Krisis Kekurangan Penilai Hambat Sertifikasi CMMC dan Risiko Keamanan Nasional

Pada tanggal 10 November 2025, aturan Cybersecurity Maturity Model Certification (CMMC) mulai berlaku, mewajibkan lebih dari 200.000 organisasi untuk memenuhi Level 2, terutama terkait perlindungan Controlled Unclassified Information (CUI). Namun, beberapa organisasi yang mengikuti aturan tersebut kini menghadapi masalah besar, yaitu kekurangan jumlah Certified CMMC Assessors (CCA), yang berakibat pada antrean panjang dan waktu tunggu yang lama untuk mendapatkan sertifikasi. Menurut Thomas Graham dari Redspin, setiap penilaian CMMC Level 2 harus melibatkan tiga assessor bersertifikat, namun jumlah total assessor hanya sekitar 550-560 orang di seluruh dunia. Selain itu, proses pemeriksaan latar belakang keamanan tingkat tinggi yang membutuhkan waktu hingga delapan bulan memperlambat ketersediaan assessor, sementara antrean untuk menunggu jasa Certified Third-Party Assessor Organizations (C3PAO) sudah lebih dari satu tahun. Masalah ini berdampak besar secara ekonomi karena industri pertahanan AS yang tergabung dalam Defense Industrial Base memberikan kontribusi hampir 450 miliar dolar AS setiap tahunnya. Penundaan sertifikasi akibat kekurangan assessor berisiko membatasi akses ke kontrak pemerintah, yang penting untuk inovasi dan penguatan ekonomi regional serta ekosistem riset, termasuk di universitas. CUI sendiri bukan hanya terkait data milik Departemen Pertahanan, tetapi juga mencakup berbagai data sensitif yang berasal dari banyak lembaga federal lain seperti Departemen Pendidikan dan Keuangan, serta sektor kesehatan dan penelitian. Ini menandakan bahwa aturan CMMC dan standar keamanan siber yang ketat akan meluas ke berbagai sektor di luar pertahanan. Organisasi yang mempersiapkan diri lebih awal dengan melakukan simulasi penilaian dan meminta bantuan kesiapan eksternal menunjukkan tingkat keberhasilan mencapai sertifikasi pertama yang sangat tinggi, yakni 93,8%. Ini menekankan pentingnya persiapan dan keterlibatan seluruh bagian organisasi, bukan hanya departemen IT, agar kebijakan keamanan dan perlindungan data dapat berjalan efektif.