Il Defense Federal Acquisition Regulation Supplement (DFARS) regola l’acquisizione di beni e servizi per il Dipartimento della Difesa (DoD). Sia i funzionari che gli appaltatori devono rispettare i requisiti stabiliti nel DFARS. Come sa chiunque abbia esaminato i requisiti stabiliti nel DFARS, il DFARS stesso è un complesso corpo normativo che ha una vasta portata e profondità. Gli appaltatori e i subappaltatori che riforniscono o lavorano con il DoD sono tenuti a rispettare il DFARS o devono affrontare sanzioni per la mancata conformità, il che rende essenziale capire esattamente quali sono i vostri requisiti di conformità al DFARS e come potete soddisfarli.
Una sfida che il DFARS presenta per gli appaltatori e i subappaltatori è una restrizione sui paesi da cui si possono ottenere le forniture. Data la complessità della nostra catena di approvvigionamento globale, le organizzazioni al di fuori del processo di approvvigionamento del DoD spesso non sanno esattamente da dove provengono i loro beni e servizi. Questo può porre potenziali problemi di conformità al DFARS, e quindi la necessità di restrizioni. All’interno del regolamento DFARS stesso c’è un elenco di paesi conformi al DFARS. Questo elenco è essenziale per tutti gli appaltatori da capire e rispettare, il che significa che tutti gli acquisti di beni e servizi devono passare attraverso questi paesi. Questo include i componenti che consistono in metalli fusi, che è un argomento complesso di per sé. Secondo i requisiti DFARS, solo alcuni paesi specifici sono autorizzati a fondere il metallo al di fuori degli Stati Uniti se il prodotto finale è destinato a scopi DoD.
Ci sono anche alcuni importanti cambiamenti che sono stati recentemente implementati nel DFARS che colpisce molti degli appaltatori e subappaltatori che interagiscono con il DoD. Vale a dire, l’aggiunta di requisiti di cybersecurity per proteggere le informazioni non classificate controllate (CUI). Questo ha un impatto su tutti i partner del DoD ed è la legge del paese dalla fine del 2017. Questo requisito aggiuntivo per DFARS ha imposto che tutte le organizzazioni nell’ambito del regolamento adottino gli sforzi di cybersecurity delineati nel National Institute of Standards and Technology (NIST) SP 800-171 revisione 1. Questi requisiti hanno lo scopo di proteggere il CUI da accessi o furti ingiustificati. Così facendo, questi requisiti proteggono anche gli stessi appaltatori assicurando che i loro sforzi di cybersecurity siano in grado di corrispondere al panorama delle minacce di oggi.
Navigare nei requisiti DFARS può essere estremamente impegnativo. La profondità delle informazioni coperte nei documenti normativi è ampia, e con numerosi documenti aggiuntivi necessari per ottenere un quadro completo dei servizi di consulenza sulla conformità e dei requisiti che le organizzazioni devono rispettare; la maggior parte degli appaltatori di piccole e medie dimensioni può avere difficoltà ad aderire ai requisiti stabiliti nel DFARS. Questo articolo cercherà di distillare un elenco completo dei paesi conformi al DFARS. Esamineremo anche cosa significa essere un paese conforme, al fine di fornire un maggiore contesto ai regolamenti stessi.
Ecco alcuni altri articoli per aiutarvi a saperne di più su DFARS :
- Cosa significa DFARS?
- Come diventare conformi a DFARS?
Cosa sono i paesi qualificati?
A questo punto, potreste chiedervi cosa sia un paese qualificato. In termini di DFARS, il termine “paese qualificato” si riferisce a un paese con cui il governo degli Stati Uniti ha un memorandum d’intesa o un altro accordo internazionale con il paese designato. In base a questi accordi, il DoD determina che non è nell’interesse pubblico che le qualifiche dei requisiti previsti dallo statuto Buy American o dal programma Balance of Payments si applichino a questi paesi specifici.
Quindi, cosa rende esattamente speciale la relazione tra gli Stati Uniti e un paese qualificato? Beh, essenzialmente il governo degli Stati Uniti firma accordi reciproci di approvvigionamento di difesa con ogni paese che è sulla lista. Questi accordi di difesa reciproca sono iniziati durante gli anni ’70 nel contesto della guerra fredda, con l’intenzione di aumentare l’efficacia delle alleanze che esistevano all’epoca. L’idea alla base degli accordi di difesa reciproca era che molti paesi avevano barriere che esistevano per quanto riguarda l’approvvigionamento di attrezzature legate alla difesa. Queste barriere spesso prendevano la forma di leggi o norme che incoraggiavano le industrie della difesa ad approvvigionarsi da fonti nazionali, sia perché incentivate finanziariamente o altro.
A causa del fatto che gli acquisti per la difesa rappresentano una parte sostanziale degli acquisti del governo in generale, la ricerca di accordi con gli alleati che riducessero o eliminassero le barriere agli acquisti oltre confine aveva senso. Potendo acquistare attrezzature per la difesa sia a livello nazionale che da alleati, i paesi sono stati in grado di esercitare un maggior grado di scelta nei tipi di attrezzature che hanno acquistato. L’espansione dell’ambiente di approvvigionamento ha anche garantito che un più ampio campo di concorrenza fosse incorporato nell’accordo di approvvigionamento della difesa e nel sourcing. L’uso di accordi reciproci di approvvigionamento della difesa assicura che gli approvvigionamenti della difesa siano più efficienti in termini di costi. Ci sono anche considerazioni strategiche incorporate in questi accordi, come la produzione di una più ampia gamma di attrezzature interoperabili.
L’aspetto importante degli accordi di approvvigionamento reciproco della difesa è la disposizione di rinunciare ai requisiti che molte nazioni hanno per gli enti governativi di acquistare prodotti che sono prodotti a livello nazionale. Negli Stati Uniti, questo prende la forma del Buy American Act, approvato nel 1933, che impedisce al governo federale di acquistare forniture o prodotti finiti al di fuori degli Stati Uniti senza una deroga. Anche molti altri paesi hanno leggi “buy national”. Gli accordi di approvvigionamento reciproco della difesa rinunciano a queste leggi, permettendo ad entrambi i paesi di scambiare attrezzature per la difesa l’uno con l’altro. O, per lo meno, alcune organizzazioni nei paesi qualificati possono entrare nel processo di approvvigionamento senza temere pratiche di acquisto discriminatorie. Né le merci vendute dai paesi qualificati saranno soggette a dazi di importazione, almeno nella maggior parte dei casi.
Valutate la vostra conformità DFARS
Quali paesi sono paesi qualificati?
A questo punto, probabilmente vorrete un elenco di quali paesi sono considerati paesi qualificati ai sensi del DFARS. Come noterete, molti dei paesi sulla lista sono fedeli alleati degli Stati Uniti. In totale, ci sono attualmente 26 paesi che sono considerati paesi conformi al DFARS. Ecco l’elenco dei paesi conformi a DFARS:
- Australia
- Belgio
- Canada
- Repubblica Ceca
- Danimarca
- Egitto
- Estonia
- Federale Republic of Germany
- Finland
- France
- Greece
- Israel
- Italy
- Japan
- Latvia
- Luxembourg
- Netherlands
- Norway
- Poland
- Portugal
- Slovenia
- Spain
- Sweden
- Switzerland
- Turkey
- United Kingdom of Great Britain and Northern Ireland
In addition to the 26 countries in the aforementioned list, contractors with the DoD may also procure products from Austria. These procurements are exempted from the Buy American Act on a case-by-case basis, rather than accepted whole cloth as in the case of the countries listed above. One thing to note about the list of compliant countries is that there is substantial overlap between these countries and countries that are part of the North Atlantic Treaty Organization (NATO). Questa associazione è logica, dato il contesto storico in cui gli accordi di approvvigionamento della difesa hanno cominciato ad apparire.
Quali sono alcuni altri importanti requisiti DFARS
Come abbiamo detto DFARS stesso è un enorme corpo normativo che governa l’approvvigionamento di attrezzature di difesa. Ci sono molte sfaccettature di DFARS che si applicano a organizzazioni specifiche, e ci sono troppi requisiti individuali da approfondire. Tuttavia, vale la pena spendere del tempo per conoscere qualche informazione in più su un requisito recente che è stato aggiunto a DFARS. Questo requisito regola la protezione delle informazioni non classificate controllate (CUI). Ci sono severe sanzioni per la non conformità, compresa la perdita del contratto governativo che un’organizzazione detiene, quindi vale la pena di capire come questo requisito vi riguarda.
Se fate parte del processo di approvvigionamento del DoD e gestite le CUI, allora siete tenuti per legge a rispettare i requisiti di cybersecurity delineati nel DFARS 204.73 Safeguarding Covered Defense Information and Cyber Incident Reporting. Come suggerisce il nome, questo requisito riguarda la protezione dei dati sensibili che non sono classificati, ma il cui rilascio potrebbe comunque essere dannoso. Al fine di realizzare questo, le entità che sono nel campo di applicazione di questo requisito devono aderire al NIST 800-171 Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations.
La clausola che regola la cybersecurity nel DFARS è stata aggiunta solo recentemente ed è entrata in vigore il 31 dicembre 2017. Quindi, mentre questo requisito è in vigore da oltre un anno a questo punto, ci possono essere ancora piccole e medie imprese che devono ancora raggiungere la conformità. Raggiungere la conformità con i requisiti di cybersecurity DFARS può essere difficile, per essere sicuri. Le organizzazioni devono identificare la vera portata di come il CUI viene trasmesso e memorizzato attraverso le loro risorse di rete e sistemi. Poi, le organizzazioni devono implementare le salvaguardie delineate nel NIST 800-171 per garantire la protezione di quel CUI.
Potreste chiedervi a cosa si riferiscono le “Controlled Unclassified Information”, dato che dall’esterno sembra essere un termine ampio. Essenzialmente, le CUI sono dati generati dal governo che devono essere salvaguardati. Questo può anche includere informazioni o dati che sono generati da un ente terzo per conto del governo. La definizione stessa di CUI è complessa, e una definizione completa si trova qui, fornita dagli archivi nazionali. Per le entità che rientrano nel campo di applicazione dei requisiti di sicurezza DFARS, acquisire una piena comprensione di ciò che costituisce esattamente il CUI serve come punto di partenza per identificare dove il CUI è memorizzato nei vostri sistemi, come viene trasmesso e come lo state proteggendo. Alcuni esempi di CUI includono e-mail, progetti o informazioni sui contraenti, ma ci sono molti tipi diversi di informazioni che possono essere considerate CUI. Uno degli aspetti più impegnativi per raggiungere la conformità al NIST 800-171 è identificare correttamente il CUI quando si interagisce con esso.
Il NIST 800-171 delinea un quadro che le organizzazioni possono utilizzare per proteggere il CUI nella loro rete e nei loro sistemi. In totale, il NIST 800-171 delinea 14 diversi requisiti che le organizzazioni devono soddisfare per essere considerate conformi. Questi requisiti possono essere suddivisi in controlli, misure di sicurezza, gestione e monitoraggio e pratiche degli utenti finali. Come altri requisiti di sicurezza forniti dal NIST, i requisiti di cybersecurity delineati nel NIST 800-171 rappresentano le migliori pratiche accettate dal settore. Mentre ci sono requisiti specifici, le organizzazioni possono scegliere il modo migliore per loro di soddisfare tali requisiti, date le loro esigenze operative, il livello di rischio e le risorse a loro disposizione.
Soddisfare i requisiti delineati nel NIST 800-171 può essere impegnativo, in particolare per i produttori di piccole e medie dimensioni o i fornitori del DoD che non hanno le risorse per condurre la valutazione e il monitoraggio dei requisiti richiesti dal NIST. Le organizzazioni che sperano di raggiungere la conformità al NIST 800-171 devono rivedere i loro processi aziendali e l’ambito CUI, e poi analizzare il loro gap di controlli. Una volta fatto questo, possono creare una tabella di marcia per andare avanti. Le organizzazioni dovranno poi implementare i controlli, insieme alla segmentazione della loro rete, del traffico o delle risorse, se necessario, per ridurre la portata del CUI. Infine, le organizzazioni dovranno creare processi per garantire la conformità continua, compresi gli audit di sicurezza e le convalide. Per fare tutto questo, le organizzazioni devono essere in grado di eseguire una valutazione completa della loro infrastruttura IT e avere accesso alle competenze necessarie per eseguire valutazioni di vulnerabilità.
È anche importante tenere a mente che la conformità ai requisiti stabiliti nel NIST 800-171 non è solo un evento singolo, ma è piuttosto un processo continuo. Questo significa che le organizzazioni devono condurre regolarmente valutazioni di vulnerabilità, così come mettere in scena test di penetrazione in corso per garantire che qualsiasi vulnerabilità nella vostra rete, sistemi o applicazioni web siano rapidamente identificati e risolti prima che si verifichi un evento dannoso. Scoprite i 5 migliori strumenti di penetration testing per le applicazioni web nel nostro articolo correlato.
Conclusione
Mantenere la conformità ai requisiti DFARS può richiedere una quantità impressionante di tempo e coordinamento. Capire esattamente quali sono i vostri requisiti di conformità è essenziale per mantenere il vostro contratto governativo su base continuativa. Non è sufficiente sapere semplicemente se un paese con cui state lavorando è considerato qualificato o meno. Se siete un’organizzazione che è un subappaltatore o un appaltatore primario che fornisce il DoD, dovrete garantire che la vostra organizzazione protegga le CUI e sia conforme al NIST 800-171. Un fallimento in questo senso potrebbe portare alla non conformità e alla revoca del vostro contratto governativo, insieme al danno finanziario e di reputazione che può accompagnare una violazione dei dati. Evitare la non conformità con il DFARS, in particolare, richiede di lavorare con altre organizzazioni che hanno una conoscenza approfondita dei requisiti DFARS e NIST 800-171. Dato che questi due vanno di pari passo, le organizzazioni che rientrano nel campo di applicazione devono assicurarsi di mantenere la conformità con entrambi in ogni momento. Se siete curiosi di saperne di più sulla conformità DFARS e NIST 800-171 o sulle soluzioni di cybersecurity, contattate RSI Security oggi stesso.