美国国防部暂停CMMC第二阶段实施计划,称合规负担过重
美国国防部于2026年7月16日宣布暂停原定的网络安全成熟度模型认证(CMMC)第二阶段实施计划,该阶段原拟引入第三方审计机制;目前正对整个项目未来方向开展审查。
为什么重要
CMMC是美军供应链网络安全强制准入框架,第二阶段暂停将直接影响所有承接国防合同的航天/卫星企业(含通信、遥感、制造等环节)的合规路径与投标资格;政策不确定性可能延缓合同执行、抬高合规成本,并引发全球航天供应链安全标准博弈。
关键事实
- 美国国防部于2026年7月16日(星期一)宣布暂停CMMC第二阶段实施计划。
- CMMC第二阶段原计划引入第三方认证审计机制。
- 暂停决定基于对合规‘负担’(compliance burdens)的关切。
- 国防部正对CMMC项目整体未来进行审查。
- 信息源为Via Satellite(Satellite Today旗下平台),属专业航天媒体。
研判
- 此次暂停属重大政策调整,反映美军在供应链安全与产业承受力之间寻求再平衡。
- 暂停不等于取消,但短期内将导致CMMC合规节奏放缓,影响企业资源投入优先级。
- 航天领域企业(尤其卫星通信运营商及分包商)需重新评估现有合规路线图。
影响与风险
- 若审查导致CMMC永久弱化或被替代框架取代,将降低美军供应链整体网络安全基线,增加航天系统遭网络渗透风险。
- 中国航天企业若参与美方分包链(如通过合资、技术合作),可能面临合规衔接断层或重复投入风险。
后续观察
- 跟踪国防部后续发布的CMMC审查进展公告或过渡性指导文件。
- 监测NASA、NOAA等民用航天机构是否同步调整其供应商网络安全要求。
- 核查主要卫星通信运营商(如Intelsat、SES、Starlink国防业务)是否已启动CMMC应对预案调整。
推测 · 待证实
- 未说明审查持续时间及替代方案可能性,属关键信息缺口。
- 未明确暂停是否影响已启动的CMMC第一阶段(自评)或过渡期安排。
- 未披露是否同步调整其他国防网络安全要求(如NIST SP 800-171)执行节奏。
®