12월 26일에 CMMC 규칙이 제안된 규칙(proposed rule)으로 연방 관보(Federal Register)에 발표되었습니다. 이제 60일간 의견(public comment)을 접수하며(24.2.26일까지), 접수된 의견 검토가 끝나면 최종 규칙(final rule)을 발표하게 됩니다. 통상 의견 검토 기간은 1년 정도이므로 25년 상반기에 최종 규칙이 발표될 것으로 예상됩니다.제안된 규칙에 새로운 내용들이 포함되어 있습니다. 분석되는대로 공지하겠습니다.

미국 국방부는 7월말 CMMC 규칙을 예산관리처(OMB : Office of Management and Budget)의 정보규제처(OIRA: Office of Information and Regulatory Affairs)에 보냈습니다. OIRA는 CMMC 규칙을 60~90일간 검토한 후 9월 또는 10월에 연방 관보(Federal Register)에 게시하게 됩니다. 이때 제안된 규칙(Proposed Rule) 또는 임시 최종 규칙(Interim Final Rule) 의 두 형태 중 하나로 게시합니다. 제안된 규칙으로 게시하는 경우, 60일간 의견(public comment) 접수 후에 접수된 의견을 검토합니다. 접수된 의견을 검토하는 데 평균 280~333일이 소요됩니다. 의견 검토가 끝나면 최종 규칙을 발표합니다. 이 경우 2025년 1분기에 최종 규칙이 발표되며, 2025년 2분기부터 국방부 계약에 CMMC를 적용하게 됩니다 임시 최종 규칙으로 게시하는 경우, 60일간 의견 접수 후 바로 국방부 계약에 CMMC를 적용할 수 있습니다. 이 경우 2024년 1분기 중 국방부 계약에 CMMC를 적용하게 됩니다. 전문가들은 OIRA가 제안된 규칙(Proposed Rule)으로 게시할 가능성이 높다고 보고 있고 따라서 2025년 2분기 경 CMMC가 시행된다고 예상하고 있습니다. 업체가 CMMC 요구사항을 준비하고 구현하는데 보통 12 ~ 18개월 소요된다고 보고 있습니다. 지금부터 시작하면 2024년말 또는 2025년초까지 구현할 수 있으므로 CMMC가 시행되는 일정에 맞출 수 있습니다. 그러나, 지금 시작하지 않으면 CMMC 시행 일정에 맞추지 못하게 됩니다.(출처)https://iq.govwin.com/neo/marketAnalysis/view/DOD-Sends-its-CMMC-Rule-to-OMB-Setting-the-Clock-Moving-on-Final-Implementation/7360?researchTypeId=1 researchMarket=

CMMC 규칙 제정(rule making) 절차가 예정보다 지연되고 있습니다.작년 미 국방부의 발표에 따르면, 잠정 최종 규칙(interim final rule)이 올해 3월에 고시된다고 하였습니다.그러나, 이 일정이 늦어지고 있으며 잠정 최종 규칙은 빠르면 올해 5, 6월에 공지될 것으로 예상되고, 이후 2~12개월간 의견 수렴을 거쳐 최종 규칙(final rule)이 완성되게 됩니다.이에 따라, 최종 규칙은 빠르면 23년, 늦어지면 24년에 완성될 것으로 예상됩니다.미 국방부는 작년에 Joint Surveillance Voluntary Assessement Program을 발표하여, CMMC 최종 규칙이 나오기 전이라도 업체들이 자발적으로 제3자 심사를 받도록 권장하고 있습니다.이 심사 프로그램은 CMMC 심사기관인 C3PAO와 미 국방부의 DIBCAC (Defense Industrial Base Cybersecurity Assessment Center)가 공동으로 NISP SP 800-171의 준수를 심사하는 것입니다.현재 60개의 업체가 신청했고 7개 업체가 심사를 마쳤다고 합니다.이 프로그램을 통해 심사받은 업체는 CMMC 2등급으로 인정되며, CMMC 인증제도가 개시된 후 별도로 CMMC 심사를 받을 필요가 없습니다.

우리 연구소 CMMC 센터는 국방기술진흥연구소에서 "방산중소업체 CMMC 인증 취득 지원을 위한 전문교육" 사업을 수주하였습니다.참여업체 모집을 공지합니다.