Suplimentul DFARS (Defense Federal Acquisition Regulation Supplement) reglementează achiziția de bunuri și servicii pentru Departamentul Apărării (DoD). Atât oficialii, cât și contractorii trebuie să respecte cerințele stabilite în DFARS. După cum știe oricine a analizat cerințele stabilite în DFARS, DFARS în sine este un organism de reglementare complex, care are un domeniu de aplicare și o profunzime largă. Antreprenorii și subcontractanții care aprovizionează sau lucrează cu DoD sunt obligați să respecte DFARS sau să se confrunte cu sancțiuni pentru neconformitate, ceea ce face esențial să înțelegeți exact care sunt cerințele de conformitate DFARS și cum le puteți îndeplini.
O provocare pe care DFARS o prezintă pentru antreprenori și subcontractanți este o restricție privind țările din care puteți achiziționa bunuri. Având în vedere complexitatea lanțului nostru global de aprovizionare, organizațiile din afara procesului de achiziții DoD adesea nu știu exact de unde provin bunurile și serviciile lor. Acest lucru poate ridica potențiale probleme de conformitate cu DFARS, de unde și necesitatea unor restricții. În cadrul regulamentului DFARS în sine există o listă de țări conforme cu DFARS. Această listă este esențială pentru ca toți contractanții să o înțeleagă și să o respecte, ceea ce înseamnă că toate achizițiile de bunuri și servicii trebuie să treacă prin aceste țări. Acest lucru include pentru componentele care constau în metale topite, ceea ce reprezintă un subiect complex în sine. Conform cerințelor DFARS, numai anumite țări au permisiunea de a topi metale în afara Statelor Unite dacă produsul final este destinat DoD.
Există, de asemenea, unele modificări importante care au fost implementate recent în DFARS și care afectează mulți dintre contractanții și subcontractanții care interacționează cu DoD. Și anume, adăugarea unor cerințe de securitate cibernetică pentru a proteja informațiile neclasificate controlate (CUI). Acest lucru are impact asupra tuturor partenerilor DoD și a devenit lege de la sfârșitul anului 2017. Această cerință suplimentară pentru DFARS a impus ca toate organizațiile aflate în sfera de aplicare a regulamentului să adopte eforturile de securitate cibernetică descrise în National Institute of Standards and Technology (NIST) SP 800-171, revizia 1. Aceste cerințe sunt menite să protejeze CUI împotriva accesului nejustificat sau a furtului. Astfel, aceste cerințe protejează, de asemenea, contractanții înșiși, asigurându-se că eforturile lor în materie de securitate cibernetică sunt capabile să facă față amenințărilor actuale.
Navigația în cerințele DFARS poate fi extrem de dificilă. Profunzimea informațiilor cuprinse în documentele de reglementare este vastă și, cu numeroase documente suplimentare necesare pentru a obține o imagine completă a serviciilor de consultanță în materie de conformitate și a cerințelor pe care organizațiile trebuie să le respecte; majoritatea contractanților mici și mijlocii pot avea dificultăți în a adera la cerințele stabilite în DFARS. Acest articol va încerca să distileze o listă cuprinzătoare a țărilor conforme cu DFARS. Vom analiza, de asemenea, ce înseamnă să fii o țară conformă, pentru a oferi un context mai larg reglementărilor în sine.
Iată alte câteva articole pentru a vă ajuta să aflați mai multe despre DFARS :
- Ce înseamnă DFARS?
- Cum să devii conform DFARS?
Ce sunt țările care se califică?
În acest moment, s-ar putea să vă întrebați ce este o țară care se califică. În ceea ce privește DFARS, termenul „țară calificată” se referă la o țară cu care guvernul Statelor Unite are un memorandum de înțelegere sau un alt acord internațional cu țara desemnată. Ca urmare a acestor acorduri, Departamentul Apărării stabilește că nu este în interesul public ca cerințele prevăzute de legea Buy American sau de programul privind balanța de plăți să se aplice acestor țări specifice.
Atunci, ce anume face ca relația dintre Statele Unite și o țară calificată să fie specială? Ei bine, în esență, guvernul Statelor Unite semnează acorduri reciproce de achiziții în domeniul apărării cu fiecare țară care se află pe listă. Aceste acorduri reciproce de apărare au început în anii 1970, în contextul Războiului Rece, cu intenția de a crește eficiența alianțelor care existau la acea vreme. Ideea din spatele acordurilor reciproce de apărare a fost aceea că în multe țări existau bariere în ceea ce privește achiziționarea de echipamente legate de apărare. Aceste bariere luau adesea forma unor legi sau norme care încurajau industriile de apărare să se aprovizioneze din surse interne, fie că era vorba de un stimulent financiar sau de altă natură.
Datorită faptului că achizițiile în domeniul apărării reprezintă o parte atât de substanțială a achizițiilor guvernamentale în general, era logic să se caute acorduri cu aliații prin care să se reducă sau să se elimine barierele în ceea ce privește achizițiile transfrontaliere. Având posibilitatea de a achiziționa echipamente de apărare atât pe plan intern, cât și de la aliați, țările au avut posibilitatea de a exercita un grad mai mare de alegere în ceea ce privește tipurile de echipamente pe care le achiziționează. Extinderea mediului de achiziție a asigurat, de asemenea, că un câmp mai larg de concurență a fost încorporat în acordul de achiziție în domeniul apărării și de aprovizionare. Utilizarea acordurilor reciproce de achiziții în domeniul apărării asigură o mai bună rentabilitate a achizițiilor în domeniul apărării. Există, de asemenea, considerente strategice încorporate în aceste acorduri, cum ar fi producerea unei game mai largi de echipamente interoperabile.
Fațeta importantă a acordurilor reciproce de achiziții publice în domeniul apărării este prevederea de a renunța la cerințele pe care multe națiuni le au pentru ca entitățile guvernamentale să cumpere produse care sunt fabricate pe plan intern. În Statele Unite, acest lucru ia forma legii Buy American Act, adoptată în 1933, care interzice guvernului federal să achiziționeze bunuri sau produse finite din afara Statelor Unite fără o derogare. Multe alte țări au, de asemenea, legi „buy national”. Acordurile reciproce de achiziții publice în domeniul apărării derogă de la aceste legi, permițând ambelor țări să facă schimb de echipamente de apărare între ele. Sau, cel puțin, anumite organizații din țările care se califică pot intra în procesul de achiziții publice fără a se teme de practici de cumpărare discriminatorii. De asemenea, bunurile vândute din țările care se califică nu vor fi supuse unor taxe de import, cel puțin în majoritatea cazurilor.
Evaluați-vă conformitatea DFARS
Ce țări sunt țări care se califică?
În acest moment, probabil că doriți o listă cu țările care sunt considerate țări care se califică în cadrul DFARS. După cum veți observa, multe dintre țările de pe listă sunt aliați de nădejde ai Statelor Unite. În total, există în prezent 26 de țări care sunt considerate țări conforme DFARS. Iată lista țărilor conforme cu DFARS:
- Australia
- Belgia
- Canada
- Republica Cehă
- Danemarca
- Egipt
- Estonia
- Federal Republic of Germany
- Finland
- France
- Greece
- Israel
- Italy
- Japan
- Latvia
- Luxembourg
- Netherlands
- Norway
- Poland
- Portugal
- Slovenia
- Spain
- Sweden
- Switzerland
- Turkey
- United Kingdom of Great Britain and Northern Ireland
In addition to the 26 countries in the aforementioned list, contractors with the DoD may also procure products from Austria. These procurements are exempted from the Buy American Act on a case-by-case basis, rather than accepted whole cloth as in the case of the countries listed above. One thing to note about the list of compliant countries is that there is substantial overlap between these countries and countries that are part of the North Atlantic Treaty Organization (NATO). Această asociere este logică, având în vedere contextul istoric în care au început să apară acordurile de achiziții în domeniul apărării.
Care sunt alte cerințe importante ale DFARS
După cum am menționat, DFARS în sine este un organism de reglementare masiv care reglementează achizițiile de echipamente de apărare. Există multe fațete ale DFARS care se aplică anumitor organizații și sunt prea multe cerințe individuale pentru a le analiza. Cu toate acestea, merită să ne petrecem timpul pentru a afla ceva mai multe informații despre o cerință recentă care a fost adăugată la DFARS. Această cerință reglementează protecția informațiilor neclasificate controlate (Controlled Unclassified Information – CUI). Există sancțiuni stricte pentru neconformitate, inclusiv pierderea contractului guvernamental pe care îl deține o organizație, așa că merită să înțelegeți cum vă afectează această cerință.
Dacă faceți parte din procesul de achiziții DoD și manipulați CUI, atunci sunteți obligat prin lege să respectați cerințele de securitate cibernetică descrise în DFARS 204.73 Safeguarding Covered Defense Information and Cyber Incident Reporting. După cum sugerează și numele, această cerință se referă la protejarea datelor sensibile care nu sunt clasificate, dar a căror divulgare ar putea fi totuși dăunătoare. Pentru a realiza acest lucru, entitățile care intră în sfera de aplicare a acestei cerințe trebuie să adere la NIST 800-171 Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations.
Clauza care reglementează securitatea cibernetică în DFARS a fost adăugată doar recent și a intrat în vigoare la 31 decembrie 2017. Așadar, deși această cerință este în vigoare de peste un an în acest moment, este posibil să existe încă întreprinderi mici și mijlocii care încă nu au obținut conformitatea. Realizarea conformității cu cerințele de securitate cibernetică DFARS poate fi dificilă, cu siguranță. Organizațiile trebuie să identifice adevăratul domeniu de aplicare al modului în care CUI este transmis și stocat în cadrul activelor și sistemelor lor de rețea. Apoi, organizațiile trebuie să pună în aplicare măsurile de protecție descrise în NIST 800-171 pentru a asigura protecția acestor CUI.
S-ar putea să vă întrebați la ce se referă „Informații neclasificate controlate”, deoarece, din exterior, pare a fi un termen larg. În esență, CUI sunt date generate de guvern care trebuie protejate. Aceasta poate include, de asemenea, informații sau date care sunt generate de o entitate terță în numele guvernului. Definiția în sine a CUI este complexă, iar o definiție completă se găsește aici, oferită de Arhivele Naționale. Pentru entitățile care intră în sfera de aplicare a cerințelor de securitate DFARS, obținerea unei înțelegeri depline a ceea ce constituie exact CUI servește ca punct de plecare de bază pentru identificarea locului în care CUI este stocat în sistemele dumneavoastră, a modului în care este transmis și a modului în care îl protejați. Printre exemplele de CUI se numără e-mailurile, schițele sau informațiile contractorilor, dar există multe tipuri diferite de informații care pot fi considerate CUI. Unul dintre cele mai dificile aspecte pentru obținerea conformității cu NIST 800-171 este identificarea corectă a CUI atunci când interacționați cu acestea.
NIST 800-171 prezintă un cadru pe care organizațiile îl pot utiliza pentru a proteja CUI în rețeaua și sistemele lor. În total, NIST 800-171 prezintă 14 cerințe diferite pe care organizațiile trebuie să le îndeplinească pentru a fi considerate conforme. Aceste cerințe pot fi împărțite în controale, măsuri de securitate, gestionare și monitorizare și practici ale utilizatorului final. La fel ca și alte cerințe de securitate furnizate de NIST, cerințele de securitate cibernetică prezentate în NIST 800-171 reprezintă cele mai bune practici acceptate în industrie. Deși există cerințe specifice, organizațiile pot alege cea mai bună modalitate de a îndeplini aceste cerințe, având în vedere nevoile lor operaționale, nivelul de risc și resursele de care dispun.
Îndeplinirea cerințelor prezentate în NIST 800-171 poate fi o provocare, în special pentru producătorii de dimensiuni mici și mijlocii sau pentru furnizorii DoD care nu dispun de resursele necesare pentru a realiza cerințele de evaluare și monitorizare impuse de NIST. Organizațiile care speră să obțină conformitatea cu NIST 800-171 trebuie să își revizuiască procesele de afaceri și domeniul de aplicare al CUI, apoi să analizeze lacunele de control. Odată făcut acest lucru, ele pot crea o foaie de parcurs pentru a merge mai departe. Organizațiile vor trebui apoi să implementeze controale, împreună cu segmentarea rețelei, a traficului sau a activelor lor, dacă este necesar, pentru a reduce domeniul de aplicare CUI. În cele din urmă, organizațiile vor trebui să creeze procese pentru a asigura conformitatea continuă, inclusiv audituri de securitate și validări. Pentru a face toate acestea, organizațiile trebuie să fie capabile să efectueze o evaluare cuprinzătoare a infrastructurii lor IT și să aibă acces la expertiza necesară pentru a efectua evaluări ale vulnerabilităților.
Este, de asemenea, important de reținut faptul că respectarea cerințelor stabilite în NIST 800-171 nu este doar un eveniment singular, ci este mai degrabă un proces continuu. Acest lucru înseamnă că organizațiile trebuie să efectueze în mod regulat evaluări ale vulnerabilităților, precum și să pună în scenă teste de penetrare continue pentru a se asigura că orice vulnerabilități din rețeaua, sistemele sau aplicațiile dvs. web sunt identificate rapid și remediate înainte de producerea unui eveniment dăunător. Aflați despre cele mai bune 5 instrumente de testare a penetrării pentru aplicații web în articolul nostru conex.
Concluzie
Menținerea conformității cu cerințele DFARS poate necesita o cantitate impresionantă de timp și coordonare. Înțelegerea exactă a cerințelor de conformitate este esențială pentru a vă menține contractul guvernamental în mod continuu. Nu este suficient să știți pur și simplu dacă o țară cu care lucrați este considerată sau nu calificată. Dacă sunteți o organizație care este subcontractant sau contractant principal care furnizează DoD, va trebui să vă asigurați că organizația dvs. protejează CUI și că este conformă cu NIST 800-171. Nerespectarea acestei cerințe ar putea duce la neconformitate și la revocarea contractului dvs. guvernamental, împreună cu daunele financiare și de reputație care pot însoți o încălcare a securității datelor. Pentru a evita neconformitatea cu DFARS, în special, este necesară colaborarea cu alte organizații care au o înțelegere aprofundată atât a DFARS, cât și a cerințelor NIST 800-171. Datorită faptului că cele două merg mână în mână, organizațiile aflate în domeniul de aplicare trebuie să se asigure că mențin în permanență conformitatea cu ambele. Dacă sunteți curioși să aflați mai multe despre conformitatea DFARS și NIST 800-171 sau despre soluțiile de securitate cibernetică, vă rugăm să contactați RSI Security astăzi.
.