ב-10 בנובמבר 2025 נכנס לתוקף הכלל הסופי של 48 CFR - הכלל הרכשי (Acquisition Rule) שמכניס את סעיף DFARS 252.204-7021 לחוזי משרד ההגנה האמריקאי (DoD) והופך את CMMC לדרישה חוזית ניתנת לאכיפה. הכלל הזה משלים את כלל התוכנית (32 CFR Part 170) שנכנס לתוקף עוד ב-16 בדצמבר 2024. שני הכללים יחד מפעילים מנגנון שלבי בן ארבעה שלבים: שלב 1 החל ב-10 בנובמבר 2025 (הערכה עצמית), ושלב 2 מתחיל ב-10 בנובמבר 2026 - ואז מכרזים וחוזים מתאימים יחייבו הסמכת צד שלישי מלאה (C3PAO) לרמה 2.[1][2]

הניתוח הזה לא חוזר על השאלה "מה זה C3PAO" או "מה זה 110 בקרות" - אלה מכוסים במאמרים אחרים באתר. הפוקוס כאן הוא על החוליה שהכי קל לפספס: קבלן המשנה. הספק הישראלי שאינו מוכר ישירות ל-DoD אלא יושב בדרג 2 או 3 של השרשרת - מספק רכיב, תת-מכלול או שירות לקבלן ראשי (Prime) אמריקאי או אירופאי. איך זורמות אליו הדרישות, מה בדיוק הוא חייב, ומה עליו לעשות בחודשים הספורים שנותרו עד שלב 2.

10.11.2026
תחילת שלב 2 - הסמכת C3PAO במכרזים
88
ציון SPRS מינימלי ל-Conditional Level 2
110
ציון SPRS מלא לעמידה בכל בקרות רמה 2

ארבעת שלבי ההטמעה - איפה אנחנו באמת עומדים

לאחר פרסום כלל 48 CFR בספטמבר 2025, לוח הזמנים השלבי התגבש סופית סביב תאריך אחד: 10 בנובמבר של כל שנה. חשוב לדייק בתאריכים, כי חלק מהפרסומים המוקדמים עדיין מבוססים על טיוטות ישנות יותר:

01
שלב 1 - החל מ-10.11.2025: הערכה עצמית
מכרזים חדשים כוללים דרישת CMMC ברמה 1 (Self) או רמה 2 (Self). הספק מבצע הערכה עצמית ומדווח ציון ב-SPRS. ל-DoD יש שיקול דעת לחייב C3PAO גם בשלב זה בחוזים נבחרים.
02
שלב 2 - החל מ-10.11.2026: הסמכת C3PAO לרמה 2
מכרזים וחוזים מתאימים שמערבים CUI יחייבו הסמכת רמה 2 של גוף צד שלישי מאושר (C3PAO) - לא עוד הערכה עצמית. זו נקודת המפנה שמחייבת את מרבית ספקי ה-CUI, כולל קבלני משנה.
03
שלב 3 - החל מ-10.11.2027: הערכות רמה 3
חוזים מסוימים ידרשו רמה 3 (מבוססת NIST SP 800-172), בהערכת DIBCAC - הזרוע הביקורתית של משרד ההגנה, לא C3PAO. נדיר, ורלוונטי לתוכניות הרגישות ביותר.
04
שלב 4 - החל מ-10.11.2028: אכיפה מלאה
דרישת CMMC ברמה המתאימה נכללת בכל המכרזים והחוזים הרלוונטיים של ה-DoD, כולל חוזים קיימים במימוש אופציה. אין יותר חלון של הערכה עצמית לספקי CUI.

המשמעות: שלב 2 - הרגע שבו קבלן משנה שמטפל ב-CUI יידרש להסמכה חיצונית מלאה - נמצא פחות מחצי שנה מהיום. וזה מתחבר ישירות למנגנון שהוא הלב של המאמר - זרימת הדרישות.

איך זורמות הדרישות אל קבלן המשנה (Flow-Down)

ה-DoD לא חותם חוזה עם קבלן המשנה הישראלי, ולרוב אף לא יודע על קיומו. אז איך הדרישה מגיעה אליו? דרך מנגנון ה-Flow-Down המעוגן ב-32 CFR § 170.23: הקבלן הראשי מחויב לזהות אילו מקבלני המשנה שלו מקבלים, יוצרים, מעבדים, מאחסנים או משדרים מידע מוגן - ולהזרים אליהם בחוזה את רמת ה-CMMC המתאימה.[3]

🔴

הקבלן הראשי אחראי משפטית על קבלני המשנה שלו

לפני שיתוף CUI עם קבלן משנה, הקבלן הראשי חייב לוודא שלספק המשנה יש רמת CMMC נדרשת ותוקף פעיל ב-SPRS. אם הקבלן הראשי מזכה קבלן משנה לא-תואם ומציג מצג שווא לגבי עמידת השרשרת - הוא חשוף לתביעה תחת ה-False Claims Act. לכן הקבלנים הראשיים מחמירים כלפי מטה, לא מקילים.

🟠

הדרישה מגיעה בחוזה, לא ברגולציה ישירה

קבלן המשנה הישראלי לא יקרא על הדרישה ב-Federal Register - הוא יקבל אותה כסעיף בחוזה או בהזמנת הרכש (Purchase Order) מהקבלן הראשי. עד שהסעיף מגיע, לוח הזמנים כבר לחוץ: הקבלן הראשי צריך את ההסמכה שלכם לפני שהוא יכול לזכות במכרז שלו.

🟢

לא כל קבלן משנה נדרש לרמה 2

הרמה הנדרשת נגזרת מסוג המידע שמועבר בפועל אל קבלן המשנה - לא מרמת הקבלן הראשי. קבלן משנה שלא נחשף כלל ל-CUI עשוי להידרש רק לרמה 1, או אף לא להיכנס לגזרת CMMC. תיחום נכון של המידע הוא כלי לצמצום העומס.

הכלל הקריטי: סוג המידע קובע את הרמה

זו הנקודה שגורמת לבלבול הרב ביותר בקרב קבלני משנה. רבים מניחים שאם הקבלן הראשי מחזיק ברמה 2, גם הם חייבים ברמה 2. זה לא מדויק. סוג המידע שמגיע אל קבלן המשנה בפועל הוא שקובע:

🟠 קבלן משנה שמקבל רק FCI → רמה 1 (הערכה עצמית שנתית)

FCI (Federal Contract Information) הוא מידע פדרלי שאינו מיועד לפרסום ציבורי אך אינו CUI. קבלן משנה שנחשף רק ל-FCI נדרש לרמה 1: 17 בקרות והערכה עצמית שנתית עם אישור (Affirmation) של נושא משרה ב-SPRS. אין צורך ב-C3PAO. זו רמה שמרבית הספקים יכולים להשלים בזמן קצר יחסית.

🔴 קבלן משנה שמקבל CUI → רמה 2 (הערכה עצמית או C3PAO)

אם מועבר לקבלן המשנה CUI (Controlled Unclassified Information) - שרטוט הנדסי, מפרט טכני, תוצאות בדיקה, נתוני תכנון - הוא נדרש לרמה 2 לכל הפחות: 110 בקרות NIST SP 800-171. הקבלן הראשי חייב להזרים לקבלן המשנה את אותה חובת הערכה שחלה עליו - הערכה עצמית או הסמכת C3PAO - בהתאם למה שנדרש בחוזה שלו מול ה-DoD. משלב 2 ואילך, מרבית חוזי ה-CUI מובילים להסמכת C3PAO.

המסקנה המעשית

הצעד הראשון של קבלן משנה אינו לרוץ להסמכה - אלא לברר בדיוק איזה מידע הוא מקבל מהקבלן הראשי. שאלה אחת ("האם המידע שאתם מעבירים לי מסומן כ-CUI?") יכולה לחסוך - או לחייב - מאות אלפי שקלים של היערכות. אל תניחו; תעגנו את התשובה בכתב מול הקבלן הראשי.

תיחום גבול ה-CUI - איך לצמצם את היקף ההסמכה

גם כאשר קבלן משנה אכן מטפל ב-CUI, לא כל הארגון שלו חייב לעמוד ברמה 2. ההיקף (Scope) של ההערכה הוא בדיוק אותם נכסים, מערכות ואנשים שנוגעים ב-CUI. תיחום נכון - במקום להחיל את הדרישה על כל הרשת הארגונית - הוא המנוף המשמעותי ביותר לחיסכון בזמן ובעלות:

הפער בין הערכה עצמית לבין C3PAO - למה קבלן משנה לא צריך לחכות

קבלן משנה שהשלים הערכה עצמית בשלב 1 עלול לחשוב שהוא "מסודר". אבל המעבר מהערכה עצמית להסמכת C3PAO בשלב 2 אינו החלפת חותמת - הוא קפיצת מדרגה בעומק הראיות הנדרשות:

הערכה עצמית = הצהרה. C3PAO = הוכחה חיצונית מבוקרת.

בהערכה עצמית הארגון מדרג את עצמו ומצהיר ב-SPRS. בהסמכת C3PAO מעריך חיצוני בוחן כל בקרה מול ראיות (Evidence) - תצורות מערכת, יומני ביקורת, נהלים חתומים, צילומי מסך. פערים שהיו "בסדר על הנייר" בהערכה עצמית נחשפים בביקורת אמיתית.

Conditional מול Final - ציון 88 מול 110

הסמכת רמה 2 יכולה להינתן כ-Conditional אם קיים POA&M (תוכנית פעולה לסגירת פערים) וציון ה-SPRS עומד על סף מינימלי - כ-88 מתוך 110. לאחר סגירת הפערים ואימותם בתוך 180 יום, ההסמכה הופכת ל-Final בציון 110. קבלן משנה שמתחיל מאוחר עלול לגלות שהוא נכנס לשלב 2 עם POA&M פתוח - וזמן קצוב לסגור אותו.[4]

צוואר הבקבוק של ה-C3PAOs

מספר מעריכים מוסמכים (C3PAO) בעולם מוגבל, מול אלפי ארגונים שזקוקים להערכה. גופים מקצועיים ממליצים לתאם מועד ביקורת מספר חודשים מראש. ככל שמתקרב 10.11.2026, הביקוש קופץ - וקבלן משנה ישראלי, שממילא צריך לתאם ביקורת מרחוק או נסיעת מעריך, נדחק לסוף התור.[5]

ספירה לאחור - מה לעשות בחודשים שנותרו

לקבלן משנה שמקבל CUI ומתמודד עם שלב 2 שמתקרב, סדר הפעולות ההגיוני בחודשים הקרובים הוא:

01
בירור מעמד מול הקבלן הראשי
מכתב רשמי לקבלן הראשי: איזה מידע מועבר אלינו, האם הוא מסומן CUI, איזו רמה נדרשת ואיזו סוג הערכה (Self / C3PAO), ומהו לוח הזמנים הצפוי בחוזה שלכם. עיגון בכתב הוא הבסיס לכל צעד המשך.
02
תיחום היקף ומיפוי זרימת CUI
הגדרת הגבול המדויק של ה-CUI, הקמת אנקלייב במידת הצורך, וסיווג כל נכס. ככל שההיקף קטן וממופה - כך ההסמכה מהירה וזולה יותר, וסיכון הכישלון בביקורת יורד.
03
Gap Assessment מול 110 הבקרות
מיפוי מצב קיים מול NIST SP 800-171, כתיבת System Security Plan (SSP) ו-POA&M לפערים. תוצר: ציון SPRS ריאלי ורשימת משימות מתועדפת. זהו הצעד שמראה כמה רחוקה הדרך - עוד לפני בחירת C3PAO.
04
יישום בקרות ואיסוף ראיות
סגירת הפערים הטכניים (MFA, הצפנה, תיעוד ביקורת, ניהול תצורה) והמנהליים (מדיניות, הדרכה, תגובה לאירועים). במקביל - איסוף שיטתי של ראיות לכל בקרה, כי C3PAO בוחן ראיות ולא הצהרות.
05
ביקורת מקדימה (Mock) ותיאום C3PAO
ביקורת פנימית או של יועץ לפני האודיט הרשמי - לזהות פערים שנותרו. במקביל, הזמנת מועד מול C3PAO מבעוד מועד בשל צוואר הבקבוק. עדיף להיכנס לביקורת עם POA&M מינימלי מאשר עם רשימת פערים ארוכה.

צ'קליסט היערכות לקבלן משנה ישראלי

השורה התחתונה

שלב 2 של CMMC מתחיל ב-10 בנובמבר 2026 - פחות מחצי שנה מהיום - ואיתו הדרישה להסמכת C3PAO ברמה 2 בחוזים שמערבים CUI. קבלן המשנה הישראלי אינו מחוץ לתמונה: מנגנון ה-Flow-Down מזרים אליו את הדרישה דרך החוזה של הקבלן הראשי, וסוג המידע שהוא מקבל - FCI או CUI - קובע אם מדובר בהערכה עצמית פשוטה או בהסמכה חיצונית מלאה.

ההיערכות מתחילה לא בהסמכה אלא בשתי שאלות: איזה מידע אני מקבל, ומה בדיוק הגבול שלו בארגון שלי. KPLNS מלווה קבלני משנה בתיחום גבול ה-CUI, ב-Gap Assessment מול 110 הבקרות ובבניית תוכנית עבודה מדורגת עד להסמכה - כדי שהדרישה הבאה מהקבלן הראשי תפגוש ספק מוכן, לא ספק מופתע.

מקורות

  1. Federal Register — 32 CFR Part 170, Cybersecurity Maturity Model Certification Program Final Rule (October 15, 2024)
  2. DFARS 252.204-7021 — Contractor Compliance With the CMMC Level Requirements (48 CFR / Acquisition.gov)
  3. eCFR — 32 CFR Part 170, CMMC Program (incl. § 170.23 subcontractor flow-down, § 170.21 assessment levels)
  4. DoD CIO — About CMMC (levels, assessment types, Conditional vs Final status)
  5. The Cyber AB — Authorized C3PAOs Marketplace
  6. NIST SP 800-171 Rev. 2 — Protecting Controlled Unclassified Information in Nonfederal Systems
  7. Secureframe — CMMC Requirements for Subcontractors: How CMMC Flows Down the Defense Supply Chain