Dopo anni di dibattito e attesa, il Cybersecurity Maturity Model Certification, noto come CMMC, fa il salto dalla politica alla pratica concreta. Il 25 agosto 2025, l’Office of Information and Regulatory Affairs (OIRA) ha approvato la regola di acquisizione del Dipartimento della Difesa negli Stati Uniti contenuta nel Titolo 48 del Code of Federal Regulations, segnando l’ultimo passo prima della pubblicazione nel Federal Register. Tradotto in termini chiari: le aziende che vogliono lavorare con il Pentagono dovranno rispettare standard di cyber-sicurezza rigorosi, senza eccezioni.
L’approvazione da parte di OIRA è stata sorprendentemente rapida: appena 34 giorni, un record per le procedure federali. Ora il percorso verso l’entrata in vigore è completo, con il Federal Register pronto a fissare la data effettiva della regola. Per la catena di fornitura della difesa, le implicazioni sono immediate e profonde. Si stima che tra 220.000 e 300.000 contractor e subappaltatori rientrino nel campo di applicazione, di cui circa 80.000 dovranno ottenere la certificazione CMMC di Livello 2. Ad oggi, alla fine di agosto 2025, solo 270 organizzazioni possiedono un certificato finale, indicando la salita ripida che molti dovranno affrontare per restare competitivi.
Il passaggio dal Titolo 32 al Titolo 48 è cruciale. Mentre il primo aveva reso la CMMC una politica ufficiale, il secondo la trasforma in requisito vincolante per l’assegnazione dei contratti. Compliance non significa più buona volontà: è un vero e proprio ticket d’ingresso per lavorare con la difesa americana. L’integrazione nei regolamenti DFARS e il tracciamento tramite il Supplier Performance Risk System (SPRS) assicurano che ogni contractor sia monitorato e verificato, rendendo la trasparenza e l’aderenza agli standard non negoziabili.
Il significato strategico è evidente. Per le aziende, la conformità alla CMMC diventa un fattore critico di sopravvivenza commerciale. Chi ha investito in cyber-sicurezza robusta sarà favorito, mentre chi resta indietro rischia di essere escluso dal mercato più redditizio e tecnologicamente avanzato del mondo della difesa. Per il Pentagono, l’adozione del Titolo 48 significa catene di approvvigionamento più resilienti di fronte alle minacce informatiche, con un livello di protezione dei dati e dei sistemi senza precedenti.
In pratica, la CMMC segna un cambio di paradigma: la sicurezza informatica non è più un optional, ma parte integrante della missione nazionale. Il messaggio è chiaro e senza ambiguità: se vuoi lavorare con il Dipartimento della Difesa, devi essere pronto a difendere i tuoi sistemi digitali con la stessa attenzione che il governo dedica alla protezione dei propri dati strategici. Il futuro della supply chain della difesa sarà definito dalla cyber-prontezza, e il Titolo 48 stabilisce le regole del gioco.
Fonte: Office of Information and Regulatory Affairs (OIRA), Department of Defense, Federal Register, DFARS, Supplier Performance Risk System (SPRS)