Die Defense Federal Acquisition Regulation Supplement (DFARS) regelt den Erwerb von Waren und Dienstleistungen für das Verteidigungsministerium (DoD). Sowohl Beamte als auch Auftragnehmer müssen die in DFARS festgelegten Anforderungen einhalten. Jeder, der sich mit den Anforderungen der DFARS befasst hat, weiß, dass es sich bei den DFARS selbst um ein komplexes Regelwerk handelt, das in Umfang und Tiefe sehr umfangreich ist. Auftragnehmer und Unterauftragnehmer, die das Verteidigungsministerium beliefern oder mit ihm zusammenarbeiten, müssen die DFARS einhalten oder bei Nichteinhaltung mit Strafen rechnen. Daher ist es wichtig, dass Sie genau wissen, welche Anforderungen an die Einhaltung der DFARS gestellt werden und wie Sie diese erfüllen können.
Eine Herausforderung, die die DFARS für Auftragnehmer und Unterauftragnehmer darstellen, ist die Beschränkung der Länder, aus denen Sie Waren beschaffen können. Angesichts der Komplexität unserer globalen Lieferkette wissen Organisationen, die nicht am Beschaffungsprozess des Verteidigungsministeriums beteiligt sind, oft nicht genau, woher ihre Waren und Dienstleistungen stammen. Dies kann zu Problemen bei der Einhaltung der DFARS führen, so dass Einschränkungen erforderlich sind. In der DFARS-Verordnung selbst ist eine Liste der DFARS-konformen Länder enthalten. Diese Liste muss von allen Auftragnehmern verstanden und eingehalten werden, was bedeutet, dass alle Beschaffungen von Waren und Dienstleistungen über diese Länder laufen müssen. Dies gilt auch für Komponenten, die aus geschmolzenen Metallen bestehen, was an sich schon ein komplexes Thema ist. Gemäß den DFARS-Anforderungen dürfen nur bestimmte Länder Metall außerhalb der Vereinigten Staaten schmelzen, wenn das Endprodukt für Zwecke des Verteidigungsministeriums bestimmt ist.
Es gibt auch einige wichtige Änderungen, die vor kurzem in die DFARS aufgenommen wurden und viele der Auftragnehmer und Unterauftragnehmer betreffen, die mit dem Verteidigungsministerium zusammenarbeiten. Es handelt sich dabei um die Hinzufügung von Cybersicherheitsanforderungen zum Schutz kontrollierter, nicht klassifizierter Informationen (CUI). Dies betrifft alle DoD-Partner und ist seit Ende 2017 geltendes Recht. Diese zusätzliche Anforderung für DFARS schreibt vor, dass alle Organisationen, die in den Geltungsbereich der Verordnung fallen, die im National Institute of Standards and Technology (NIST) SP 800-171 Revision 1 beschriebenen Cybersicherheitsmaßnahmen übernehmen müssen. Mit diesen Anforderungen sollen CUI vor unberechtigtem Zugriff oder Diebstahl geschützt werden. Dabei schützen diese Anforderungen auch die Auftragnehmer selbst, indem sie sicherstellen, dass ihre Cybersicherheitsbemühungen der heutigen Bedrohungslandschaft gewachsen sind.
Die Navigation durch die DFARS-Anforderungen kann eine große Herausforderung darstellen. Die Tiefe der in den Vorschriften enthaltenen Informationen ist sehr umfangreich, und da zahlreiche zusätzliche Dokumente erforderlich sind, um sich ein vollständiges Bild von den Beratungsdiensten und Anforderungen zu machen, die Unternehmen einhalten müssen, dürften die meisten kleineren und mittleren Auftragnehmer Schwierigkeiten haben, die in den DFARS festgelegten Anforderungen einzuhalten. In diesem Artikel wird versucht, eine umfassende Liste der DFARS-konformen Länder zu erstellen. Wir werden auch darauf eingehen, was es bedeutet, ein konformes Land zu sein, um die Vorschriften selbst in einen größeren Zusammenhang zu stellen.
Hier sind einige weitere Artikel, die Ihnen helfen, mehr über DFARS zu erfahren:
- Was bedeutet DFARS?
- Wie wird man DFARS-konform?
Was sind qualifizierte Länder?
An dieser Stelle fragen Sie sich vielleicht, was ein qualifiziertes Land ist. In Bezug auf DFARS bezieht sich der Begriff „qualifiziertes Land“ auf ein Land, mit dem die Regierung der Vereinigten Staaten ein Memorandum of Understanding oder ein anderes internationales Abkommen mit dem bezeichneten Land geschlossen hat. Auf der Grundlage dieser Abkommen stellt das Verteidigungsministerium fest, dass es nicht im öffentlichen Interesse liegt, wenn die Anforderungen des Buy American Statute oder des Balance of Payments Program auf diese spezifischen Länder anwendbar sind.
Was genau macht also die Beziehung zwischen den Vereinigten Staaten und einem qualifizierten Land so besonders? Nun, im Wesentlichen unterzeichnet die Regierung der Vereinigten Staaten mit jedem Land, das auf der Liste steht, Abkommen über die Beschaffung von Verteidigungsgütern auf Gegenseitigkeit. Diese gegenseitigen Verteidigungsabkommen wurden in den 1970er Jahren im Kontext des Kalten Krieges mit der Absicht geschlossen, die Wirksamkeit der damals bestehenden Bündnisse zu erhöhen. Die Idee hinter den gegenseitigen Verteidigungsabkommen war, dass viele Länder Hindernisse bei der Beschaffung von Verteidigungsgütern hatten. Diese Hindernisse hatten oft die Form von Gesetzen oder Normen, die die Rüstungsindustrie dazu ermutigten, aus inländischen Quellen zu beschaffen, sei es aufgrund finanzieller Anreize oder aus anderen Gründen.
Da die Beschaffung von Rüstungsgütern einen so großen Anteil an der staatlichen Beschaffung im Allgemeinen ausmacht, war es sinnvoll, Vereinbarungen mit Verbündeten anzustreben, durch die Hindernisse für die grenzüberschreitende Beschaffung verringert oder beseitigt wurden. Da die Länder in der Lage waren, Verteidigungsgüter sowohl im Inland als auch bei Verbündeten zu beschaffen, konnten sie bei der Auswahl der von ihnen beschafften Ausrüstungsgegenstände ein größeres Maß an Freiheit genießen. Die Ausweitung des Beschaffungsumfelds sorgte auch dafür, dass ein breiteres Wettbewerbsfeld in die Beschaffungsvereinbarungen und die Beschaffung von Verteidigungsgütern einbezogen wurde. Der Einsatz gegenseitiger Beschaffungsabkommen im Verteidigungsbereich gewährleistet, dass die Beschaffung von Verteidigungsgütern kosteneffizienter ist. In diese Abkommen sind auch strategische Überlegungen eingebettet, wie z.B. die Herstellung einer breiteren Palette interoperabler Ausrüstung.
Ein wichtiger Aspekt der gegenseitigen Beschaffungsabkommen im Verteidigungsbereich ist die Möglichkeit, auf die Anforderungen zu verzichten, die viele Nationen an Regierungsstellen stellen, um Produkte zu kaufen, die im Inland hergestellt werden. In den Vereinigten Staaten hat dies die Form des 1933 verabschiedeten „Buy American Act“, der es der Bundesregierung untersagt, ohne eine Ausnahmegenehmigung Lieferungen oder Fertigwaren von außerhalb der Vereinigten Staaten zu kaufen. Viele andere Länder haben ebenfalls „Buy National“-Gesetze. Gegenseitige Vereinbarungen über die Beschaffung von Verteidigungsgütern heben diese Gesetze auf und ermöglichen beiden Ländern den Handel mit Verteidigungsgütern untereinander. Zumindest können bestimmte Organisationen in qualifizierten Ländern am Beschaffungsprozess teilnehmen, ohne diskriminierende Einkaufspraktiken befürchten zu müssen. Auch werden auf Waren, die aus qualifizierten Ländern verkauft werden, zumindest in den meisten Fällen keine Einfuhrzölle erhoben.
Bewerten Sie Ihre DFARS-Konformität
Welche Länder sind qualifizierte Länder?
An dieser Stelle möchten Sie wahrscheinlich eine Liste der Länder, die gemäß DFARS als qualifizierte Länder gelten. Wie Sie feststellen werden, sind viele der in der Liste aufgeführten Länder treue Verbündete der Vereinigten Staaten. Insgesamt gibt es derzeit 26 Länder, die als DFARS-konforme Länder gelten. Hier ist die Liste der DFARS-konformen Länder:
- Australien
- Belgien
- Kanada
- Tschechische Republik
- Dänemark
- Ägypten
- Estland
- Bundesrepublik Republic of Germany
- Finland
- France
- Greece
- Israel
- Italy
- Japan
- Latvia
- Luxembourg
- Netherlands
- Norway
- Poland
- Portugal
- Slovenia
- Spain
- Sweden
- Switzerland
- Turkey
- United Kingdom of Great Britain and Northern Ireland
In addition to the 26 countries in the aforementioned list, contractors with the DoD may also procure products from Austria. These procurements are exempted from the Buy American Act on a case-by-case basis, rather than accepted whole cloth as in the case of the countries listed above. One thing to note about the list of compliant countries is that there is substantial overlap between these countries and countries that are part of the North Atlantic Treaty Organization (NATO). Dieser Zusammenhang ist logisch, wenn man den historischen Kontext bedenkt, in dem die Beschaffungsverträge für Verteidigungsgüter entstanden sind.
Was sind einige andere wichtige DFARS-Anforderungen
Wie bereits erwähnt, sind die DFARS selbst ein umfangreiches Regelwerk, das die Beschaffung von Verteidigungsgütern regelt. Es gibt viele Facetten der DFARS, die für bestimmte Organisationen gelten, und es gibt zu viele individuelle Anforderungen, um sie hier zu erläutern. Es lohnt sich jedoch, etwas mehr Zeit darauf zu verwenden, etwas mehr über eine Anforderung zu erfahren, die vor kurzem in die DFARS aufgenommen wurde. Diese Anforderung regelt den Schutz von kontrollierten, nicht klassifizierten Informationen (CUI). Es gibt strenge Strafen für die Nichteinhaltung, einschließlich des Verlusts des Regierungsvertrags, den eine Organisation innehat, so dass es sich lohnt, zu verstehen, wie diese Anforderung Sie betrifft.
Wenn Sie am Beschaffungsprozess des Verteidigungsministeriums beteiligt sind und mit CUI umgehen, sind Sie gesetzlich verpflichtet, die in DFARS 204.73 Safeguarding Covered Defense Information and Cyber Incident Reporting dargelegten Cybersicherheitsanforderungen einzuhalten. Wie der Name schon sagt, geht es bei dieser Anforderung um den Schutz sensibler Daten, die zwar nicht als Verschlusssache eingestuft sind, deren Freigabe aber dennoch Schaden anrichten könnte. Um dies zu erreichen, müssen sich Einrichtungen, die unter diese Anforderung fallen, an die NIST 800-171 Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations halten.
Die Klausel zur Cybersicherheit in den DFARS wurde erst kürzlich hinzugefügt und trat am 31. Dezember 2017 in Kraft. Obwohl diese Anforderung zu diesem Zeitpunkt bereits seit über einem Jahr in Kraft ist, gibt es also möglicherweise immer noch kleine und mittelständische Unternehmen, die die Anforderungen noch nicht erfüllt haben. Die Einhaltung der DFARS-Anforderungen an die Cybersicherheit kann natürlich schwierig sein. Unternehmen müssen den tatsächlichen Umfang der Übertragung und Speicherung von CUI über ihre Netzwerkressourcen und -systeme ermitteln. Dann müssen sie die in NIST 800-171 beschriebenen Schutzmaßnahmen umsetzen, um den Schutz dieser CUI zu gewährleisten.
Sie fragen sich vielleicht, was unter „Controlled Unclassified Information“ zu verstehen ist, da dies von außen betrachtet ein weit gefasster Begriff zu sein scheint. Im Wesentlichen handelt es sich bei CUI um von der Regierung generierte Daten, die geschützt werden müssen. Dazu können auch Informationen oder Daten gehören, die von einer dritten Stelle im Auftrag der Regierung erstellt werden. Die Definition von CUI selbst ist komplex; eine vollständige Definition finden Sie hier, bereitgestellt von den National Archives. Für Einrichtungen, die unter die DFARS-Sicherheitsanforderungen fallen, ist ein umfassendes Verständnis dessen, was CUI sind, ein wichtiger Ausgangspunkt, um festzustellen, wo CUI in Ihren Systemen gespeichert sind, wie sie übertragen werden und wie Sie sie schützen. Einige Beispiele für CUI sind E-Mails, Baupläne oder Informationen von Auftragnehmern, aber es gibt viele verschiedene Arten von Informationen, die als CUI gelten können. Einer der schwierigsten Aspekte bei der Einhaltung von NIST 800-171 ist die korrekte Identifizierung von CUI, wenn Sie mit ihnen interagieren.
Die NIST 800-171 umreißt ein Rahmenwerk, das Organisationen zum Schutz von CUI in ihrem Netzwerk und ihren Systemen verwenden können. Insgesamt werden in NIST 800-171 14 verschiedene Anforderungen genannt, die Unternehmen erfüllen müssen, um als konform zu gelten. Diese Anforderungen lassen sich in Kontrollen, Sicherheitsmaßnahmen, Verwaltung und Überwachung sowie Endbenutzerpraktiken unterteilen. Wie andere Sicherheitsanforderungen des NIST stellen auch die in NIST 800-171 aufgeführten Anforderungen an die Cybersicherheit branchenweit anerkannte Best Practices dar. Während es spezifische Anforderungen gibt, können Organisationen den besten Weg wählen, um diese Anforderungen unter Berücksichtigung ihrer betrieblichen Bedürfnisse, des Risikos und der ihnen zur Verfügung stehenden Ressourcen zu erfüllen.
Die Erfüllung der in NIST 800-171 umrissenen Anforderungen kann eine Herausforderung sein, insbesondere für kleine bis mittelgroße Hersteller oder DoD-Lieferanten, die nicht über die Ressourcen verfügen, um die von NIST vorgeschriebenen Bewertungs- und Überwachungsanforderungen durchzuführen. Unternehmen, die NIST 800-171 einhalten wollen, müssen ihre Geschäftsprozesse und den Umfang der CUI überprüfen und dann ihre Kontrolllücke analysieren. Danach können sie einen Fahrplan für ihr weiteres Vorgehen erstellen. Die Unternehmen müssen dann Kontrollen implementieren und ihr Netzwerk, ihren Datenverkehr oder ihre Anlagen segmentieren, um den CUI-Umfang zu verringern. Schließlich müssen die Unternehmen Prozesse zur Gewährleistung der laufenden Einhaltung der Vorschriften entwickeln, einschließlich Sicherheitsaudits und -validierungen. Um all dies tun zu können, müssen Unternehmen in der Lage sein, eine umfassende Bewertung ihrer IT-Infrastruktur vorzunehmen, und sie müssen Zugang zu den erforderlichen Fachkenntnissen für die Durchführung von Schwachstellenbewertungen haben.
Es ist auch wichtig zu bedenken, dass die Einhaltung der in NIST 800-171 festgelegten Anforderungen nicht nur ein einmaliges Ereignis ist, sondern vielmehr einen fortlaufenden Prozess darstellt. Das bedeutet, dass Unternehmen regelmäßig Schwachstellenbewertungen und Penetrationstests durchführen müssen, um sicherzustellen, dass alle Schwachstellen in Ihrem Netzwerk, Ihren Systemen oder Webanwendungen schnell erkannt und behoben werden, bevor es zu einem schädlichen Ereignis kommt. Erfahren Sie mehr über die 5 besten Penetrationstests für Webanwendungen in unserem entsprechenden Artikel.
Abschluss
Die Einhaltung der DFARS-Anforderungen kann einen enormen Zeit- und Koordinierungsaufwand erfordern. Um Ihren Vertrag mit der Regierung dauerhaft aufrechtzuerhalten, müssen Sie genau wissen, welche Anforderungen Sie erfüllen müssen. Es reicht nicht aus, nur zu wissen, ob ein Land, mit dem Sie zusammenarbeiten, als qualifiziert gilt oder nicht. Wenn Sie ein Unternehmen sind, das als Unterauftragnehmer oder Hauptauftragnehmer das Verteidigungsministerium beliefert, müssen Sie sicherstellen, dass Ihr Unternehmen CUI schützt und die Anforderungen von NIST 800-171 erfüllt. Wenn Sie dies nicht tun, kann dies zur Nichteinhaltung der Vorschriften führen und den Entzug Ihres Vertrags mit der Regierung zur Folge haben, zusammen mit dem finanziellen und rufschädigenden Schaden, der mit einer Datenverletzung einhergehen kann. Um insbesondere die Nichteinhaltung der DFARS zu vermeiden, müssen Sie mit anderen Organisationen zusammenarbeiten, die sowohl die DFARS- als auch die NIST 800-171-Anforderungen genauestens kennen. Da diese beiden Anforderungen Hand in Hand gehen, müssen Unternehmen, die in den Anwendungsbereich fallen, sicherstellen, dass sie beide jederzeit einhalten. Wenn Sie mehr über die Einhaltung von DFARS und NIST 800-171 oder über Cybersicherheitslösungen erfahren möchten, wenden Sie sich bitte noch heute an RSI Security.