قررت وزارة الدفاع الأميركية تعليق تطبيق متطلبات المرحلة الثانية من برنامج شهادة نضج الأمن السيبراني (CMMC)، والتي كان مقرراً دخولها حيز التنفيذ في العاشر من نوفمبر المقبل. وجاء هذا القرار بموجب مذكرة رسمية وقعتها كبيرة مسؤولي المعلومات بالوزارة، كيرستين ديفيز، وعزت فيها هذه الخطوة إلى الأعباء المالية والتنظيمية المتزايدة على عاتق المقاولين، إلى جانب النقص الحاد في عدد جهات التقييم الخارجية المرخصة والمستقلة، ما يهدد بإقصاء الشركات الابتكارية وإضعاف القاعدة الصناعية الدفاعية.
وبالتزامن مع هذا التعليق، تم تشكيل فرقة عمل مخصصة لإصلاح برنامج CMMC، حيث ستتولى إجراء مراجعة شاملة للبرنامج خلال 60 يوماً، مستعينة بمرئيات القطاع الصناعي وملاحظاته، لترفع توصياتها النهائية إلى مكتب المعلوماتية بالوزارة. وأكدت ديفيز أن هذا القرار يهدف إلى إزالة العقبات البيروقراطية دون المساس بالمعايير الأمنية المستهدفة، مشيرة إلى أن المقاولين سيظلون ملزمين بمتطلبات المرحلة الأولى واللوائح الحاكمة للتعامل مع المعلومات الحكومية.
وفي السياق ذاته، أوضح وكيل الوزارة لشؤون الاستحواذ والاستدامة، مايكل دافي، أن تجميد المرحلة الثانية يعد خطوة ضرورية لحماية المصنعين الصغار من الخروج من سوق التعاقدات الدفاعية نتيجة الارتفاع الحاد في تكاليف الامتثال.
وكانت النسخة الثانية من البرنامج (CMMC 2.0) قد دخلت حيز النفاذ في العاشر من نوفمبر 2025 عبر خطة تطبيق تدريجية موزعة على أربع مراحل؛ حيث تغطي المرحلة الأولى التقييم الذاتي لمستويي الحماية الأول والثاني. في حين تشترط المرحلة الثانية حصول المقاولين الذين يتعاملون مع المعلومات غير السرية الخاضعة للرقابة (CUI) على شهادة تقييم معتمدة من جهة تقييم خارجية مرخصة (C3PAO). ومع ذلك، فإن النقص الفعلي في عدد هذه الجهات حال دون إمكانية الالتزام بالجدول الزمني المحدد.
وأشارت المذكرة الوزارية إلى أن تزامن تكاليف الامتثال المرتفعة مع نقص المقيمين المعتمدين والتعقيد الإداري بات يشكل ضغطاً يدفع الشركات الصغيرة والمبتكرة نحو الانسحاب الطوعي من عقود البنتاغون، وهو ما يهدد بتقلص قاعدة الموردين الأساسية للأمن القومي. وبناء على ذلك، سينصب تركيز الوزارة خلال فترة التعليق على فرض تدابير الأمن السيبراني من خلال التقييمات الذاتية وتقييمات حكومية انتقائية، معطية الأولوية لتطبيق النظافة السيبرانية الملموسة بدلاً من التركيز على المعاملات الإدارية والشهادات الخارجية.
وقد قوبل هذا التوجه بترحيب مباشر من وكالة إدارة الأعمال الصغيرة (SBA)، حيث وصفت مديرتها، كيلي لوفلر، متطلبات الامتثال السابقة بأنها كانت تمثل عائقاً كبيراً أمام الشركات الصغيرة التي تعد ركيزة أساسية للأمن القومي. وتنوعت ردود الفعل داخل قطاع الأمن السيبراني؛ إذ اعتبر بيت سفوغليا، الرئيس التنفيذي لشركة Pistos Information Protection، أن التعليق يمثل اعترافاً متأخراً بعدم جدوى إلزام المنشآت الصغيرة بمتطلبات تخصصية خارج نطاق عملها الأساسي، مطالباً بإعادة هيكلة توزيع مسؤولية الامتثال بدلاً من مجرد تأخير المواعيد.
وعلى الجانب الآخر، حذر إميل سايغ، الرئيس التنفيذي لشركة CyberSheath، من الاعتقاد بأن تعليق الجدول الزمني يعفي الشركات من التزاماتها الأمنية الأساسية، مؤكداً استمرار سريان معيار NIST SP 800-171، وضوابط DFARS 252.204-7012، ومبادرة الاحتيال السيبراني المدني التابعة لوزارة العدل، لكون التهديدات السيبرانية لا ترتبط بالتقويمات التنظيمية الحكومية. كما أشار جاكوب هورن، كبير مسؤولي الأمن في Summit 7، إلى أن البنتاغون قد علق البرنامج سابقاً للمراجعة في عام 2021 ليعود بالمتطلبات نفسها لاحقاً، موضحاً أن برنامج CMMC أثبت فاعليته وأن الحاجة إلى إثبات حماية البيانات الحساسة تظل قائمة لسد الثغرات التي تسبب فيها نموذج التقييم الذاتي سابقاً.
الجدير بالذكر أن هذا التعليق لا يسري على المرحلة الأولى من البرنامج، ما يبقي عشرات الآلاف من المقاولين ملزمين بمواصلة تقييماتهم الذاتية، مع استمرار صلاحية الوزارة في إدراج متطلبات التقييم الذاتي في العقود الجديدة. أما مصير المرحلتين الثالثة والرابعة، اللتين تستهدفان حماية البيانات من التهديدات المتقدمة والمقرر تطبيقهما في عامي 2027 و2028، فيظل معلقاً بانتظار ما ستسفر عنه مخرجات مراجعة فرقة العمل.
وفي الوقت الذي يتيح فيه هذا القرار فرصة للموردين لتوفيق أوضاعهم، يشير مراقبون إلى أن دوافع تأسيس هذا البرنامج في عهد إدارة الرئيس السابق دونالد ترامب تعود أساساً إلى اختراقات سابقة لشبكات المتعاقدين أدت إلى تسريب بيانات حساسة لبرامج عسكرية كبرى مثل مقاتلة F-35، ما يؤكد أن حماية القاعدة الصناعية الدفاعية تظل أولوية استراتيجية للبنتاغون بغض النظر عن آليات التقييم المتبعة.







