Defense Federal Acquisition Regulation Supplement (DFARS) reglerar förvärv av varor och tjänster för försvarsdepartementet. Både tjänstemän och entreprenörer måste följa de krav som anges i DFARS. Som alla som har tittat på de krav som anges i DFARS vet är DFARS i sig självt ett komplext regelverk som har en stor räckvidd och ett stort djup. Entreprenörer och underleverantörer som levererar till eller arbetar med DoD måste följa DFARS eller drabbas av påföljder för bristande efterlevnad, vilket gör det viktigt att förstå exakt vilka krav på efterlevnad av DFARS du har och hur du kan uppfylla dem.
En utmaning som DFARS innebär för entreprenörer och underleverantörer är en begränsning av de länder som du kan upphandla leveranser från. Med tanke på komplexiteten i vår globala försörjningskedja vet organisationer utanför DoD:s upphandlingsprocess ofta inte exakt varifrån deras varor och tjänster kommer. Detta kan innebära potentiella problem med efterlevnaden av DFARS, därav behovet av restriktioner. I själva DFARS-förordningen finns en förteckning över dfars-kompatibla länder. Denna lista är viktig för alla entreprenörer att förstå och följa, vilket innebär att all upphandling av varor och tjänster måste gå via dessa länder. Detta gäller även för komponenter som består av smälta metaller, vilket är ett komplext ämne i sig självt. Enligt DFARS-kraven är det endast vissa länder som får smälta metall utanför USA om slutprodukten är avsedd för DoD-ändamål.
Det finns också några viktiga förändringar som nyligen genomfördes i DFARS och som påverkar många av de entreprenörer och underleverantörer som interagerar med DoD. Nämligen tillägget av krav på cybersäkerhet för att skydda Controlled Unclassified Information (CUI). Detta påverkar alla DoD-partner och har varit lag sedan slutet av 2017. Detta ytterligare krav för DFARS innebar att alla organisationer som omfattas av förordningen måste anta de cybersäkerhetsinsatser som beskrivs i National Institute of Standards and Technology (NIST) SP 800-171 revision 1. Dessa krav är avsedda att skydda CUI från obehörig åtkomst eller stöld. På så sätt skyddar dessa krav även själva entreprenörerna genom att se till att deras cybersäkerhetsinsatser kan motsvara dagens hotbild.
Det kan vara en stor utmaning att navigera i DFARS-kraven. Den djupa information som behandlas i regleringsdokumenten är omfattande, och med många ytterligare dokument som krävs för att få en fullständig bild av de rådgivande tjänster och krav för efterlevnad som organisationer måste följa; de flesta mindre och medelstora entreprenörer kan ha svårt att följa de krav som anges i DFARS. I den här artikeln försöker vi att sammanställa en omfattande lista över länder som följer DFARS. Vi kommer också att titta på vad det innebär att vara ett land som uppfyller kraven, för att ge ett större sammanhang till själva bestämmelserna.
Här är några fler artiklar som hjälper dig att lära dig mer om DFARS :
- Vad står DFARS för?
- Hur blir man DFARS-kompatibel?
Vad är kvalificerande länder?
I det här läget kanske du undrar vad ett kvalificerande land är. När det gäller DFARS hänvisar termen ”kvalificerande land” till ett land som Förenta staternas regering har ett samförståndsavtal med eller ett annat internationellt avtal med det utsedda landet. Med utgångspunkt i dessa avtal fastställer försvarsdepartementet att det inte ligger i allmänhetens intresse att kraven enligt Buy American-statuten eller betalningsbalansprogrammet ska gälla för dessa specifika länder.
Så, vad exakt är det som gör förhållandet mellan Förenta staterna och ett kvalificerat land speciellt? Jo, i huvudsak undertecknar USA:s regering ömsesidiga avtal om försvarsupphandling med varje land som finns med på listan. Dessa ömsesidiga försvarsavtal började under 1970-talet inom ramen för det kalla kriget, med avsikten att öka effektiviteten i de allianser som fanns vid den tiden. Tanken bakom de ömsesidiga försvarsavtalen var att många länder hade hinder som fanns när det gällde anskaffning av försvarsrelaterad utrustning. Dessa hinder tog ofta formen av lagar eller normer som uppmuntrade försvarsindustrin att upphandla från inhemska källor, oavsett om det var ekonomiskt stimulerande eller på annat sätt.
Med tanke på att försvarsanskaffning står för en så betydande del av den statliga upphandlingen i allmänhet, var det meningsfullt att söka avtal med allierade där hindren för upphandling över gränserna minskades eller försvann. Genom att kunna upphandla försvarsmateriel både nationellt och från allierade kunde länderna utöva en större valfrihet i fråga om vilka typer av materiel de anskaffade. En utvidgning av upphandlingsmiljön säkerställde också att ett bredare konkurrensfält förankrades i avtal om försvarsupphandlingar och upphandlingar. Användningen av ömsesidiga avtal om försvarsupphandling säkerställer att försvarsupphandlingarna blir mer kostnadseffektiva. Det finns också strategiska överväganden inbäddade i dessa avtal, såsom att producera ett bredare utbud av interoperabel utrustning.
Den viktiga aspekten av ömsesidiga försvarsupphandlingsavtal är bestämmelsen om att avstå från de krav som många nationer har på att statliga enheter ska köpa produkter som tillverkas inom landet. I USA tar detta formen av Buy American Act, som antogs 1933 och som förbjuder den federala regeringen från att köpa förnödenheter eller färdiga varor från länder utanför USA utan ett undantag. Många andra länder har också ”buy national”-lagar. Ömsesidiga avtal om försvarsinköp innebär att dessa lagar upphävs, vilket gör det möjligt för båda länderna att handla med försvarsmateriel med varandra. Eller åtminstone kan vissa organisationer i de länder som omfattas av avtalen delta i upphandlingsprocessen utan att behöva vara rädda för diskriminerande inköpsmetoder. Inte heller kommer varor som säljs från kvalificerade länder att beläggas med importtullar, åtminstone i de flesta fall.
Bedöm din efterlevnad av DFARS
Vilka länder är kvalificerade länder?
I det här läget vill du antagligen ha en lista över vilka länder som anses vara kvalificerade länder enligt DFARS. Som du kommer att märka är många av länderna på listan USA:s trogna allierade. Totalt finns det för närvarande 26 länder som anses uppfylla kraven enligt DFARS. Här är listan över DFARS-kompatibla länder:
- Australien
- Belgien
- Kanada
- Tjeckien
- Danmark
- Egypten
- Estonien
- Federal Republic of Germany
- Finland
- France
- Greece
- Israel
- Italy
- Japan
- Latvia
- Luxembourg
- Netherlands
- Norway
- Poland
- Portugal
- Slovenia
- Spain
- Sweden
- Switzerland
- Turkey
- United Kingdom of Great Britain and Northern Ireland
In addition to the 26 countries in the aforementioned list, contractors with the DoD may also procure products from Austria. These procurements are exempted from the Buy American Act on a case-by-case basis, rather than accepted whole cloth as in the case of the countries listed above. One thing to note about the list of compliant countries is that there is substantial overlap between these countries and countries that are part of the North Atlantic Treaty Organization (NATO). Detta samband är logiskt med tanke på den historiska kontext inom vilken avtalen om försvarsupphandling började uppträda.
Vad är några andra viktiga DFARS-krav
Som vi har nämnt är DFARS i sig självt ett massivt regelverk som reglerar anskaffningen av försvarsmateriel. Det finns många facetter av DFARS som gäller för specifika organisationer, och det finns för många enskilda krav för att gå in på dem. Det är dock värt att ägna tid åt att få veta lite mer information om ett krav som nyligen lades till i DFARS. Detta krav reglerar skyddet av kontrollerad, icke klassificerad information (Controlled Unclassified Information, CUI). Det finns stränga påföljder för bristande efterlevnad, inklusive förlust av det statliga kontrakt som en organisation innehar, så det är värt att förstå hur detta krav påverkar er.
Om du är en del av DoD:s upphandlingsprocess och hanterar CUI är du enligt lag skyldig att följa de cybersäkerhetskrav som beskrivs i DFARS 204.73 Safeguarding Covered Defense Information and Cyber Incident Reporting. Som namnet antyder handlar detta krav om att skydda känsliga uppgifter som inte är sekretessbelagda men vars utlämnande ändå skulle kunna vara skadligt. För att uppnå detta måste enheter som omfattas av detta krav följa NIST 800-171 Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations.
Den klausul som reglerar cybersäkerhet i DFARS lades till först nyligen och trädde i kraft den 31 december 2017. Så även om detta krav har varit i kraft i över ett år vid det här laget kan det fortfarande finnas små och medelstora företag som ännu inte har uppnått överensstämmelse. Att uppnå överensstämmelse med DFARS:s krav på cybersäkerhet kan säkert vara knepigt. Organisationer måste identifiera den verkliga omfattningen av hur CUI överförs och lagras i deras nätverkstillgångar och system. Sedan måste organisationerna genomföra de skyddsåtgärder som beskrivs i NIST 800-171 för att säkerställa skyddet av denna CUI.
Du kanske undrar vad ”Controlled Unclassified Information” avser, eftersom det utifrån sett verkar vara en bred term. I huvudsak är CUI data som genereras av regeringen och som behöver skyddas. Detta kan också omfatta information eller uppgifter som genereras av en tredje part på uppdrag av regeringen. Definitionen av CUI i sig är komplex, och en fullständig definition finns här från National Archives. För enheter som omfattas av DFARS:s säkerhetskrav är en fullständig förståelse av exakt vad som utgör CUI en grundläggande utgångspunkt för att identifiera var CUI lagras i era system, hur den överförs och hur ni skyddar den. Några exempel på CUI är e-post, ritningar eller entreprenörsinformation, men det finns många olika typer av information som kan betraktas som CUI. En av de mest utmanande aspekterna för att uppnå överensstämmelse med NIST 800-171 är att korrekt identifiera CUI när du interagerar med den.
NIST 800-171 beskriver ett ramverk som organisationer kan använda för att skydda CUI i sina nätverk och system. Totalt beskriver NIST 800-171 14 olika krav som organisationer måste uppfylla för att anses uppfylla kraven. Dessa krav kan delas upp i kontroller, säkerhetsåtgärder, hantering och övervakning samt slutanvändarpraxis. Liksom andra säkerhetskrav som tillhandahålls av NIST representerar de cybersäkerhetskrav som beskrivs i NIST 800-171 branschmässigt accepterad bästa praxis. Även om det finns specifika krav kan organisationer välja det bästa sättet för dem att uppfylla dessa krav med tanke på deras operativa behov, risknivå och tillgängliga resurser.
Det kan vara en utmaning att uppfylla de krav som beskrivs i NIST 800-171, särskilt för små och medelstora tillverkare eller leverantörer till försvarsdepartementet som inte har resurser för att genomföra de bedömnings- och övervakningskrav som NIST föreskriver. Organisationer som hoppas uppnå NIST 800-171-överensstämmelse måste se över sina affärsprocesser och CUI-området och sedan analysera sina kontrollluckor. När detta är gjort kan de skapa en färdplan för att gå vidare. Organisationerna måste sedan genomföra kontroller och vid behov segmentera sitt nätverk, sin trafik eller sina tillgångar för att minska CUI-omfattningen. Slutligen måste organisationerna skapa processer för att säkerställa kontinuerlig efterlevnad, inklusive säkerhetsrevisioner och valideringar. För att kunna göra allt detta måste organisationerna kunna utföra en omfattande bedömning av sin IT-infrastruktur och ha tillgång till den expertis som krävs för att utföra sårbarhetsbedömningar.
Det är också viktigt att komma ihåg att efterlevnaden av de krav som anges i NIST 800-171 inte bara är en enskild händelse, utan snarare en pågående process. Detta innebär att organisationer regelbundet måste utföra sårbarhetsbedömningar och genomföra löpande penetrationstester för att se till att eventuella sårbarheter i nätverket, systemen eller webbapplikationerna snabbt identifieras och åtgärdas innan en skadlig händelse inträffar. Läs mer om de fem bästa verktygen för penetrationstestning av webbapplikationer i vår relaterade artikel.
Slutsats
Hållandet av efterlevnaden av DFARS-kraven kan kräva en svindlande mängd tid och samordning. Att förstå exakt vilka krav du har på efterlevnad är viktigt för att upprätthålla ditt statliga kontrakt på löpande basis. Det räcker inte att bara veta om ett land som du arbetar med anses vara kvalificerat eller inte. Om du är en organisation som är en underleverantör eller huvudentreprenör som levererar till försvarsdepartementet måste du se till att din organisation skyddar CUI och uppfyller kraven i NIST 800-171. Om du inte gör det kan det leda till bristande efterlevnad och till att ditt regeringskontrakt återkallas, tillsammans med den ekonomiska skada och ryktesspridning som kan följa med ett dataintrång. För att undvika bristande efterlevnad av DFARS krävs i synnerhet att man samarbetar med andra organisationer som har en djupgående förståelse för både DFARS- och NIST 800-171-kraven. På grund av att dessa två går hand i hand måste organisationer inom tillämpningsområdet se till att de hela tiden upprätthåller efterlevnaden av båda. Om du är nyfiken på att lära dig mer om DFARS och NIST 800-171-överensstämmelse eller cybersäkerhetslösningar kan du kontakta RSI Security redan idag.