Den amerikanske forsvarsindustri står foran et historisk skifte i cybersikkerheden.
Den 10. september 2025 offentliggjorde det amerikanske forsvarsministerium (DoD) den endelige regel for Cybersecurity Maturity Model Certification (CMMC) – et krav, der fra november 2025 gradvist bliver en integreret del af alle forsvarskontrakter.
CMMC markerer et nyt niveau af digital ansvarlighed, hvor alle leverandører til DoD – store som små – skal kunne dokumentere, at de beskytter følsomme data (CUI) og føderale kontraktinformationer (FCI) mod cyberangreb.
Fra papir til praksis
CMMC er ikke blot et compliance-system. Det er et redskab til at sikre, at cybersikkerhed bliver tænkt ind i hele anskaffelsesprocessen – fra udvikling og indkøb til drift og vedligehold.
Ordningen indeholder tre niveauer:
- Niveau 1: Gælder virksomheder, der håndterer almindelige kontraktdata (FCI), og kræver en årlig selvevaluering.
- Niveau 2: Retter sig mod virksomheder med adgang til klassificerede eller følsomme data (CUI) og kræver enten en selvevaluering eller en uafhængig tredjepartsvurdering (C3PAO).
- Niveau 3: Gælder for leverandører i særligt kritiske programmer, som bliver vurderet direkte af det amerikanske forsvars cybercenter (DIBCAC).
Fra 10. november 2025 skal nye DoD-udbud indeholde CMMC-krav, og de bliver indfaset i fire faser frem til 2028.
Fire faser på vej mod fuld implementering
- Fase 1 (2025): Selvevaluering på niveau 1 og 2 bliver et krav i nye kontrakter.
- Fase 2 (2026): Tredjepartsvurderinger (C3PAO) introduceres for flere kontrakter.
- Fase 3 (2027): Niveau 3-krav og obligatoriske tredjepartsvurderinger bliver standard.
- Fase 4 (2028): CMMC er fuldt implementeret på tværs af hele den amerikanske forsvarssektor.
Ifølge DoD skal ordningen styrke anskaffelsesparatheden, så cybersikkerhed ikke længere behandles som en eftertanke, men som en del af selve kontraktstyringen.
Zero Trust og AI som næste skridt
CMMC indgår i en bredere digital omstilling i det amerikanske forsvar. En opdateret Zero Trust Strategy 2.0 forventes lanceret omkring årsskiftet 2025/2026 med særligt fokus på operationel teknologi og erfaringer fra de første implementeringer.
Samtidig har DoD udgivet en AI-Cybersecurity Tailoring Guide, der skal sikre, at kunstig intelligens udvikles under kontrollerede og verificerbare rammer.
Fra statisk kontrol til aktivt forsvar
I september 2025 præsenterede DoD også en ny model – Cyber Security Risk Management Construct (CSRMC) – som afløser det tidligere, tjekliste-baserede risikostyringssystem. CSRMC bygger på automatiseret overvågning, realtidsdata og kontinuerlig validering, og er dermed et skridt mod et mere dynamisk forsvar mod cybertrusler.
Dansk og europæisk relevans
Selv om CMMC er et amerikansk initiativ, får det også konkrete konsekvenser for danske og europæiske virksomheder, der leverer til amerikanske programmer eller samarbejder med partnere i den amerikanske forsvarsindustri.
Flere danske aktører – fra it-sikkerhedsvirksomheder til underleverandører inden for logistik, sensorer og software – bør allerede nu begynde at forberede sig på dokumentationskrav og kontrolmekanismer, der vil minde om CMMC-standarderne.
Det er samtidig et signal til både EU og NATO-landene om, at cybersikkerhed ikke længere kan håndteres sektor for sektor. Den skal bygges ind i hele forsyningskæden – fra underleverandør til systemintegrator.
Fremtiden
CMMC, Zero Trust og CSRMC repræsenterer en ny æra i amerikansk forsvarsanskaffelse, hvor cybersikkerhed er lige så afgørende som våbensystemer og logistik. For danske virksomheder betyder det nye krav, men også nye muligheder – især for dem, der kan levere sikre, dokumenterede og digitale løsninger i samarbejde med amerikanske partnere.