De Defense Federal Acquisition Regulation Supplement (DFARS) regelt de aanschaf van goederen en diensten voor het ministerie van Defensie (DoD). Zowel ambtenaren als contractanten moeten voldoen aan de eisen die in de DFARS worden gesteld. Zoals iedereen die de voorschriften van de DFARS heeft bekeken, weet, is de DFARS zelf een complex regelgevingsorgaan met een grote reikwijdte en diepgang. Contractanten en subcontractanten die leveren aan of werken met het DoD moeten voldoen aan de DFARS of krijgen te maken met boetes voor niet-naleving, waardoor het van essentieel belang is om precies te begrijpen wat uw DFARS-nalevingseisen zijn en hoe u daaraan kunt voldoen.
Een uitdaging die de DFARS voor contractanten en subcontractanten inhoudt, is een beperking van de landen waar u leveringen van mag kopen. Gezien de complexiteit van onze wereldwijde toeleveringsketen weten organisaties buiten het DoD-aanbestedingsproces vaak niet precies waar hun goederen en diensten vandaan komen. Dit kan potentiële nalevingsproblemen opleveren voor DFARS, waardoor beperkingen nodig zijn. In de DFARS-verordening zelf is een lijst opgenomen van landen die aan de DFARS-verordening voldoen. Deze lijst is voor alle contractanten van essentieel belang om te begrijpen en na te leven, wat betekent dat alle aankopen van goederen en diensten via deze landen moeten lopen. Dit geldt ook voor onderdelen die bestaan uit gesmolten metalen, wat op zichzelf al een complex onderwerp is. Volgens de DFARS-vereisten mogen alleen specifieke landen metaal smelten buiten de Verenigde Staten als het eindproduct bestemd is voor DoD-doeleinden.
Er zijn ook enkele belangrijke wijzigingen die onlangs in de DFARS zijn doorgevoerd en die van invloed zijn op veel van de contractanten en subcontractanten die met het DoD te maken hebben. Het gaat met name om de toevoeging van cyberbeveiligingseisen ter bescherming van Controlled Unclassified Information (CUI). Dit heeft gevolgen voor alle DoD-partners en is sinds eind 2017 de wet van het land. Deze extra eis voor DFARS mandateerde dat alle organisaties in-scope voor de verordening de cyberbeveiligingsinspanningen aannemen die zijn geschetst in de National Institute of Standards and Technology (NIST) SP 800-171 revisie 1. Deze voorschriften zijn bedoeld om CUI te beschermen tegen ongerechtvaardigde toegang of diefstal. Op die manier beschermen deze vereisten ook de contractanten zelf door ervoor te zorgen dat hun inspanningen op het gebied van cyberbeveiliging opgewassen zijn tegen het huidige bedreigingslandschap.
Het doorgronden van de DFARS-vereisten kan een enorme uitdaging zijn. De informatie in de regelgevingsdocumenten is zeer uitgebreid en er zijn talloze aanvullende documenten nodig om een volledig beeld te krijgen van de adviesdiensten en vereisten waaraan organisaties zich moeten houden; de meeste kleinere en middelgrote aannemers kunnen moeite hebben om zich aan de vereisten van de DFARS te houden. In dit artikel wordt getracht een uitgebreide lijst van DFARS-conforme landen op te stellen. We zullen ook bekijken wat het betekent om een volgzaam land te zijn, om meer context te bieden voor de voorschriften zelf.
Hier zijn nog een paar artikelen om u te helpen meer te leren over DFARS :
- Waar staat DFARS voor?
- Hoe word ik DFARS-compliant?
Wat zijn kwalificerende landen?
Op dit moment vraagt u zich misschien af wat een kwalificerend land is. In termen van DFARS verwijst de term “gekwalificeerd land” naar een land waarmee de regering van de Verenigde Staten een memorandum van overeenstemming heeft gesloten of een andere internationale overeenkomst met het aangewezen land. Op basis van deze overeenkomsten bepaalt het DoD dat het niet in het algemeen belang is dat kwalificaties van de vereisten onder de Buy American-statuten of het Balance of Payments Program van toepassing zijn op deze specifieke landen.
Dus, wat maakt de relatie tussen de Verenigde Staten en een gekwalificeerd land nu precies speciaal? In wezen sluit de regering van de Verenigde Staten met elk land dat op de lijst staat wederzijdse defensie-inkoopovereenkomsten. Deze wederzijdse defensie-overeenkomsten zijn in de jaren zeventig in het leven geroepen in het kader van de Koude Oorlog, met de bedoeling de doeltreffendheid van de toen bestaande allianties te vergroten. Het idee achter wederzijdse defensie-overeenkomsten was dat veel landen belemmeringen hadden met betrekking tot de aanschaf van defensie-gerelateerde uitrusting. Deze belemmeringen bestonden vaak uit wetten of normen die de defensie-industrie aanmoedigden om defensiematerieel in eigen land aan te schaffen, al dan niet met financiële prikkels.
Omdat defensie-aankopen zo’n belangrijk deel uitmaken van de overheidsaankopen in het algemeen, was het zinvol om overeenkomsten te sluiten met bondgenoten waarbij de belemmeringen voor grensoverschrijdende aankopen werden verminderd of opgeheven. Door de mogelijkheid om defensiematerieel zowel in eigen land als bij bondgenoten aan te schaffen, konden landen een grotere mate van keuze maken bij de aanschaf van het soort materieel. De uitbreiding van het aankoopklimaat zorgde er ook voor dat een breder concurrentieveld werd ingebed in de aankoopovereenkomst voor defensie en de aankoop van defensiematerieel. Het gebruik van overeenkomsten inzake wederzijdse defensieopdrachten zorgt ervoor dat defensieopdrachten kosteneffectiever zijn. Er zijn ook strategische overwegingen ingebed in deze overeenkomsten, zoals het produceren van een breder scala van interoperabele apparatuur.
Het belangrijke facet van wederkerige overeenkomsten voor defensie-aankopen is de bepaling om af te zien van de eisen die veel landen hebben voor overheidsinstanties om producten te kopen die in eigen land zijn geproduceerd. In de Verenigde Staten heeft dit de vorm van de “Buy American Act”, die in 1933 werd aangenomen en die de federale regering verbiedt om zonder ontheffing voorraden of afgewerkte produkten van buiten de Verenigde Staten te kopen. Veel andere landen hebben ook “koop nationale” wetten. Wederzijdse overeenkomsten inzake de aanschaf van defensiematerieel ontheffen deze wetten, zodat beide landen defensiematerieel met elkaar kunnen verhandelen. Of, op zijn minst, kunnen bepaalde organisaties in in aanmerking komende landen aan het aankoopproces deelnemen zonder vrees voor discriminerende aankooppraktijken. Ook zullen er geen invoerrechten worden geheven op goederen die uit gekwalificeerde landen worden verkocht, althans in de meeste gevallen.
Beoordeel uw DFARS-naleving
Welke landen zijn gekwalificeerde landen?
Op dit punt wilt u waarschijnlijk een lijst van welke landen worden beschouwd als gekwalificeerde landen onder DFARS. Zoals u zult merken, zijn veel van de landen op de lijst trouwe bondgenoten van de Verenigde Staten. In totaal zijn er momenteel 26 landen die als DFARS-conforme landen worden beschouwd. Hier is de DFARS-conforme landenlijst:
- Australië
- België
- Canada
- Tsjechische Republiek
- Denemarken
- Egypte
- Estland
- Federale Republic of Germany
- Finland
- France
- Greece
- Israel
- Italy
- Japan
- Latvia
- Luxembourg
- Netherlands
- Norway
- Poland
- Portugal
- Slovenia
- Spain
- Sweden
- Switzerland
- Turkey
- United Kingdom of Great Britain and Northern Ireland
In addition to the 26 countries in the aforementioned list, contractors with the DoD may also procure products from Austria. These procurements are exempted from the Buy American Act on a case-by-case basis, rather than accepted whole cloth as in the case of the countries listed above. One thing to note about the list of compliant countries is that there is substantial overlap between these countries and countries that are part of the North Atlantic Treaty Organization (NATO). Dit verband is logisch gezien de historische context waarin de defensieaanbestedingsovereenkomsten zijn ontstaan.
Wat zijn enkele andere belangrijke DFARS-vereisten
Zoals gezegd is het DFARS zelf een omvangrijk regelgevingsorgaan dat de aanschaf van defensiematerieel regelt. Er zijn vele facetten van DFARS die van toepassing zijn op specifieke organisaties, en er zijn te veel individuele vereisten om op in te gaan. Het is echter de moeite waard om wat meer te weten te komen over een recente vereiste die aan het DFARS is toegevoegd. Deze vereiste regelt de bescherming van Controlled Unclassified Information (CUI). Er staan strenge straffen op niet-naleving, waaronder het verlies van het overheidscontract dat een organisatie heeft, dus het is de moeite waard om te begrijpen hoe deze eis op u van invloed is.
Als u deel uitmaakt van het DoD-aanbestedingsproces en CUI verwerkt, bent u wettelijk verplicht om te voldoen aan de cyberbeveiligingseisen die zijn beschreven in DFARS 204.73 Safeguarding Covered Defense Information and Cyber Incident Reporting. Zoals de naam al aangeeft, gaat het bij deze eis om de bescherming van gevoelige gegevens die niet geclassificeerd zijn, maar waarvan de vrijgave toch schadelijk zou kunnen zijn. Om dit te bereiken, moeten entiteiten die binnen het bereik van deze eis vallen, zich houden aan NIST 800-171 Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations.
De clausule over cyberbeveiliging in DFARS is pas onlangs toegevoegd en is op 31 december 2017 in werking getreden. Dus, hoewel deze vereiste op dit moment al meer dan een jaar van kracht is, zijn er mogelijk nog steeds kleine en middelgrote bedrijven die de naleving nog moeten bereiken. Naleving van de DFARS-vereisten voor cyberbeveiliging kan zeker lastig zijn. Organisaties moeten de werkelijke omvang vaststellen van de wijze waarop CUI via hun netwerkactiva en -systemen wordt verzonden en opgeslagen. Vervolgens moeten organisaties de in NIST 800-171 beschreven beveiligingen implementeren om de bescherming van die CUI te waarborgen.
U vraagt zich misschien af wat met “Controlled Unclassified Information” wordt bedoeld, omdat dit van buitenaf gezien een brede term lijkt. In wezen zijn CUI door de overheid gegenereerde gegevens die moeten worden beschermd. Dit kan ook informatie of gegevens omvatten die namens de overheid door een derde entiteit worden gegenereerd. De definitie van CUI zelf is complex; een volledige definitie is hier te vinden, verstrekt door de Nationale Archieven. Voor entiteiten die onder de DFARS-beveiligingseisen vallen, is een volledig begrip van wat CUI precies is, een basisuitgangspunt om na te gaan waar CUI op uw systemen is opgeslagen, hoe deze wordt overgedragen en hoe u deze beschermt. Enkele voorbeelden van CUI zijn e-mails, blauwdrukken of informatie over contractanten, maar er zijn veel verschillende soorten informatie die als CUI kunnen worden beschouwd. Een van de grootste uitdagingen bij het bereiken van NIST 800-171 compliance is het correct identificeren van CUI wanneer u ermee in aanraking komt.
De NIST 800-171 schetst een raamwerk dat organisaties kunnen gebruiken om CUI op hun netwerk en systemen te beschermen. In totaal stelt NIST 800-171 14 verschillende eisen waaraan organisaties moeten voldoen om compliant te zijn. Deze vereisten kunnen worden onderverdeeld in controles, beveiligingsmaatregelen, beheer en toezicht, en eindgebruikerspraktijken. Net als andere beveiligingsvereisten van NIST vertegenwoordigen de cyberbeveiligingsvereisten in NIST 800-171 door de industrie aanvaarde beste praktijken. Hoewel er specifieke vereisten zijn, kunnen organisaties de beste manier kiezen om aan die vereisten te voldoen, gezien hun operationele behoeften, risiconiveau en beschikbare middelen.
Het kan een uitdaging zijn om aan de vereisten van NIST 800-171 te voldoen, met name voor kleine tot middelgrote fabrikanten of DoD-leveranciers die niet over de middelen beschikken om de beoordelings- en monitoringvereisten uit te voeren die door NIST worden voorgeschreven. Organisaties die NIST 800-171-naleving willen bereiken, moeten hun bedrijfsprocessen en de reikwijdte van hun CUI onder de loep nemen en vervolgens de lacunes in hun controles analyseren. Als dit eenmaal is gedaan, kunnen zij een stappenplan voor de toekomst opstellen. Organisaties moeten dan controles implementeren, samen met segmentatie van hun netwerk, verkeer of activa indien nodig om de reikwijdte van CUI te beperken. Ten slotte moeten organisaties processen ontwikkelen om permanente naleving te waarborgen, met inbegrip van beveiligingsaudits en validaties. Om dit alles te kunnen doen, moeten organisaties in staat zijn een uitgebreide beoordeling van hun IT-infrastructuur uit te voeren en toegang hebben tot de expertise die nodig is om kwetsbaarhedenbeoordelingen uit te voeren.
Het is ook belangrijk om in gedachten te houden dat naleving van de eisen die in NIST 800-171 worden gesteld, geen eenmalige gebeurtenis is, maar eerder een doorlopend proces. Dit betekent dat organisaties regelmatig kwetsbaarheidsbeoordelingen moeten uitvoeren, evenals doorlopende penetratietests om ervoor te zorgen dat eventuele kwetsbaarheden in uw netwerk, systemen of webapplicaties snel worden geïdentificeerd en verholpen voordat zich een schadelijke gebeurtenis voordoet. Lees meer over de top 5 van tools voor penetratietests voor webtoepassingen in ons gerelateerde artikel.
Conclusie
Het naleven van de DFARS-vereisten kan een enorme hoeveelheid tijd en coördinatie vergen. Als u uw overheidscontract voortdurend wilt behouden, is het van essentieel belang dat u precies weet wat uw compliance-eisen zijn. Het is niet voldoende om alleen maar te weten of een land waarmee u werkt al dan niet als gekwalificeerd wordt beschouwd. Als u een organisatie bent die als onderaannemer of hoofdcontractant aan het DoD levert, moet u ervoor zorgen dat uw organisatie CUI beschermt en voldoet aan NIST 800-171. Als u dit niet doet, kan dit leiden tot niet-naleving en intrekking van uw overheidscontract, samen met de financiële en reputatieschade die een datalek met zich mee kan brengen. Om te voorkomen dat met name de DFARS niet wordt nageleefd, moet worden samengewerkt met andere organisaties die een grondige kennis hebben van zowel de DFARS- als de NIST 800-171-vereisten. Aangezien deze twee hand in hand gaan, moeten organisaties die binnen het toepassingsgebied vallen, ervoor zorgen dat ze te allen tijde aan beide vereisten voldoen. Als u nieuwsgierig bent naar meer informatie over DFARS en NIST 800-171 compliance of cyberbeveiligingsoplossingen, neem dan vandaag nog contact op met RSI Security.