据美国防部10月11日消息，美国国防部发布网络安全成熟度模型认证（CMMC ）最终规则。CMMC 通过将评估级别的数量从原计划中的五个减少到新计划下的三个，简化了中小企业流程。CMMC与联邦采购法规第 52.204-21、美国国家标准与技术研究所 (NIST) 特别出版物 (SP) 800-171 Rev 2和172 的网络安全要求保持一致。CMMC明确规定了 CMMC 3 级认证强制执行的 24 NIST SP 800-172 要求。据悉，本次规则正式文本将于10月15日在联邦公报网上披露，下一步美国防部将在招标和合同中纳入 CMMC 要求，计划将于2025年中旬完成国防联邦采办法规(DFARS)的规则变更。

消息来源：https://www.defense.gov/News/Releases/Release/Article/3932947/cybersecurity-maturity-model-certification-program-final-rule-published/