CMMC 最终确定后，您将需要满足其要求。CMMC 将随着时间的推移逐步实施；但是，您可能不一定有更多时间获得 CMMC 认证。例如，您的组织可能位于受 CMMC 约束的另一个承包商的供应链下游，在这种情况下，根据 DFARS 252.204-7020，承包商必须将 CMMC 要求下发到您的组织。正如 Matt Travis（Cyber​​AB 首席执行官）在最近的 Preveil 网络研讨会中指出的那样：“如果您是那些希望旷日持久的规则制定能够拯救您的公司之一，那么您就被误导了，这是一种非常鲁莽的业务经营方式”。DIB 中的普通小公司需要 12-18 个月的时间来准备其 CMMC 评估。这意味着现在是改善您的网络安全态势的时候了。 CMMC 2 级的安全要求与 NIST SP 800-171 相同，因此获得 CMMC 2 级认证的最有效途径是通过 NIST SP 800-171 合规性。