ב-10 בנובמבר 2025 נכנס לתוקף הכלל הסופי של 48 CFR - הכלל הרכשי (Acquisition Rule) שמכניס את סעיף DFARS 252.204-7021 לחוזי משרד ההגנה האמריקאי (DoD) והופך את CMMC לדרישה חוזית ניתנת לאכיפה. הכלל הזה משלים את כלל התוכנית (32 CFR Part 170) שנכנס לתוקף עוד ב-16 בדצמבר 2024. שני הכללים יחד מפעילים מנגנון שלבי בן ארבעה שלבים: שלב 1 החל ב-10 בנובמבר 2025 (הערכה עצמית), ושלב 2 מתחיל ב-10 בנובמבר 2026 - ואז מכרזים וחוזים מתאימים יחייבו הסמכת צד שלישי מלאה (C3PAO) לרמה 2.[1][2]
הניתוח הזה לא חוזר על השאלה "מה זה C3PAO" או "מה זה 110 בקרות" - אלה מכוסים במאמרים אחרים באתר. הפוקוס כאן הוא על החוליה שהכי קל לפספס: קבלן המשנה. הספק הישראלי שאינו מוכר ישירות ל-DoD אלא יושב בדרג 2 או 3 של השרשרת - מספק רכיב, תת-מכלול או שירות לקבלן ראשי (Prime) אמריקאי או אירופאי. איך זורמות אליו הדרישות, מה בדיוק הוא חייב, ומה עליו לעשות בחודשים הספורים שנותרו עד שלב 2.
ארבעת שלבי ההטמעה - איפה אנחנו באמת עומדים
לאחר פרסום כלל 48 CFR בספטמבר 2025, לוח הזמנים השלבי התגבש סופית סביב תאריך אחד: 10 בנובמבר של כל שנה. חשוב לדייק בתאריכים, כי חלק מהפרסומים המוקדמים עדיין מבוססים על טיוטות ישנות יותר:
המשמעות: שלב 2 - הרגע שבו קבלן משנה שמטפל ב-CUI יידרש להסמכה חיצונית מלאה - נמצא פחות מחצי שנה מהיום. וזה מתחבר ישירות למנגנון שהוא הלב של המאמר - זרימת הדרישות.
איך זורמות הדרישות אל קבלן המשנה (Flow-Down)
ה-DoD לא חותם חוזה עם קבלן המשנה הישראלי, ולרוב אף לא יודע על קיומו. אז איך הדרישה מגיעה אליו? דרך מנגנון ה-Flow-Down המעוגן ב-32 CFR § 170.23: הקבלן הראשי מחויב לזהות אילו מקבלני המשנה שלו מקבלים, יוצרים, מעבדים, מאחסנים או משדרים מידע מוגן - ולהזרים אליהם בחוזה את רמת ה-CMMC המתאימה.[3]
הקבלן הראשי אחראי משפטית על קבלני המשנה שלו
לפני שיתוף CUI עם קבלן משנה, הקבלן הראשי חייב לוודא שלספק המשנה יש רמת CMMC נדרשת ותוקף פעיל ב-SPRS. אם הקבלן הראשי מזכה קבלן משנה לא-תואם ומציג מצג שווא לגבי עמידת השרשרת - הוא חשוף לתביעה תחת ה-False Claims Act. לכן הקבלנים הראשיים מחמירים כלפי מטה, לא מקילים.
הדרישה מגיעה בחוזה, לא ברגולציה ישירה
קבלן המשנה הישראלי לא יקרא על הדרישה ב-Federal Register - הוא יקבל אותה כסעיף בחוזה או בהזמנת הרכש (Purchase Order) מהקבלן הראשי. עד שהסעיף מגיע, לוח הזמנים כבר לחוץ: הקבלן הראשי צריך את ההסמכה שלכם לפני שהוא יכול לזכות במכרז שלו.
לא כל קבלן משנה נדרש לרמה 2
הרמה הנדרשת נגזרת מסוג המידע שמועבר בפועל אל קבלן המשנה - לא מרמת הקבלן הראשי. קבלן משנה שלא נחשף כלל ל-CUI עשוי להידרש רק לרמה 1, או אף לא להיכנס לגזרת CMMC. תיחום נכון של המידע הוא כלי לצמצום העומס.
הכלל הקריטי: סוג המידע קובע את הרמה
זו הנקודה שגורמת לבלבול הרב ביותר בקרב קבלני משנה. רבים מניחים שאם הקבלן הראשי מחזיק ברמה 2, גם הם חייבים ברמה 2. זה לא מדויק. סוג המידע שמגיע אל קבלן המשנה בפועל הוא שקובע:
🟠 קבלן משנה שמקבל רק FCI → רמה 1 (הערכה עצמית שנתית)
FCI (Federal Contract Information) הוא מידע פדרלי שאינו מיועד לפרסום ציבורי אך אינו CUI. קבלן משנה שנחשף רק ל-FCI נדרש לרמה 1: 17 בקרות והערכה עצמית שנתית עם אישור (Affirmation) של נושא משרה ב-SPRS. אין צורך ב-C3PAO. זו רמה שמרבית הספקים יכולים להשלים בזמן קצר יחסית.
🔴 קבלן משנה שמקבל CUI → רמה 2 (הערכה עצמית או C3PAO)
אם מועבר לקבלן המשנה CUI (Controlled Unclassified Information) - שרטוט הנדסי, מפרט טכני, תוצאות בדיקה, נתוני תכנון - הוא נדרש לרמה 2 לכל הפחות: 110 בקרות NIST SP 800-171. הקבלן הראשי חייב להזרים לקבלן המשנה את אותה חובת הערכה שחלה עליו - הערכה עצמית או הסמכת C3PAO - בהתאם למה שנדרש בחוזה שלו מול ה-DoD. משלב 2 ואילך, מרבית חוזי ה-CUI מובילים להסמכת C3PAO.
המסקנה המעשית
הצעד הראשון של קבלן משנה אינו לרוץ להסמכה - אלא לברר בדיוק איזה מידע הוא מקבל מהקבלן הראשי. שאלה אחת ("האם המידע שאתם מעבירים לי מסומן כ-CUI?") יכולה לחסוך - או לחייב - מאות אלפי שקלים של היערכות. אל תניחו; תעגנו את התשובה בכתב מול הקבלן הראשי.
תיחום גבול ה-CUI - איך לצמצם את היקף ההסמכה
גם כאשר קבלן משנה אכן מטפל ב-CUI, לא כל הארגון שלו חייב לעמוד ברמה 2. ההיקף (Scope) של ההערכה הוא בדיוק אותם נכסים, מערכות ואנשים שנוגעים ב-CUI. תיחום נכון - במקום להחיל את הדרישה על כל הרשת הארגונית - הוא המנוף המשמעותי ביותר לחיסכון בזמן ובעלות:
- הקמת אנקלייב (Enclave) ל-CUI: סביבה מבודדת - רשת, אחסון ותחנות עבודה - שבה בלבד מטופל ה-CUI. שאר הארגון נשאר מחוץ להיקף ההערכה. זהו הדפוס הנפוץ ביותר להקטנת מספר הנכסים הנבדקים.
- מיפוי זרימת ה-CUI: תיעוד מדויק של המסלול - איפה המידע נכנס, נשמר, מעובד, מגובה ונמחק. מיפוי חלקי הוא סיבת כישלון מוכרת: מה שלא מופה, אך בפועל נוגע ב-CUI, נופל בביקורת.
- הפרדת קטגוריות נכסים: תקן 32 CFR 170 מגדיר קטגוריות נכסים (בהם נכסים המטפלים ב-CUI, נכסי אבטחה, ונכסים מחוץ להיקף). סיווג נכון של כל נכס קובע אילו בקרות חלות עליו - ומצמצם את העבודה.
- שימוש בסביבות ענן מוסמכות: העברת ה-CUI לשירות ענן העומד בדרישות FedRAMP המקבילות מעבירה חלק מנטל הבקרות לספק הענן - ובלבד שגבולות האחריות מוגדרים ב-Shared Responsibility Matrix מפורש.
הפער בין הערכה עצמית לבין C3PAO - למה קבלן משנה לא צריך לחכות
קבלן משנה שהשלים הערכה עצמית בשלב 1 עלול לחשוב שהוא "מסודר". אבל המעבר מהערכה עצמית להסמכת C3PAO בשלב 2 אינו החלפת חותמת - הוא קפיצת מדרגה בעומק הראיות הנדרשות:
הערכה עצמית = הצהרה. C3PAO = הוכחה חיצונית מבוקרת.
בהערכה עצמית הארגון מדרג את עצמו ומצהיר ב-SPRS. בהסמכת C3PAO מעריך חיצוני בוחן כל בקרה מול ראיות (Evidence) - תצורות מערכת, יומני ביקורת, נהלים חתומים, צילומי מסך. פערים שהיו "בסדר על הנייר" בהערכה עצמית נחשפים בביקורת אמיתית.
Conditional מול Final - ציון 88 מול 110
הסמכת רמה 2 יכולה להינתן כ-Conditional אם קיים POA&M (תוכנית פעולה לסגירת פערים) וציון ה-SPRS עומד על סף מינימלי - כ-88 מתוך 110. לאחר סגירת הפערים ואימותם בתוך 180 יום, ההסמכה הופכת ל-Final בציון 110. קבלן משנה שמתחיל מאוחר עלול לגלות שהוא נכנס לשלב 2 עם POA&M פתוח - וזמן קצוב לסגור אותו.[4]
צוואר הבקבוק של ה-C3PAOs
מספר מעריכים מוסמכים (C3PAO) בעולם מוגבל, מול אלפי ארגונים שזקוקים להערכה. גופים מקצועיים ממליצים לתאם מועד ביקורת מספר חודשים מראש. ככל שמתקרב 10.11.2026, הביקוש קופץ - וקבלן משנה ישראלי, שממילא צריך לתאם ביקורת מרחוק או נסיעת מעריך, נדחק לסוף התור.[5]
ספירה לאחור - מה לעשות בחודשים שנותרו
לקבלן משנה שמקבל CUI ומתמודד עם שלב 2 שמתקרב, סדר הפעולות ההגיוני בחודשים הקרובים הוא:
צ'קליסט היערכות לקבלן משנה ישראלי
- קבלת אישור בכתב מהקבלן הראשי: סוג המידע (FCI/CUI), הרמה הנדרשת וסוג ההערכה.
- תיחום גבול ה-CUI והחלטה על מודל אנקלייב מול הסמכת כלל הארגון.
- מיפוי מלא של זרימת ה-CUI - כניסה, אחסון, עיבוד, גיבוי ומחיקה.
- Gap Assessment מול 110 בקרות NIST SP 800-171 והפקת ציון SPRS ריאלי.
- כתיבת System Security Plan (SSP) ו-POA&M לכל בקרה חסרה או חלקית.
- הגדרת Shared Responsibility Matrix מול כל ספק ענן ותוכנה בהיקף.
- איסוף ראיות שיטתי - תצורות, יומנים, נהלים חתומים - לכל בקרה.
- הזמנת מועד ביקורת C3PAO מוקדם ככל האפשר בשל צוואר הבקבוק.
- הרצת ביקורת מקדימה (Mock) לפני האודיט הרשמי לצמצום הפתעות.
השורה התחתונה
שלב 2 של CMMC מתחיל ב-10 בנובמבר 2026 - פחות מחצי שנה מהיום - ואיתו הדרישה להסמכת C3PAO ברמה 2 בחוזים שמערבים CUI. קבלן המשנה הישראלי אינו מחוץ לתמונה: מנגנון ה-Flow-Down מזרים אליו את הדרישה דרך החוזה של הקבלן הראשי, וסוג המידע שהוא מקבל - FCI או CUI - קובע אם מדובר בהערכה עצמית פשוטה או בהסמכה חיצונית מלאה.
ההיערכות מתחילה לא בהסמכה אלא בשתי שאלות: איזה מידע אני מקבל, ומה בדיוק הגבול שלו בארגון שלי. KPLNS מלווה קבלני משנה בתיחום גבול ה-CUI, ב-Gap Assessment מול 110 הבקרות ובבניית תוכנית עבודה מדורגת עד להסמכה - כדי שהדרישה הבאה מהקבלן הראשי תפגוש ספק מוכן, לא ספק מופתע.
מקורות
- Federal Register — 32 CFR Part 170, Cybersecurity Maturity Model Certification Program Final Rule (October 15, 2024)
- DFARS 252.204-7021 — Contractor Compliance With the CMMC Level Requirements (48 CFR / Acquisition.gov)
- eCFR — 32 CFR Part 170, CMMC Program (incl. § 170.23 subcontractor flow-down, § 170.21 assessment levels)
- DoD CIO — About CMMC (levels, assessment types, Conditional vs Final status)
- The Cyber AB — Authorized C3PAOs Marketplace
- NIST SP 800-171 Rev. 2 — Protecting Controlled Unclassified Information in Nonfederal Systems
- Secureframe — CMMC Requirements for Subcontractors: How CMMC Flows Down the Defense Supply Chain