CMMC : voici les obligations des contractants de DoD - 48 CFR CMMC

Le Département américain de la Défense (DoD) vient de proposer un Règlement final visant à clarifier ses règles d'approvisionnement CMMC (48 CFR CMMC).

Voici le résumé des obligations des contractants et sous-contractants de DoD:

Obligation d'avoir la certification CMMC avant l'execution d'un contrat

• DoD indique qu'avant qu'il vous octroie un contrat, vous aurez à prouver que vous avez la certification CMMC exigée. 

• Aucun contrat ne sera octroyé à un contractant ou sous-contractant qui n'a pas la certification CMMC exigée.

Obligation de maintenir votre niveau de certification CMMC tout au long du contrat

• DoD exige que tout contractant maintienne le niveau CMMC requis pendant toute la durée d’un contrat qu’il a obtenu.

Obligation de signaler les défauts et manquements

• Si lors de l'exécution d’un contrat de DoD il s’avère que vos systèmes qui collectent, stockent et traitent les CUI reçus (ou créés) dans le cadre dudit contrat ne sont plus conformes à CMMC, vous êtes obligés de le signaler à DoD.

• Tout non signalement peut être considéré comme une fraude. 

Obligation de vous assurer que vos sous-contractants ont aussi la bonne certification CMMC

• DoD indique que vous êtes responsable de vous assurer que vos sous-contractants ont le bon niveau CMMC requis, avant de leur partager des informations (CUI ou FCI) qu’elle partage avec vous dans le cadre d’un contrat que vous avez obtenu

• Notez que la même exigence s’applique si vous créez vous-même des CUI pour DoD dans le cadre d’un contrat qu’il vous donne. Vous ne pourrez pas les partager avec vos sous-contractants qui n’ont pas le niveau CMMC requis.