Министарство одбране САД суспендовало је другу фазу програма ЦММЦ, која је требало да почне 10. новембра, и тиме зауставило увођење обавезне спољне сертификације за компаније из одбрамбене индустрије. На снази остаје само прва фаза, која се заснива на самооценама заштите контролисаних нејавних података.
Пентагон је истовремено покренуо 60-дневну ревизију програма како би га ускладио са новим правцем набавки, у којем су у првом плану брзина и ниже баријере за улазак нових фирми у систем војних набавки.
Суспендоване и трећа и четврта фаза
Поред друге фазе, суспендоване су и трећа и четврта фаза ЦММЦ. Трећа је била планирана за новембар 2027, док је пуна примена програма сада стављена на чекање.
До даљег, Министарство одбране САД ослањаће се на самооцене компанија и ограничен број провера које ће спроводити државне структуре. То значи да планирани модел сертификације од стране трећих страна неће бити уведен у предвиђеном року.
Примедбе на трошкове и бирократију
Одлука је донета после примедби да ЦММЦ повећава трошкове усклађивања и шири бирократско оптерећење, посебно за мала и средња предузећа. Према доступним подацима, такав притисак је већ довео до изласка дела фирми из одбрамбене индустријске базе и успорио испоруке важних способности војсци.
Формирана је и радна група за реформу ЦММЦ, која ће размотрити примедбе компанија о трошковима, административним оптерећењима и стварном ефекту НИСТ 800-171 контрола на смањење ризика. Пентагон тражи и предлоге како да у систем призна комерцијалне сајбер алате и управљане услуге, уместо да намеће одвојене провере.
Одговори компанија на позив за достављање мишљења треба да стигну до 14. августа. За сада је јасно да је Пентагон зауставио један од кључних програма за сајбер стандардизацију у одбрамбеној индустрији.