Mann mit Tablet in den Händen in futuristischem Gang

CMMC 2.0: Was der neue US-Cybersecurity-Standard für Unternehmen bedeutet

Porträtfoto von Birgit Eglseer
Birgit Eglseer

Senior Manager, Cybersecurity, Consulting | Österreich

7 Minuten Lesezeit 28. Mai 2026

Ab November 2026 gilt: Ohne CMMC-Zertifizierung kein Zugang mehr zur US-Rüstungslieferkette. Was das für europäische Luftfahrt- und Verteidigungsunternehmen bedeutet – und was jetzt zu tun ist.

Überblick

  • Die Cybersecurity Maturity Model Certification (CMMC) ist der verbindliche Sicherheitsstandard für Auftragnehmer:innen des US-Verteidigungsministeriums (DoD).
  • Sie dient dazu, die Informationssicherheit innerhalb der gesamten Lieferkette zu stärken und zu zertifizieren.
  • CMMC fordert je nach Sensibilität des Auftrags drei verschiedene Level der Umsetzung.
  • Mit 10.11.2026 müssen Unternehmen zertifiziert sein (extern oder gegebenenfalls mittels Selbstauskunft), um Zuschläge für DoD-Aufträge zu erhalten.
  • Lieferant:innen müssen umfassende Schutzmaßnahmen in den Bereichen Zugriffsschutz, Schutz sensibler Datenflüsse, Konfiguration und Härtung u. v. m. einhalten.

Cybersicherheitsanforderungen entwickeln sich weltweit dynamisch weiter – insbesondere im Verteidigungssektor gibt es verbindliche Standards. Mit der Cybersecurity Maturity Model Certification (CMMC) setzt das US Department of Defense (DoD) klare Vorgaben für den Schutz sensibler Informationen entlang der gesamten Lieferkette. Für viele Unternehmen bedeutet das: Wer künftig mit dem DoD zusammenarbeiten will, muss sich jetzt mit den Anforderungen auseinandersetzen.

Was ist die CMMC und für wen gilt sie?

CMMC ist der verbindliche Cybersicherheitsstandard des US Department of Defense für die gesamte Verteidigungslieferkette – die sogenannte Defense Industrial Base (DIB). Hierbei handelt es sich nicht um eine freiwillige Norm, sondern um eine verpflichtende Voraussetzung für alle Auftragnehmer:innen, die mit schutzbedürftigen Informationen arbeiten. Wenn Sie in den folgenden Bereichen tätig sind und in Zukunft Produkte und Dienstleistungen für das US Department of Defense liefern möchten, sollten Sie sich auf CMMC vorbereiten:

  • Luft- und Raumfahrt/Aerospace
  • Wehrtechnik und Rüstungskomponenten
  • Elektronik, Sensorik und Kommunikationstechnik
  • Logistik und Lieferkettenmanagement für Verteidigungsaufträge
  • IT-Dienstleister und Softwareanbieter mit DoD-Kundschaft
  • Ingenieurbüros und technische Beratung im Defence-Umfeld

CMMC 1.0 vs. 2.0: Die wichtigsten Unterschiede im Überblick

CMMC 1.0, welche 2020 veröffentlicht wurde, arbeitete mit fünf Reifegraden (Level 1–5) und einer zusätzlichen Prozessreife als eigener Bewertungsdimension. Die Anforderungen waren kumulativ und umfassten 17 Domänen sowie bis zu 171 Practices. Kurz nach der Implementierung wurde durch Feedback der Defense Industrial Base bereits klar, dass die strategische Richtung der Anforderungen geändert werden müsse. Daraufhin entstand ab 2021 CMMC 2.0, welche dieses Modell auf drei Level vereinfacht und stärker an etablierte NIST-Standards ausgerichtet hat.

CMMC 2.0 definiert nun drei Reifegrade und zwei Arten an schützenswerten Informationen. Je nach Reifegrad sind zwischen sechs und 14 Sicherheitsdomänen zu erfüllen. Während Level 1 Federal Contract Information (FCI) schützt und Grundlagen wie Zugriffsmanagement, Schutz von Daten und eine Gewährleistung der Systemsicherheit fordert, erweitert Level 2 die Anforderungen in Richtung Risikomanagement, Incident-Management, Logging & Monitoring sowie Security-Awareness.

Für den Großteil der Unternehmen in der Verteidigungslieferkette ist Level 2 der relevante Reifegrad zur Zulassung als DoD-Auftragnehmer:in. Level 2 basiert auf 110 Sicherheitskontrollen des NIST SP 800-171 Standards und schützt neben FCI auch sogenannte Controlled Unclassified Information (CUI) – also schutzbedürftige, aber nicht als geheim eingestufte Informationen.

FCI vs. CUI-Daten: Wo ist der Unterschied?

Nicht jede Information aus einem US-Bundesvertrag ist gleichermaßen schutzbedürftig. CMMC unterscheidet, wie bereits erwähnt, zwischen zwei Kategorien:

  • Controlled Unclassified Information (CUI): Bezeichnet behördliche Informationen, die zwar nicht als „geheim“ eingestuft sind, aber dennoch besonderen Schutzanforderungen unterliegen – etwa technische Daten zu Waffensystemen, Fertigungsverfahren, Exportkontrolldaten (EAR/ITAR) oder vertragliche Details. Jede:r Lieferant:in, der:die solche Daten verarbeitet, speichert oder übertragt, fällt in den CMMC-Geltungsbereich nach Level 2.

  • Federal Contract Information (FCI): Bezeichnet Informationen, die im Rahmen eines US-Bundesvertrags erzeugt oder bereitgestellt werden und nicht für die öffentliche Verbreitung bestimmt sind – etwa Vertragsbedingungen, Lieferant:innenanforderungen oder Preisstrukturen. FCI ist die Grundkategorie sensibler Vertragsdaten und Auslöser für CMMC Level 1. Jede:r Auftragnehmer:in, der:die US-Bundesaufträge ausführt, arbeitet in der Regel mit FCI.

Kurz gesagt: FCI sind nicht‑öffentliche Vertragsinformationen mit Basis‑Schutzbedarf, während CUI sensiblere (behördlich geregelte) Inhalte darstellen, welche eine CMMC-Zertifizierung nach Level 2 auslösen. Welche Datenarten verarbeitet und gespeichert werden, regelt der jeweilige Vertrag mit dem DoD.

Die neuen CMMC-Level im Vergleich

Nicht jedes Unternehmen ist gleich betroffen und nicht jedes Unternehmen muss denselben Aufwand betreiben, um CMMC-Compliance zu erreichen. Das CMMC-Framework unterscheidet in Version 2.0 drei Zertifizierungslevel, die sich nach der Sensibilität der verarbeiteten Daten und den Anforderungen des jeweiligen Vertrags richten. Die folgende Übersicht zeigt, welches Level für wen gilt, was für die Compliance nachgewiesen werden muss und wie lange eine Zertifizierung Gültigkeit besitzt:

LevelBetroffene UnternehmenVoraussetzungen für ZertifizierungGültigkeitszeitraum
Level 1 (Foundational)Unternehmen, die im DoD‑Auftrag nur FCI verarbeiten (keine CUI)Umsetzung der 15 CMMC Level 1 Sicherheitskontrollen (nach FAR 52.204‑21)1 Jahr (jährliches Self‑Assessment und Eigenbestätigung erforderlich)
Level 2 (self)(Advanced)Unternehmen, die CUI verarbeiten und bei denen die Ausschreibung explizit Self‑Assessments zulässtUmsetzung der 110 CMMC Level 2 Sicherheitskontrollen (nach NIST SP 800-171)3 Jahre und jährliche Eigenbestätigung – bei einer bedingten Zertifizierung (bei offener Umsetzung von verpflichtenden Kontrollen) max. 180 Tage Gültigkeit
Level 2 (C3PAO)
(Advanced)		Unternehmen, die CUI verarbeiten und bei denen die Ausschreibung ein unabhängiges Audit verlangtUmsetzung der 110 CMMC Level 2 Sicherheitskontrollen (nach NIST SP 800-171); Prüfung durch akkreditierte C3PAO-Prüfstelle3 Jahre und jährliche Eigenbestätigung – bei einer bedingten Zertifizierung (bei offener Umsetzung von verpflichtenden Kontrollen) max. 180 Tage Gültigkeit
Level 3
(Expert)		Wenige hochpriorisierte Programme mit CUI-Daten, bei denen ein Schutz gegen APT (Advanced Persistent Threats) notwendig istBestehender Level 2 (C3PAO) Status für denselben Scope; zusätzlich 24 ausgewählte Kontrollen aus NIST SP 800‑1723 Jahre und jährliche Eigenbestätigung – bei einer bedingten Zertifizierung (bei offener Umsetzung von verpflichtenden Kontrollen) max. 180 Tage Gültigkeit

Ausblick: Die nächsten Phasen der CMMC

In Phase 1, im November 2025, erhielten CMMC-2.0-Anforderungen Einzug in DoD-Verträge – vorrangig bei Vertragsabschlüssen, die durch ein CMMC-Selbst-Assessment bestätigt werden konnten.

Ab Ende 2026 wird der Anwendungsbereich ausgeweitet:

  • Phase 2 (ab November 2026): Drittanbieter-Assessments durch akkreditierte C3PAOs werden zur Pflichtvoraussetzung für viele Vertragsabschlüsse. Wer CUI verarbeitet – und wenn der jeweilige Auftrag es erfordert –, muss spätestens jetzt zertifiziert sein.
  • Phase 3 (ab November 2027): Level-3-Assessments für hochsensible Programme werden eingeführt. Bestehende Verträge, die nach November 2025 vergeben wurden, fallen ebenfalls unter die Zertifizierungspflicht.
  • Phase 4 (ab November 2028): Vollständige Umsetzung – alle relevanten DoD-Verträge erfordern CMMC-Compliance auf Level 1, 2 oder 3, ohne Ausnahmen und ohne Übergangsregelungen.

Phase 1 war der Startschuss zur tatsächlichen CMMC-2.0-Umsetzung. Wer auf neue DoD-Verträge bieten oder bestehende Verträge verlängern möchte, sollte sich bereits jetzt vorbereiten, um in Zukunft lieferfähig zu sein.

So unterstützen wir Sie

Der Weg zur Zertifizierung: So wird Ihr Unternehmen CMMC Level 2 fit

CMMC-Compliance entsteht nicht durch eine einmalige Prüfung, sondern erfordert einen strukturierten Prozess – von der ersten Bestandsaufnahme bis hin zur finalen Zertifizierung durch eine akkreditierte Prüfstelle:

 

Phase 1: Diagnose & Scoping

Bevor Umsetzungsmaßnahmen ergriffen werden, braucht es Klarheit über den Ist-Zustand des Unternehmens. In dieser Phase muss gemeinsam analysiert werden welche Systeme, Standorte und Prozesse in den CMMC-Geltungsbereich fallen und wo CUI-Daten erzeugt, verarbeitet und exportiert werden. Für diesen Geltungsbereich muss eine abgegrenzte Umgebung (CUI-Enklave) geschaffen werden, die den CUI-Datenfluss klar von übrigen Unternehmensdaten trennt und den Datenfluss nachweisbar macht.

 

Phase 2: Gap-Analyse & Bewertung

Auf Basis des Scopings erfolgt die strukturierte Bewertung aller 110 Kontrollen entlang der 14 CMMC-Domänen. Unternehmen, die bereits über eine Zertifizierung nach ISO/IEC 27001 verfügen, haben hier den Vorteil, einen guten Teil der Anforderungen bereits umgesetzt zu haben – vorausgesetzt, die Wirksamkeit der Kontrollen wurde sichergestellt.

 

Im Zuge der Gap-Analyse wird jede Kontrolle bewertet, dokumentiert und mit einem CMMC-Score versehen – gemäß der beschriebenen NIST-Methodik. Bei nichterfüllten Kontrollen erfolgt ein Punktabzug je nach Schweregrad der offenen Lücke. Alle offenen Punkte fließen in ein priorisiertes Gap-Reporting ein, welches die Grundlage für den Maßnahmenplan (genannt POA&M – „Plan of Action and Milestones“) bildet.

 

Der Mindest-Score für eine befristete Zertifizierung (für 180 Tage) liegt bei 88 von 110 Punkten; für die volle, drei Jahre gültige Zertifizierung müssen alle 110 Kontrollen vollständig umgesetzt sein.

 

Phase 3: Umsetzung und Aufbau des Control-Environment

In Phase 3 wird die CUI-Enklave geschaffen, technische und organisatorische Maßnahmen werden umgesetzt und die Dokumentation zur CMMC-Compliance wird erstellt. Hierzu sind zwei zentrale Dokumente entscheidend:
 

  • System Security Plan (SSP): dokumentiert für alle 110 Kontrollen den Umsetzungsstatus, die Systemgrenzen und Verantwortlichkeiten
  • Plan of Action and Milestones (POA&M): verfolgt alle noch offenen Punkte mit Maßnahmen, Verantwortlichen und Umsetzungsterminen nach 

Phase 4: Readiness-Check

Um bestmöglich auf die externe Zertifizierung vorbereitet zu sein, empfehlen wir, nach der Implementierung eine Überprüfung der Compliance vorzunehmen. Diese simuliert den späteren Audit-Prozess, deckt verbliebene Lücken auf und gibt die Möglichkeit, diese zu schließen, bevor die C3PAO-Bewertung erfolgt. So vermeiden Sie Überraschungen im Assessment und gehen mit einem belastbaren Score in die Zertifizierung.

 

Phase 5: Zertifizierung durch den C3PAO

Der finale Schritt ist das formale Assessment durch eine vom DoD akkreditierte „CMMC Third-Party Assessment Organization“ (C3PAO). Die Prüfer:innen bewerten hier die tatsächliche Umsetzung der 110 Kontrollen anhand des SSP.

 

Bei vollständig erfülltem Score (110/110) wird eine für drei Jahre gültige Zertifizierung ausgestellt. Im Falle eines DoD-Vertrags, welcher eine Selbstauskunft des Scores zulässt, entfällt die externe Prüfung und das Ergebnis ist über das DoD-Lieferant:innenportal zu übermitteln.

 

Wir begleiten Sie durch den gesamten Audit-Prozess – von der Vorbereitung der Dokumentation über die Koordination mit dem C3PAO bis zur Nachbereitung etwaiger Feststellungen.


Fazit: Dokumentation als Erfolgsfaktor

CMMC ist komplex, aber beherrschbar. Unternehmen, die strukturiert vorgehen und den CUI-Datenfluss klar beherrschen, erreichen die Zertifizierung. Was regelmäßig unterschätzt wird: Der Aufwand liegt nicht nur in der Technik, sondern auch in der Dokumentation. Prozesse, die funktionieren, aber nicht niedergeschrieben wurden, sind ein häufiger Stolperstein.

Unsere Empfehlung: Starten Sie mit einer strukturierten Diagnose, um Ihren tatsächlichen Ist-Zustand aufzudecken. So wird Ihre CMMC-Journey von Anfang an beherrschbar.

FAQ – Häufige Fragen zu CMMC 2.0

Mehr zum Thema

Das RKEG im Überblick: Was Unternehmen zum neuen Resilienzgesetz wissen müssen

Was das neue Resilienzgesetz für Unternehmen bedeutet: Wer betroffen ist • Pflichten & Fristen • Abgrenzung zu NIS2 • Maßnahmen ➜ Jetzt informieren!

Gottfried Tonweber + 1

EY Cybersecurity Studie 2025: Wie gut Österreichs Unternehmen auf Cyberangriffe vorbereitet sind

Die Studie von EY über Cybersicherheit von Unternehmen • Bedrohungslage & Schutzmaßnahmen • KI als Risiko & Potenzial ➜ Mehr erfahren!

Gottfried Tonweber + 1

Was passiert bei einem Cyberangriff? Wie sich Cyberkriminelle in IT-Netzwerken einnisten.

Wie sich Cyberkriminelle in IT-Netzwerken einnisten: alles zu Privilege Escalation & Persistenz • Schutzmaßnahmen ➜ Mehr erfahren!

Anton Moser + 1

Über diesen Artikel

Porträtfoto von Birgit Eglseer
Birgit Eglseer
Senior Manager, Cybersecurity, Consulting | Österreich
Birgit Eglseer findet Ihren Ausgleich im Sport. Tennis und Skifahren zählen zu ihren Leidenschaften. Außerdem ist sie ehrenamtlich in mehreren Sportvereinen aktiv.
Verwandte Themen
Cybersecurity
CIO-Agenda
CISO-Agenda
Forensic & Integrity Services
Neue Technologien

Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Kunden.