CMMC Level 2 - התקן האמריקאי שעומד מאחורי רב מגן

תקן "רב מגן 2" של מלמ"ב לא נולד בחלל ריק. תקן האב שלו הוא CMMC Level 2 - Cybersecurity Maturity Model Certification של משרד ההגנה האמריקאי, המבוסס על 110 הבקרות של NIST SP 800-171. רב מגן 2 המלא אימץ את המבנה, את 14 התחומים ואת עקרונות הבקרה מהתקן האמריקאי, והתאים אותם לסביבה הביטחונית הישראלית.

אבל יש הבדל קריטי שחשוב להבין: הרגולטור הישראלי (מלמ"ב) סוקר כיום לפי 44 בקרות בלבד - לא לפי תקן רב מגן 2 המלא. 44 הבקרות הן למעשה ליבת התקן המעשית, שנבחרה כבסיס לסקרי הביטחון הנוכחיים. התקן המלא, עם מכלול הבקרות הרחב יותר, קיים ברקע - ומי שמכיר את CMMC Level 2 מבין לאן הרגולציה הישראלית צפויה להתפתח.

מה זה CMMC?

CMMC הוא מסגרת הסמכה שפותחה על ידי משרד ההגנה האמריקאי (DoD) כדי להבטיח שכלל שרשרת האספקה הביטחונית - מקבלני ענק ועד ספקי משנה קטנים - עומדת ברף מינימלי של הגנת סייבר. התקן עבר שינויים מהותיים מגרסתו הראשונה וגובש לבסוף לשלוש רמות:

Level 1 - Foundational: 17 בקרות בסיסיות להגנה על מידע פדרלי (FCI). הערכה עצמית בלבד.
Level 2 - Advanced: 110 בקרות מבוססות NIST SP 800-171, להגנה על מידע מסווג כ-CUI (Controlled Unclassified Information). נדרשת הערכה על ידי גוף צד שלישי (C3PAO).
Level 3 - Expert: בקרות מתקדמות מבוססות NIST SP 800-172, להגנה מפני APT. הערכה על ידי DIBCAC - הזרוע הביקורתית של משרד ההגנה.

110

בקרות ב-Level 2

~80K

ספקים שנדרשים לעמוד בתקן

תחומי בקרה (Domains)

למה Level 2 הוא המפתח?

הרמה השנייה היא הרמה הקריטית עבור רוב שרשרת האספקה הביטחונית. כל ספק שמטפל ב-CUI - Controlled Unclassified Information - כלומר מידע טכני, תכנוני או תפעולי שאינו מסווג אך רגיש מבחינה ביטחונית - חייב לעמוד ב-110 הבקרות של NIST SP 800-171. זה כולל שרטוטים הנדסיים, מפרטים טכניים, תוצאות בדיקות, ומסמכי תחזוקה.

מה שהופך את Level 2 למשמעותי במיוחד הוא דרישת ה-Flowdown: הדרישה חלה על כל שרשרת האספקה כלפי מטה. קבלן ראשי שמעביר מידע מסוג CUI לספק משנה - אותו ספק משנה חייב גם הוא לעמוד ב-Level 2. אין חריגות, אין פטורים, ואין הבדל אם הספק יושב בארה"ב, בישראל, או בכל מדינה אחרת.

נקודת מפתח: CMMC חל על ספקים בינלאומיים. משרד ההגנה האמריקאי הבהיר כי דרישות התקן מחייבות קבלנים וקבלני משנה מקומיים ובינלאומיים כאחד, כל עוד מערכות המידע שלהם מעבדות, מאחסנות או משדרות FCI או CUI.

לוח הזמנים - התקן כבר כאן

CMMC אינו עוד "תקן עתידי". הכללים הסופיים נכנסו לתוקף, ולוח הזמנים ברור:

דצמבר 2024

הכלל הסופי (32 CFR Part 170) נכנס לתוקף. הערכות Level 2 מתחילות.

נובמבר 2025

ה-DoD מתחיל לדרוש הערכות עצמיות של Level 1 ו-Level 2 כתנאי לחוזים חדשים.

נובמבר 2026

חוזים חדשים ידרשו הערכת Level 2 של C3PAO (צד שלישי) - ללא הסמכה, אין חוזה.

אוקטובר 2026

עמידה ב-CMMC תהיה תנאי לכלל ההתקשרויות החדשות של ה-DoD.

14 התחומים של NIST 800-171 - תקן האב של רב מגן

Level 2 של CMMC מבוסס על 110 בקרות המחולקות ל-14 תחומים (Domain Families). רב מגן 2 אימץ את אותו מבנה בדיוק - 14 תחומים זהים - אלא שהרגולטור הישראלי ריכז מתוכם 44 בקרות מרכזיות שלפיהן מתבצע הסקר בפועל. ההקבלה אינה מקרית - זו גזירה ישירה:

רב מגן - ישראל (44 בקרות נסקרות מתוך תקן מלא)

1. בקרת גישה

2. זיהוי ואימות

3. ניהול תצורה

4. בקרת תקשורת

5. שלמות המידע

6. ניהול סיכונים

7. הגנה פיזית

8. הערכת רמת ההגנה

9. הגנה על תקשורת

10. אבטחת כ"א

11. ניהול אירועים

12. הגנה על מדיה

13. מודעות והכשרה

14. ביקורת ובקרה

CMMC Level 2 - ארה"ב (110 בקרות)

AC Access Control (22)

AT Awareness & Training (3)

AU Audit & Accountability (9)

CM Configuration Mgmt (9)

IA Identification & Auth (11)

IR Incident Response (3)

MA Maintenance (6)

MP Media Protection (9)

PE Physical Protection (6)

PS Personnel Security (2)

RA Risk Assessment (3)

SA Security Assessment (4)

SC System & Comms (16)

SI System & Info Integrity (7)

כפי שניתן לראות - 14 תחומים שם, 14 תחומים כאן. התחומים כמעט זהים: בקרת גישה, זיהוי ואימות, ניהול תצורה, הגנה פיזית, ניהול אירועים, הגנה על מדיה. CMMC Level 2 מפרט 110 בקרות עם 320 יעדי הערכה. רב מגן 2 המלא מבוסס על אותה מסגרת, אך הרגולטור הישראלי בחר לסקור בפועל 44 בקרות מרכזיות בלבד - עם 4 רמות יישום לכל בקרה. זהו הפער שחשוב להבין: התקן המלא קיים, אך הסקר הנוכחי מתמקד בליבה.

השוואת מסגרות: CMMC Level 2 מול רב מגן

פרמטר	CMMC Level 2	רב מגן
מקור	משרד ההגנה האמריקאי (DoD)	מלמ"ב - משרד הביטחון ישראל
בסיס טכני	NIST SP 800-171 Rev. 2	נגזר מ-CMMC L2 / NIST, מותאם מקומית
מספר בקרות	110 בקרות, 320 יעדי הערכה	תקן מלא רחב; 44 בקרות נסקרות בפועל, 4 רמות יישום
תחומים	14 Domain Families	14 תחומי ביקורת
הסמכה	C3PAO - גוף צד שלישי מאושר	סוקר מוסמך מטעם הרגולטור
תוקף	3 שנים + אישור שנתי ב-SPRS	תלוי דרישת הלקוח / הרגולטור
Flowdown	חובה - על כלל שרשרת האספקה	חובה - דרישות מלמ"ב מזרימות לספקי משנה
חל על זרים	כן - ללא הבדל גיאוגרפי	חל על ספקים בתעשייה הביטחונית

ה-Five Eyes ושרשרת האספקה הגלובלית

CMMC לא נוצר בחלל ריק. הוא חלק ממגמה עולמית שמובילות מדינות ברית Five Eyes - ארה"ב, בריטניה, קנדה, אוסטרליה וניו זילנד - ליצירת רף אחיד של הגנת סייבר בשרשרת האספקה הביטחונית. כל אחת מהמדינות הללו מפתחת או כבר אימצה מסגרות דומות:

בריטניה - Cyber Essentials Plus ו-Defence Cyber Protection Partnership (DCPP)
אוסטרליה - Defence Industry Security Program (DISP) עם Essential Eight
קנדה - Canadian Program for Cyber Security Certification (CPCSC), הנבנה במקביל ל-CMMC

ישראל, כשותפה אסטרטגית של ארה"ב ויצואנית מרכזית של טכנולוגיה ביטחונית, מושפעת ישירות מהמגמה הזו. תעשיות ביטחוניות ישראליות שמוכרות למשרד ההגנה האמריקאי, או שמשתתפות בתוכניות משותפות עם מדינות Five Eyes, כבר כפופות ל-CMMC - וצריכות לעמוד ב-Level 2 כתנאי לשימור החוזים.

DoD

CMMC L2

←

Prime Contractor

קבלן ראשי

←

Flowdown

ספק ישראלי

←

Sub-tier

ספק משנה

ההשלכות על הספק הישראלי

עבור ספקים ישראליים בתעשייה הביטחונית, ההשלכות הן מיידיות ומשמעותיות:

⚠

חובת עמידה כפולה

ספק שמוכר גם לתעשייה ביטחונית ישראלית (רב מגן) וגם לשוק האמריקאי (CMMC) חייב לעמוד בשתי המסגרות במקביל. חוסר עמידה באחת מהן עלול לחסום את כלל הפעילות העסקית.

🕑

לוח זמנים מתכווץ

מנובמבר 2026 - חוזים חדשים של ה-DoD ידרשו הסמכת Level 2 של צד שלישי. ספקים שלא נערכים עכשיו עלולים להיות מושעים מהזמנות חדשות.

🔗

ITAR + CMMC = חובה כפולה

מידע בכפוף ל-ITAR (International Traffic in Arms Regulations) מסווג גם כ-CUI - מה שמחיל אוטומטית את דרישות CMMC Level 2 על כל ספק שמטפל במידע כזה.

🎯

יתרון תחרותי

ספקים שמשיגים הסמכת CMMC Level 2 לפני המתחרים ממצבים את עצמם כספקים אמינים - ומשפרים את סיכויי הזכייה בחוזים בינלאומיים.

44 בקרות היום, תקן מלא מחר

כאמור, הרגולטור הישראלי סוקר כיום לפי 44 בקרות בלבד. זו החלטה מעשית - לא עקרונית. התקן המלא של רב מגן 2 קיים, ומכסה מכלול בקרות רחב בהרבה בהתאמה ל-NIST 800-171. אבל בשטח, סקר הביטחון שמלמ"ב דורש מתבצע כיום על בסיס 44 הבקרות המרכזיות.

למה זה חשוב? כי הכיוון ברור. מה שקרה בארה"ב הולך לקרות גם כאן: הרגולציה מתהדקת בהדרגה. כשה-DoD עבר מהערכות עצמיות לביקורות צד שלישי מחייבות, זה לקח כמה שנים - אבל זה קרה. כשהתקן המלא של רב מגן 2 ייכנס לתוקף מלא, ספקים שהכירו רק את 44 הבקרות יצטרכו לסגור פערים משמעותיים בזמן קצר.

ההמלצה המקצועית: גם אם כיום הסקר מתבצע לפי 44 בקרות - כדאי להכיר את התקן המלא ולהתחיל להיערך אליו. ספק שעומד ב-44 הבקרות הנוכחיות ומבין את הפערים כלפי התקן המלא, נמצא בעמדה טובה משמעותית ביום שהרגולציה תתרחב.

למה זה צריך לעניין גם ספקים שלא מוכרים לארה"ב?

גם ספקים שפועלים אך ורק בשוק הישראלי צריכים להבין את CMMC, ויש לכך שלוש סיבות עיקריות.

ראשית - מגמת הרגולציה ברורה. מה שקורה ב-DoD מגיע לישראל תוך 2–4 שנים. רב מגן הוא ההוכחה: המבנה, התחומים, הגישה מבוססת-בקרות - הכול נגזר מ-CMMC ו-NIST. היום סוקרים 44 בקרות, מחר יסקרו יותר. ככל שהתקן האמריקאי מתהדק, גם הדרישות הישראליות יתעדכנו בהתאם.

שנית - תעשיות ביטחוניות ישראליות שמוכרות לשוק האמריקאי או לשווקי Five Eyes כבר כפופות ל-CMMC. דרישות ה-Flowdown זורמות כלפי מטה לכל ספקי המשנה - גם הישראליים. ספק שכבר מכיר את הבסיס הרגולטורי מקצר את תהליך ההיערכות משמעותית.

שלישית - לקוחות מובילים בתעשייה הביטחונית הישראלית כבר דורשים עמידה בתקנים בינלאומיים כחלק מתהליכי המכרז. ספק שמפגין היכרות עם CMMC, מעבר ל-44 הבקרות של רב מגן, מקבל יתרון משמעותי בהערכת הספקים.

תרחיש מעשי: תעשייה ביטחונית ישראלית גדולה זוכה בחוזה משותף עם קבלן אמריקאי. במסגרת ה-Flowdown, כל ספקי המשנה הישראליים שמטפלים ב-CUI נדרשים להסמכת CMMC Level 2 - כלומר 110 בקרות, לא 44. הספק שלא מוכן - נפסל. הספק שכבר עומד ב-44 הבקרות של רב מגן ומכיר את הפערים כלפי התקן המלא - מקצר את ההיערכות מ-18 חודשים ל-6.

איך להתכונן - מ-44 בקרות לתקן מלא

החדשות הטובות: ספק שכבר עומד ב-44 הבקרות של רב מגן בציון גבוה נמצא בנקודת פתיחה טובה. 14 התחומים זהים, השפה המקצועית מוכרת, והתשתית הארגונית קיימת. עם זאת, הפער בין 44 בקרות ל-110 בקרות הוא משמעותי, ויש לטפל בו בצורה מסודרת:

Gap Analysis - מ-44 ל-110: מיפוי שיטתי של הבקרות שכבר מיושמות מול 110 הבקרות של NIST 800-171. רוב הספקים שעומדים ברב מגן ברמה גבוהה מכסים כבר 40%–60% מדרישות CMMC Level 2 - אבל ה-40% הנותרים דורשים עבודה ממוקדת.
תיעוד מורחב: CMMC דורש SSP (System Security Plan) מפורט, POA&M (Plan of Action & Milestones), ותיעוד מלא של כל בקרה. רמת התיעוד הנדרשת גבוהה משמעותית ממה שנהוג בסקרי רב מגן.
הערכת צד שלישי: בניגוד לרב מגן שבו הסוקר פועל מטעם הרגולטור, ב-CMMC נדרשת הערכה של C3PAO - גוף הערכה מאושר. הביקוש לביקורות עולה על ההיצע - יש לתכנן מראש.
SPRS Score: יש לבצע הערכה עצמית ולדווח ציון ב-Supplier Performance Risk System. הציון נע בין ‎-203 ל-110, כאשר 110 מייצג עמידה מלאה.

סיכום: שני צדדים של אותו מטבע

CMMC Level 2 הוא תקן האב. רב מגן 2 הוא הביטוי הישראלי שלו. כיום הרגולטור סוקר לפי 44 בקרות - אבל התקן המלא קיים, וההתפתחות הרגולטורית ברורה: שרשרת האספקה היא רק חזקה כמו החוליה החלשה בה, והדרישות רק הולכות להתרחב.

ספקים שמבינים את התמונה הכוללת - לא רק את 44 הבקרות של היום, אלא את כיוון הרגולציה של מחר - הם אלה שישמרו על חוזיהם, ירחיבו לשווקים בינלאומיים, וימצבו את עצמם כספקים שתמיד צעד אחד לפני הדרישה.

ארגונים רבים משלמים עלויות גבוהות יותר או נכשלים בהערכה משום שהם לא תכננו כראוי מראש. אנו זיהינו ארבע סיבות כשלון חוזרות שונות ומפסידות:

CMMC Level 2 - התקן האמריקאי שעומד מאחורי "רב מגן"