美國國防部正式推動 CMMC 最終規則：三年分階段實施，強化國防供應鏈資安合規

2025年9月，美國國防部（DoD）正式公布《網路安全成熟度模型認證》（Cybersecurity Maturity Model Certification，簡稱 CMMC）最終規則，並將其納入《國防聯邦採購規範補充條例》（DFARS）。此舉標誌著美國政府在強化國防工業基地（Defense Industrial Base, DIB）資安防護方面邁出關鍵一步，要求所有承包商在三年內逐步達成持續合規的目標。

CMMC 最終規則的核心內容

根據新規定，自2025年11月10日起，所有與 DoD 合作的承包商必須在獲得合約、執行選項或延長合約前，於「供應商績效風險系統」（Supplier Performance Risk System, SPRS）中提交 CMMC Level 1 或 Level 2 的自我評估結果。若已完成第三方評估，則須維持該狀態至合約結束。此外，承包商必須：

• 每年或在合規狀態變更時，由指定官員提交「持續合規聲明」；
• 提供處理聯邦合約資訊（FCI）或受控未分類資訊（CUI）之系統的 CMMC UID；
• 確保所有資訊系統在合約期間持續符合 CMMC 要求。

三年分階段實施策略

DoD 採取三年分階段推動策略，旨在降低對工業基地，特別是中小企業的財務衝擊，並減少供應鏈運作的干擾：

• 第一階段（前3年）：僅針對由 CMMC Program Office 指定的合約納入 CMMC 要求。
• 第四年起：所有涉及 FCI 或 CUI 處理的合約均須納入 CMMC 要求，除非該合約僅涉及市售現成品（COTS）。

此策略不僅有助於企業逐步適應新規，也讓 DoD 能夠在不影響國防供應鏈穩定性的前提下，強化整體資安防護。

合規影響範圍與預估成本

根據 DoD 的估算，第四年起將有約 28,164 家獨立實體受到影響，若加上平均每家主承包商涉及五家分包商，總影響實體數將達 337,968 家，其中約 68% 為中小企業。每項資訊系統的自我評估、UID 提交與合規聲明預計各需約五分鐘，政府端的驗證作業亦需相同時間。雖然行政成本不高，但對於尚未建立資安制度的企業而言，初期投入仍具挑戰。

CMMC 的雙重目標

此項最終規則旨在達成兩大目標：

• 確保承包商能以符合風險等級的 CMMC 層級，妥善保護敏感未分類資訊，並涵蓋多層級供應鏈中的資訊流通。
• 落實《2020財政年度國防授權法》第1648條，建立一致且全面的資安框架。

透過 CMMC，DoD 不僅能驗證承包商是否落實《NIST SP 800-171》資安要求，更能透過第三方認證機構（C3PAO）進行獨立審查，提升整體資安可信度。

對中小企業的挑戰與豁免條款

DoD 承認中小企業在資安資源與能力上的限制，因此針對僅採購 COTS 項目的合約予以豁免，以減輕其經濟負擔。不過，對於處理 FCI 或 CUI 的企業，仍須全面遵守 CMMC 要求。DoD 表示，鑒於資安風險的普遍性，無法提出其他替代方案以降低中小企業負擔而不影響規則目標。

經濟與國安效益

CMMC 的推動不僅是資安政策的升級，更是保護美國經濟與國家安全的必要手段。根據美國經濟顧問委員會（Council of Economic Advisors）估算，惡意網路活動在2016年對美國經濟造成約570億至1090億美元損失，若以10年期折現率計算，總損失可能高達4860億至9290億美元。此外，美國政府問責局（GAO）指出，勒索軟體對國安構成嚴重威脅，財政部報告顯示，2021年美國因勒索軟體造成的損失總值達8.86億美元。因此，CMMC 不僅是合約合規的工具，更是防止惡意網路活動、保護智慧財產與敏感資訊的關鍵防線。

CMMC 是資安治理的新里程碑

CMMC 最終規則的公布與實施，代表美國政府在資安治理上的重大進展。透過制度化、分階段、可驗證的資安要求，DoD 不僅提升了國防供應鏈的資安韌性，也為全球供應鏈資安標準樹立了新典範。對企業而言，CMMC 不只是合約條款，更是邁向資安成熟的契機。在數位威脅日益嚴峻的時代，唯有持續合規、全面防護，才能在競爭中立於不敗之地。

資料來源：https://industrialcyber.co/regulation-standards-and-compliance/pentagon-finalizes-cmmc-rule-requiring-continuous-compliance-across-defense-supply-chain-in-three-year-rollout/