Nesil Teknoloji, ABD Savunma Bakanlığı tedarik zincirinde yer alan veya yer almak isteyen kuruluşlar için Cybersecurity Maturity Model Certification kapsamında risk değerlendirmesi, NIST SP 800-171 kontrol uygulaması, dokümantasyon hazırlığı, mock audit ve C3PAO koordinasyonu alanlarında uçtan uca danışmanlık verir. Bu sayfada CMMC programının kapsamı, Türkiye’deki uygulama alanları, üç seviyeli değerlendirme yapısı, NIST SP 800-171 ile ilişkisi ve tipik proje akışı ele alınmaktadır.

CMMC Nedir?

Cybersecurity Maturity Model Certification, ABD Savunma Bakanlığı’nın savunma sanayi temel altyapısında (Defense Industrial Base) bilgi güvenliği yükümlülüklerinin uygulanmasını doğrulamak amacıyla geliştirdiği sertifikasyon programıdır. Program, federal sözleşme bilgisi (Federal Contract Information — FCI) ve kontrollü sınıflandırılmamış bilgi (Controlled Unclassified Information — CUI) işleyen tüm savunma yüklenicilerini ve alt yüklenicileri kapsar.

CMMC 1.0 başlangıçta beş seviyeli karmaşık bir yapı olarak tasarlanmış, 2021 yılında CMMC 2.0 olarak üç seviyeye indirgenmiş ve mevcut NIST SP 800-171 kontrol seti ile birebir uyumlu hale getirilmiştir. Program, daha önce yalnızca öz-beyan ile yürütülen DFARS 252.204-7012 yükümlülüğünü doğrulanabilir bir denetim mekanizmasına dönüştürür. Yüklenici, gereken seviyeye göre öz-değerlendirme, akredite üçüncü taraf denetimi veya DoD doğrudan denetimi sonucunu Supplier Performance Risk System (SPRS) üzerinden ibraz etmek zorundadır.

Programın amacı, savunma tedarik zinciri üzerinden CUI sızıntısının önüne geçmek ve ulusal güvenlik bilgisinin yetkisiz erişime karşı doğrulanabilir biçimde korunmasını sağlamaktır. CMMC kapsamı yalnızca büyük ana yüklenicileri (primes) değil; FCI veya CUI işleyen tüm alt yüklenicileri flowdown rejimi gereği kapsar.

Mevzuat Dayanağı ve Yürürlük Takvimi

CMMC programının yasal zemini iki ayrı federal düzenlemeden oluşur: program kuralı ve satınalma kuralı.

32 CFR Part 170 — CMMC Program Rule

15 Ekim 2024 tarihinde Federal Register’da yayımlanmış, 16 Aralık 2024 tarihinde yürürlüğe girmiştir. Program yapısını, üç sertifikasyon seviyesini, değerlendirme tiplerini, akreditasyon ekosistemini ve faz bazlı geçiş planını tanımlar.

48 CFR DFARS Final Rule

10 Eylül 2025 tarihinde yayımlanmış, 10 Kasım 2025 tarihinde yürürlüğe girmiştir. CMMC gereksinimini DoD satınalma sürecine bağlayan sözleşmesel kuraldır. Bu tarih itibarıyla CMMC, yeni DoD sözleşmelerinde ödülün ön koşulu olarak uygulanmaya başlanmıştır.

İlgili Sözleşme Klozları

• DFARS 252.204-7012 — Covered Defense Information koruma yükümlülüğü, 72 saat içinde olay raporlama, SPRS skor bildirimi.
• DFARS 252.204-7019 — Öz-değerlendirme skoru bildirim yükümlülüğü.
• DFARS 252.204-7020 — DoD’a değerlendirme erişimi sağlama yükümlülüğü.
• DFARS 252.204-7021 — Sözleşmede aranan CMMC seviyesinin ibrazı ve alt yüklenicilere flowdown şartı.
• DFARS 252.204-7025 — Sözleşme bazında aranan CMMC seviyesinin belirtilmesi.
• FAR 52.204-21 — FCI için 17 temel güvenlik kontrolü, Level 1 dayanağı.

Teknik Kontrol Dayanakları

• NIST SP 800-171 Rev. 2 — Level 2 için 110 güvenlik gereksinimi, 14 kontrol ailesi.
• NIST SP 800-171A — 320 değerlendirme hedefi (assessment objective), C3PAO denetim kriteri.
• NIST SP 800-172 — Level 3 için seçili 24 ek kontrol, gelişmiş tehdit aktörlerine karşı.

Türkiye’deki Kuruluşlar İçin CMMC’nin Anlamı

CMMC, yalnızca ABD merkezli şirketleri değil; ABD Savunma Bakanlığı ile doğrudan veya dolaylı sözleşmeye taraf tüm tedarikçileri kapsar. Türkiye’deki kuruluşlar açısından CMMC yükümlülüğü üç farklı yoldan doğabilir.

Doğrudan Yüklenici Olarak

ABD Ordusu Mühendis Kıtası (USACE), ABD Dışişleri Bakanlığı projeleri ve NATO altyapı projelerinde Türkiye’de doğrudan iş yapan inşaat, mühendislik ve teknoloji şirketleri, sözleşme metninde aranan CMMC seviyesini ibraz etmedikçe ihale ödülü alamamaktadır. Bu durum özellikle İncirlik, Kürecik ve benzeri NATO/ABD üs altyapı, bakım ve teknoloji ihalelerinde belirleyicidir.

Alt Yüklenici Sıfatıyla

DFARS 252.204-7021 kapsamındaki flowdown yükümlülüğü, ana yüklenicinin CMMC seviyesini alt yüklenicilere de uygulamasını şart koşar. ABD savunma sanayine alt yüklenici olarak yedek parça, yazılım, mühendislik hizmeti, lojistik veya bakım sağlayan Türk firmaları için CMMC seviyesi ana yüklenici tarafından sözleşmeye yansıtılır. Alt yüklenici, kendi seviyesini bağımsız olarak ibraz etmek zorundadır.

Joint Venture ve Konsorsiyum Üyesi Olarak

ABD savunma firmalarıyla joint venture veya konsorsiyum kuran Türk firmaları, ortaklığın taraf olduğu DoD sözleşmesinde aranan CMMC seviyesinin koşullarını yerine getirmekle yükümlüdür. Bu yapılarda kapsam tespiti ve enklavlama (enclave) tasarımı kritik önem taşır.

Türkiye’de henüz Cyber AB akreditasyonu almış bir C3PAO bulunmadığından, Level 2 (C3PAO) ve Level 3 değerlendirmeleri için uluslararası akredite kuruluşlarla çalışılmaktadır. Nesil Teknoloji, bu süreçte hazırlık ve uyum danışmanlığı rolünde yer alır; akredite değerlendirici rolünde değildir.

FCI ve CUI Sınıflandırması

CMMC kapsamının doğru belirlenebilmesi için işlenen bilginin sınıfının tespiti ilk adımdır. İki bilgi sınıfı arasındaki temel ayrım, hangi kontrol setinin uygulanacağını ve hangi sertifikasyon seviyesinin gerektiğini doğrudan belirler.

Federal Contract Information (FCI)

Hükümete bir ürün veya hizmet sunmak amacıyla sözleşme kapsamında hükümet tarafından sağlanan veya sözleşme uygulaması için üretilen, kamuya açıklanması amaçlanmamış bilgidir. Kamuya açık bilgi ve basit işlem bilgileri FCI kapsamı dışındadır. FAR 52.204-21 kapsamında 17 temel kontrolü gerektirir ve Level 1 hazırlığı için yeterlidir.

Controlled Unclassified Information (CUI)

Federal düzeyde sınıflandırılmamış ancak kanun, yönetmelik veya hükümet politikası gereği kontrol edilmesi ve yetkisiz açıklamadan korunması gereken bilgidir. Mühendislik çizimleri, teknik veri paketleri, güvenlik açığı bilgileri, savunma araştırma çıktıları tipik CUI örnekleridir. National Archives CUI Registry, CUI alt kategorilerini ve koruma yükümlülüklerini yayımlar. CUI işleyen yükleniciler için NIST SP 800-171 Rev. 2’nin 110 kontrolü uygulanır.

İnşaat ve Mühendislik Projelerinde Tipik Sınıflandırma

USACE ve benzeri projelerde proje çizimleri, saha planları, lojistik koordinasyon bilgisi ve hassas üs altyapı bilgisi CUI sınıfında işlenir; yalnızca temel sözleşmesel iletişim FCI sınıfında kalır. Bu nedenle inşaat ve mühendislik tedarikçileri için Level 2 değerlendirmesi sıklıkla zorunlu hale gelmektedir.

Level 1 — Foundational (Temel)

Yalnızca FCI işleyen yükleniciler için tasarlanmıştır. Dayanağı FAR 52.204-21 maddesinin 17 temel güvenlik kontrolüdür: erişim kontrolü, kimlik doğrulama, medya koruma, fiziksel koruma, sistem ve iletişim koruması, sistem ve bilgi bütünlüğü temel uygulamaları. Değerlendirme yıllık öz-değerlendirme (Self-Assessment) ile yapılır ve SPRS üzerinden Affirming Official tarafından beyan edilir. Sertifika geçerliliği bir yıldır; her yıl yeniden öz-değerlendirme ve beyan gerekir.

Level 2 — Advanced (Gelişmiş)

CUI işleyen tüm yükleniciler için zorunludur. Dayanağı NIST SP 800-171 Rev. 2’nin 110 güvenlik gereksinimidir. Kontroller 14 aile altında yapılandırılmıştır.

14 Kontrol Ailesi

• AC — Access Control
• AT — Awareness and Training
• AU — Audit and Accountability
• CM — Configuration Management
• IA — Identification and Authentication
• IR — Incident Response
• MA — Maintenance
• MP — Media Protection
• PS — Personnel Security
• PE — Physical Protection
• RA — Risk Assessment
• CA — Security Assessment
• SC — System and Communications Protection
• SI — System and Information Integrity

Değerlendirme Türleri

Level 2 değerlendirmesi iki türde yapılabilir. Hangi türün uygulanacağına sözleşme bazında DoD program ofisi karar verir.

• Level 2 (Self): Düşük öncelikli, sınırlı CUI içeren sözleşmeler için yıllık öz-değerlendirme. Sonuç SPRS’a kaydedilir.
• Level 2 (C3PAO): Yüksek öncelikli CUI içeren sözleşmeler için Cyber AB akreditasyonuna sahip üçüncü taraf değerlendirme kuruluşu tarafından üç yılda bir yapılan denetim.

Level 2 (C3PAO) sertifikası üç yıl geçerlidir; her yıl Affirming Official tarafından sürekli uyum beyanı verilmesi zorunludur.

Level 3 — Expert (Uzman)

Gelişmiş kalıcı tehdit (Advanced Persistent Threat — APT) hedef olabilecek en kritik DoD programları için zorunludur. Dayanağı NIST SP 800-171 Rev. 2’nin 110 kontrolüne ek olarak NIST SP 800-172’den seçili 24 ek kontroldür. Değerlendirme yalnızca Defense Industrial Base Cybersecurity Assessment Center (DIBCAC) tarafından üç yılda bir yapılır; C3PAO yetkisi yoktur. Sertifika geçerliliği üç yıldır.

C3PAO ve Değerlendirme Süreci

C3PAO (Certified Third-Party Assessment Organization), Cyber AB (CMMC Accreditation Body) tarafından akredite edilmiş, Level 2 değerlendirmesi yapma yetkisi bulunan denetim kuruluşudur. Akredite C3PAO’lar Cyber AB Marketplace üzerinden listelenir.

C3PAO Seçim Kriterleri

• Akreditasyon durumunun aktif olduğunun Cyber AB Marketplace üzerinden doğrulanması
• Önceki Level 2 değerlendirme deneyimi ve sektörel yetkinliği
• Coğrafi konum ve seyahat maliyetleri
• Uzaktan değerlendirme imkânının kapsamı
• Değerlendirme ücreti aralığı ve takvim uygunluğu

Değerlendirme Çıktıları

C3PAO denetim sürecinde değerlendirme, NIST SP 800-171A’nın 320 değerlendirme hedefi üzerinden yapılır. Her hedef için “MET” veya “NOT MET” sonucu verilir. “MET” sonucunun alınamadığı kontroller için Plan of Action and Milestones hazırlanması ve 180 gün içinde kapatılması koşuluyla “Conditional Level 2 (C3PAO)” statüsü verilir. POA&M kapanışı sonrasında “Final Level 2 (C3PAO)” statüsüne geçilir. 180 gün içinde kapatılmayan POA&M kalemleri, “Final” statüye geçişi engeller.

Faz Bazlı Geçiş Takvimi

DFARS Final Rule, CMMC gereksinimlerinin DoD sözleşmelerine dört fazda eklenmesini öngörür. Geçiş takvimi Faz 1 başlangıcı olan 10 Kasım 2025 tarihine endeksli ilerler.

Faz	Başlangıç	Sözleşmede Aranabilecek Statüler
Faz 1	10 Kasım 2025	Level 1 (Self), Level 2 (Self); DoD takdirinde Level 2 (C3PAO)
Faz 2	10 Kasım 2026	Faz 1’e ek olarak Level 2 (C3PAO) zorunlu olarak aranabilir
Faz 3	10 Kasım 2027	Faz 2’ye ek olarak Level 3 (DIBCAC) zorunlu olarak aranabilir
Faz 4	10 Kasım 2028	Tüm uygun DoD sözleşmelerinde tam uygulama (COTS hariç)

Bu takvim mevcut sözleşmelerin option period uzatmalarında da uygulanabilir. CMMC gereksinimini karşılamayan firmalar mevcut sözleşmelerini kaybedebilir; DoD ile aktif sözleşmesi olan ve uzatma bekleyen firmaların 2026 yılı itibarıyla hazırlığa başlaması yerinde olur.

Zorunlu Dokümantasyon Seti

Level 2 sertifikasyon hazırlığı kapsamında üretilmesi zorunlu temel dokümanlar şunlardır.

System Security Plan (SSP)

Sistem sınırının tanımı, varlık envanteri, ağ topolojisi, harici bağlantılar ve her güvenlik gereksiniminin nasıl karşılandığına dair uygulama açıklamasını içerir. NIST SP 800-18 Rev. 1 formatına uygun hazırlanır. SSP, C3PAO denetiminin temel referans dokümanıdır.

Plan of Action and Milestones (POA&M)

Henüz karşılanmayan kontroller için aksiyon kalemleri, sorumlular, kaynak ihtiyacı ve kapanış hedef tarihlerini içerir. CMMC kapsamında POA&M maddelerinin 180 gün içinde kapatılması zorunludur; bu süreyi aşan açık maddeler “Final” statüye geçişi engeller.

Incident Response Plan (IRP)

DFARS 252.204-7012 uyumlu, 72 saat içinde DoD’a raporlama gereksinimini karşılayan olay müdahale planıdır. Tespit, sınıflandırma, müdahale, kurtarma ve öğrenilen dersler süreçlerini içerir.

Politika ve Prosedür Seti

14 NIST SP 800-171 kontrol ailesinin her biri için yazılı politika ve ilgili teknik prosedürler hazırlanır. Erişim kontrolü, kimlik doğrulama, yapılandırma yönetimi, olay müdahale ve medya koruma ayrı dokümanlardır.

Diğer Destek Dokümanları

• Risk değerlendirme raporu (NIST SP 800-30 metodolojisiyle yıllık güncellenir)
• Sürekli izleme stratejisi ve metrik seti
• Eğitim ve farkındalık programı dokümantasyonu
• Fiziksel güvenlik dokümantasyonu
• Tedarikçi güvenlik gereksinimleri ve flowdown sözleşmeleri

Hizmet Kapsamı ve Çıktılar

CMMC danışmanlık hizmetimiz dokümantasyon hazırlığıyla sınırlı kalmaz; teknik remediasyon, sızma testi ile doğrulama, denetim provası ve C3PAO koordinasyonunu bütünleşik biçimde yürütür.

Kapsam Tespiti ve Veri Sınıflandırması

• FCI ve CUI taşıyan sistem, ağ, kullanıcı ve hizmet envanterinin çıkarılması
• CMMC değerlendirme sınırının (assessment scope) belirlenmesi
• Harici hizmet sağlayıcılarının (ESP/CSP) kapsam analizinin yapılması
• Enklavlama seçeneklerinin değerlendirilmesi: tüm kurum kapsam dahil mi, yoksa yalnızca CUI işleyen ayrı bir enclave mi tasarlanmalı

Gap Analizi ve SPRS Skor Tespiti

• NIST SP 800-171 Rev. 2’nin 110 kontrolü bazında mevcut durum tespiti
• NIST SP 800-171A’nın 320 değerlendirme hedefi ile haritalama
• Mevcut SPRS öz-değerlendirme skoru hesaplaması ve raporlanması (azami skor 110)
• Risk önceliklendirme matrisi ve aksiyon listesinin hazırlanması

Dokümantasyon Üretimi

• System Security Plan (SSP)
• Plan of Action and Milestones (POA&M)
• Incident Response Plan (IRP)
• 14 kontrol ailesi için politika ve prosedür seti
• Risk değerlendirme raporu
• Sürekli izleme stratejisi ve metrik seti

Teknik Remediasyon

• Kimlik ve erişim kontrolü mimarisi (MFA, PAM, RBAC)
• Log yönetimi ve SIEM altyapısı yapılandırması
• Şifreleme — FIPS 140-2 veya FIPS 140-3 onaylı kriptografik modül kontrolü
• Ağ segmentasyonu ve sıfır güven mimarisi tasarımı
• Uç nokta sertleştirme ve EDR konfigürasyon desteği
• Yapılandırma yönetimi ve baseline güvenliği
• Bulut altyapısı için FedRAMP Moderate eşdeğer kontrollerin uygulanması

Pre-Assessment ve C3PAO Hazırlığı

• Gerçek C3PAO denetim protokolüne uygun deneme denetimi (mock audit)
• Kanıt (artifact) sandığının hazırlanması ve indekslenmesi
• Denetim mülakat provası — teknik ve yönetim seviyesi temsilciler için
• Cyber AB Marketplace üzerinden C3PAO seçimine destek
• Denetim takvimi koordinasyonu

Eğitim ve Farkındalık

• Yönetici brifingi — CMMC stratejisi ve iş riski
• BT ve güvenlik ekibi teknik eğitimi
• Tüm personel için CUI işleme ve veri sınıflandırma eğitimi
• Sosyal mühendislik simülasyonu ve oltalama farkındalığı

Sızma Testi ile Kontrol Doğrulaması

NIST SP 800-171 Rev. 2’de doğrudan zorunlu olmamakla birlikte, kontrol etkililiğinin doğrulanması için sızma testi tercih edilen uygulamadır. Nesil Teknoloji, TSE A-Sınıfı Sızma Testi Firması yetkinliği kapsamında ağ, web uygulaması, kablosuz ağ ve sosyal mühendislik testlerini NIST SP 800-115 metodolojisine uygun olarak yürütür ve bulguları CMMC kontrol haritası üzerinden raporlar.

Çalışma Metodolojisi

Tipik bir CMMC Level 2 hazırlık projesi beş fazda yürütülür. Süreler kapsam büyüklüğüne ve mevcut olgunluk seviyesine göre değişir.

Faz	İçerik	Tipik Süre
1. Kapsam ve Gap Analizi	FCI/CUI envanteri, scope belirleme, 110 kontrol değerlendirmesi, SPRS skor hesaplaması, RACI matrisi.	2–3 hafta
2. Dokümantasyon Üretimi	SSP, POA&M, IRP, politika ve prosedür yazımı.	4–6 hafta
3. Teknik Remediasyon	MFA, log yönetimi, şifreleme, segmentasyon, EDR uygulamaları.	6–10 hafta
4. Eğitim ve Farkındalık	Yönetici, teknik ve genel personel eğitimleri.	2 hafta
5. Mock Audit ve C3PAO Koordinasyonu	Deneme denetimi, kanıt seti, mülakat provası, C3PAO seçimi.	3–4 hafta

Toplam tahmini süre Level 2 (C3PAO) için 5–6 ay, Level 1 için 2–3 ay aralığındadır.

CMMC ile ISO 27001 ve KVKK Entegrasyonu

Türkiye’deki kuruluşların büyük çoğunluğu eş zamanlı olarak birden fazla uyum yükümlülüğüne tabi olduğundan, CMMC tek başına değil; ISO/IEC 27001:2022, KVKK ve sektörel düzenlemelerle birlikte konumlandırılmalıdır.

CMMC ve ISO/IEC 27001:2022

NIST SP 800-171 Rev. 2 ile ISO/IEC 27001:2022 Annex A kontrolleri arasında yaklaşık yüzde yetmiş beş oranında kavramsal örtüşme bulunur. ISO/IEC 27001 sertifikası bulunan bir kuruluş, mevcut Bilgi Güvenliği Yönetim Sistemi’ni CMMC hazırlık temeli olarak kullanabilir; ancak iki çerçeve birbirini ikame etmez. ISO 27001 yönetim sistemi sertifikasyonu sağlar; CMMC ise DoD ekosistemine özgü sözleşmesel zorunluluktur. Çoklu uyum projelerinde tek kontrol matrisi üzerinden çalışılması denetim hazırlık maliyetini önemli ölçüde düşürür.

CMMC ve KVKK 12. Madde

CMMC’nin koruduğu CUI ile KVKK’nın koruduğu kişisel veri kavramları örtüşmez; ancak teknik tedbirler büyük ölçüde aynıdır. KVKK 12. madde teknik tedbirleri (erişim yönetimi, log kayıtları, şifreleme, ağ güvenliği, fiziksel güvenlik) NIST SP 800-171 kontrolleriyle birebir eşleştirilebilir. Veri envanteri çalışması KVKK kişisel veri envanteri ile CMMC FCI/CUI envanteri tek seferde yürütülebilir.

Çoklu Çerçeve İçin Birleşik Kontrol Matrisi

Kurumsal projelerde aşağıdaki çerçeveler tek matriste birleştirilir:

• NIST SP 800-171 Rev. 2 (CMMC Level 2 teknik dayanağı)
• ISO/IEC 27001:2022 Annex A (yönetim sistemi sertifikasyonu)
• KVKK 12. madde teknik ve idari tedbirleri
• DFARS 252.204-7012 sözleşmesel yükümlülükleri
• NIST Cybersecurity Framework 2.0 (üst düzey çerçeve)

Bu yaklaşım, çoklu denetim hazırlık maliyetini ortalama yüzde kırk ile elli oranında düşürür ve kontrol sahiplerinin tek bir kanıt seti üzerinden çalışmasını sağlar.

Sektörel Uygulama Örnekleri

İnşaat ve Mühendislik

USACE, Naval Facilities Engineering Systems Command (NAVFAC) ve Air Force Civil Engineer Center projelerinde yer alan Türk inşaat ve mühendislik firmaları için CMMC Level 2 (C3PAO) zorunluluğu doğrudan sözleşme metnine yansır. Proje teknik veri paketleri, saha planları ve lojistik bilgisi CUI sınıflandırması altında işlenir. Hazırlık tipik olarak beş ile yedi ay sürer.

Savunma Sanayi

ABD savunma ana yüklenicilerine alt yüklenici olarak yedek parça, montaj, mühendislik ve teknik hizmet sağlayan Türk savunma sanayi firmaları için CMMC Level 2 değerlendirmesi flowdown rejimi kapsamında zorunludur. Mühendislik çizimleri, teknik veri paketleri ve test verisi CUI kapsamındadır.

Havacılık ve Uzay

Türk Havacılık ve Uzay Sanayii ile alt yüklenicileri, ABD havacılık programlarında yer aldıkları ölçüde CMMC kapsamına girer. ITAR ve EAR ile çakışan yükümlülükler bütünleşik yönetilmelidir.

Bilişim ve Yazılım

DoD veya savunma ana yüklenicilerine yazılım, bulut, siber güvenlik veya BT hizmetleri sağlayan Türk teknoloji firmaları için CMMC kapsamı yazılım geliştirme ortamı, kaynak kod depoları ve müşteri verisini işleyen tüm sistemleri kapsar. SaaS sağlayıcılar için FedRAMP Moderate eşdeğer kontrolleri ek olarak değerlendirilir.

Lojistik ve Saha Hizmetleri

NATO ve ABD üs lojistiği, bakım, güvenlik ve saha hizmetleri sağlayan Türk firmaları için tipik olarak FCI işlenir ve Level 1 yeterli olabilir. Hassas operasyonel bilgi söz konusuysa Level 2 gerekli olur.

Sıkça Sorulan Sorular

CMMC Türkiye’deki firmalar için bağlayıcı mıdır?

ABD Savunma Bakanlığı ile doğrudan veya alt yüklenici sıfatıyla sözleşmeye taraf olan tüm firmalar — ister ABD’de ister başka bir ülkede yerleşik olsun — sözleşmede aranan CMMC seviyesini ibraz etmek zorundadır. Türkiye’de yerleşik olmak muafiyet sağlamaz. DFARS 252.204-7021 flowdown hükümleri Türk alt yüklenicileri de kapsar.

USACE sözleşmemiz hangi CMMC seviyesini gerektiriyor?

Sözleşme metninde yer alan DFARS klozları ve program ofisinin kararına göre belirlenir. Sözleşmenizde DFARS 252.204-7021 ve 252.204-7025 klozlarına bakılması, gereken seviyenin (Level 1, Level 2 Self, Level 2 C3PAO veya Level 3) sözleşmesel olarak doğrulanması gerekir. İnşaat ve mühendislik projelerinde teknik veri paketleri CUI sınıfında olduğundan Level 2 sıklıkla zorunludur.

Mevcut DoD sözleşmemizi kaybetme riskimiz var mı?

Faz bazlı geçiş takvimi gereği, mevcut sözleşmelerin option period uzatmalarında CMMC gereksinimi eklenebilir. Halen DoD ile aktif sözleşmesi olan ve uzatma bekleyen firmaların 2026 yılı itibarıyla CMMC hazırlığına başlaması önerilir.

C3PAO denetimi Türkiye’de yapılabilir mi?

Türkiye’de Cyber AB akreditasyonuna sahip bir C3PAO bulunmamaktadır. Denetim, yurt dışı akredite C3PAO’lar tarafından uzaktan veya saha ziyaretiyle yapılır. Teknik kontroller büyük ölçüde uzaktan değerlendirilebilir; fiziksel güvenlik kontrolleri için saha ziyareti gerekir.

CMMC hazırlığı ne kadar sürer?

Level 1 için iki ile üç ay, Level 2 (Self) için dört ile beş ay, Level 2 (C3PAO) için beş ile yedi ay tipik süredir. Mevcut ISO/IEC 27001 sertifikalı kuruluşlarda süre kısalır.

ISO 27001 sertifikamız varsa CMMC kolaylaşır mı?

ISO/IEC 27001:2022 sertifikası NIST SP 800-171 kontrollerinin yaklaşık yüzde yetmiş beşine teknik zemin sağlar. Boşluk analizi süresi belirgin biçimde kısalır ve mevcut yönetim sistemi kanıtları yeniden kullanılabilir. Ancak CMMC’nin gerektirdiği CUI spesifik kontroller ve dokümantasyon (SSP, POA&M) ayrıca üretilmelidir.

NIST SP 800-171 Rev. 2 mi Rev. 3 mü uygulanmalı?

NIST, Rev. 3’ü 14 Mayıs 2024 tarihinde nihai sürüm olarak yayımladı. Ancak ABD Savunma Bakanlığı, DFARS Class Deviation kapsamında savunma tedarikçileri için Rev. 2’nin geçerliliğini sürdürmektedir; CMMC ve SPRS değerlendirmeleri hâlâ Rev. 2 üzerinden yapılmaktadır. Sözleşmesel yükümlülüğün hangi revizyona atıfta bulunduğunun kontrolü kritiktir.

CMMC sertifikası ne kadar süreyle geçerlidir?

Level 1 (Self) yıllık öz-değerlendirme gerektirir. Level 2 (Self) yıllık öz-değerlendirme ile yenilenir. Level 2 (C3PAO) sertifikası üç yıl geçerlidir; her yıl Affirming Official tarafından sürekli uyum beyanı verilmesi zorunludur. Level 3 (DIBCAC) sertifikası üç yıl geçerlidir.

Affirming Official kimdir?

CMMC kapsamında firmanın uyum durumunu SPRS üzerinden resmi olarak beyan eden, kurum tarafından yetkilendirilmiş üst düzey yöneticidir. Yanlış beyan, ABD False Claims Act kapsamında ciddi cezai ve hukuki yaptırımlara yol açabilir.

Resmi Kaynaklar

• DoD CIO — CMMC Program
• 32 CFR Part 170 — CMMC Program Rule (eCFR)
• DFARS 252.204-7021 — CMMC Level Requirements
• Cyber AB — CMMC Accreditation Body
• NIST SP 800-171 Rev. 2
• NIST SP 800-171A
• NIST SP 800-172
• CUI Registry — National Archives
• Supplier Performance Risk System (SPRS)