Courtesy of Forbes
Krisis Kekurangan Penilai Hambat Sertifikasi CMMC dan Risiko Keamanan Nasional
Memberikan pemahaman mengenai tantangan kekurangan penilai bersertifikat CMMC yang dapat menghambat akses organisasi ke kontrak federal dan menimbulkan risiko pada rantai pasok dengan dampak keamanan nasional.
17 Nov 2025, 23.03 WIB
297 dibaca
Share
Ikhtisar 15 Detik
- Kekurangan penilai CMMC dapat menghambat akses kontrak federal bagi banyak organisasi.
- CUI mencakup lebih dari sekadar data pertahanan, melainkan juga informasi dari berbagai lembaga federal lainnya.
- Organisasi perlu melibatkan semua bagian dalam proses kepatuhan CMMC untuk menghindari kegagalan pengujian.
Amerika Serikat - Pada tanggal 10 November 2025, aturan Cybersecurity Maturity Model Certification (CMMC) mulai berlaku, mewajibkan lebih dari 200.000 organisasi untuk memenuhi Level 2, terutama terkait perlindungan Controlled Unclassified Information (CUI). Namun, beberapa organisasi yang mengikuti aturan tersebut kini menghadapi masalah besar, yaitu kekurangan jumlah Certified CMMC Assessors (CCA), yang berakibat pada antrean panjang dan waktu tunggu yang lama untuk mendapatkan sertifikasi.
Menurut Thomas Graham dari Redspin, setiap penilaian CMMC Level 2 harus melibatkan tiga assessor bersertifikat, namun jumlah total assessor hanya sekitar 550-560 orang di seluruh dunia. Selain itu, proses pemeriksaan latar belakang keamanan tingkat tinggi yang membutuhkan waktu hingga delapan bulan memperlambat ketersediaan assessor, sementara antrean untuk menunggu jasa Certified Third-Party Assessor Organizations (C3PAO) sudah lebih dari satu tahun.
Masalah ini berdampak besar secara ekonomi karena industri pertahanan AS yang tergabung dalam Defense Industrial Base memberikan kontribusi hampir 450 miliar dolar AS setiap tahunnya. Penundaan sertifikasi akibat kekurangan assessor berisiko membatasi akses ke kontrak pemerintah, yang penting untuk inovasi dan penguatan ekonomi regional serta ekosistem riset, termasuk di universitas.
CUI sendiri bukan hanya terkait data milik Departemen Pertahanan, tetapi juga mencakup berbagai data sensitif yang berasal dari banyak lembaga federal lain seperti Departemen Pendidikan dan Keuangan, serta sektor kesehatan dan penelitian. Ini menandakan bahwa aturan CMMC dan standar keamanan siber yang ketat akan meluas ke berbagai sektor di luar pertahanan.
Organisasi yang mempersiapkan diri lebih awal dengan melakukan simulasi penilaian dan meminta bantuan kesiapan eksternal menunjukkan tingkat keberhasilan mencapai sertifikasi pertama yang sangat tinggi, yakni 93,8%. Ini menekankan pentingnya persiapan dan keterlibatan seluruh bagian organisasi, bukan hanya departemen IT, agar kebijakan keamanan dan perlindungan data dapat berjalan efektif.
Referensi:
[1] https://www.forbes.com/sites/heatherwishartsmith/2025/11/17/the-cmmc-assessor-shortage-is-the-new-federal-contracting-bottleneck/
[1] https://www.forbes.com/sites/heatherwishartsmith/2025/11/17/the-cmmc-assessor-shortage-is-the-new-federal-contracting-bottleneck/
Analisis Ahli
Thomas Graham
"Jumlah assessor yang sangat terbatas dan waktu proses yang lama membuat rantai pasok keamanan siber rentan dan menghambat pemenuhan standar CMMC secara tepat waktu."
M. Dee Childs
"Penundaan sertifikasi dapat menghalangi akses ke kontrak yang sangat penting bagi ekonomi regional dan ekosistem penelitian yang bergantung pada proteksi CUI."
Stephanie Kincaid
"Keberhasilan implementasi CMMC tidak hanya soal IT, tetapi melibatkan seluruh organisasi untuk memenuhi praktik keamanan secara konsisten."
Analisis Kami
"Krisis kapasitas dalam penilaian CMMC menyoroti kelemahan serius dalam ekosistem keamanan siber nasional yang terlalu mengandalkan staf terbatas. Jika tidak segera diatasi dengan pelatihan dan sertifikasi massal, hal ini dapat menyebabkan terhambatnya inovasi dan kontrak vital, merugikan ekonomi dan keamanan negara secara keseluruhan."
Prediksi Kami
Kekurangan penilai CMMC yang bersertifikat akan semakin memperlambat proses sertifikasi, menyebabkan banyak organisasi kehilangan akses ke kontrak pemerintah dan memicu risiko signifikan pada keamanan rantai pasok nasional dalam beberapa tahun mendatang.
Pertanyaan Terkait
Q
Apa tantangan utama yang dihadapi oleh organisasi dalam memenuhi persyaratan CMMC?A
Tantangan utama adalah kekurangan penilai bersertifikat untuk mengevaluasi organisasi yang harus memenuhi persyaratan CMMC Level 2.Q
Mengapa ada kekurangan penilai bersertifikat untuk CMMC?A
Kekurangan penilai bersertifikat disebabkan oleh jumlah penilai yang sangat sedikit dan proses pemeriksaan latar belakang yang memakan waktu.Q
Apa dampak ekonomi dari keterlambatan sertifikasi CMMC?A
Keterlambatan sertifikasi CMMC dapat membatasi akses organisasi terhadap pekerjaan yang berkontribusi pada ekonomi regional dan inovasi.Q
Apa yang dimaksud dengan Controlled Unclassified Information (CUI)?A
Controlled Unclassified Information (CUI) adalah informasi yang dikendalikan dan dapat mencakup data dari berbagai lembaga federal, bukan hanya Departemen Pertahanan.Q
Mengapa penting untuk melibatkan seluruh organisasi dalam kepatuhan CMMC?A
Melibatkan seluruh organisasi penting untuk memastikan bahwa setiap bagian dari organisasi berkomitmen terhadap kepatuhan dan praktik keamanan yang diperlukan.Artikel Serupa
