Mehrere weitere Stimmen heben das Haftungsrisiko hervor. Emil Sayegh, CEO von CyberSheath, schreibt, das Pentagon habe mit einer Pressekonferenz kein Gesetz aufgehoben. NIST SP 800-171, DFARS-Vorgaben und wahrheitsgemäße SPRS-Meldungen gälten weiter. Ohne C3PAO könne eine staatliche Untersuchung zum Moment der Wahrheit werden. Frank Balonis, Field CISO bei Kiteworks, formuliert es ähnlich: Die rechtliche Exponierung bleibe gleich, nur ein Kontrollpunkt falle weg. Michael G. Gruden von Steptoe und Kate M. Growley von Crowell & Moring verweisen ebenfalls darauf, dass die zugrunde liegenden Vertragsanforderungen schon vor CMMC bestanden und die Pause lediglich den unmittelbaren Druck rund um C3PAO-Prüfungen mindere.
Über die künftige Ausgestaltung herrscht dagegen Uneinigkeit. Tyler Fordham von Dark Wolf fordert statt papierbasierter Selbstattestierung stärker technische Sicherheitsvalidierung, etwa Penetrationstests, Red Teaming, maschinenlesbare Compliance wie OSCAL und automatisierte Prüfungen von Infrastructure-as-Code. Austin Berglas von BlueVoyant hält dem entgegen, aussagekräftige Veränderungen ließen sich nur über Drittzertifizierungen erreichen; wenn der Staat kleine und mittlere Unternehmen entlasten wolle, seien Anreize sinnvoller als abgesenkte Standards. Unabhängig von diesen Differenzen bleibt in den Einschätzungen der gemeinsame Nenner: Die 60-tägige Überprüfung setzt die Prüfpflicht aus, nicht aber die Pflicht zum Schutz von CUI.
