新网络安全规定CMMC的实施与现状 - 美国国防部拖延已久的网络安全成熟度模型认证（CMMC）已于去年11月启动，旨在保护被称为“受控非密信息”的敏感数据 [1] - 承接联邦合同的企业目前需完成网络安全自我评估，这是CMMC三级认证中的第一级 [1] - 更严格、包含审计环节的第二级认证预计将于今年11月前开始实施 [1] 合规成本高昂及其影响 - 业内消息人士表示，每家小企业需额外承担数十万美元成本，这让本就财务脆弱的部分供应商望而却步 [2][8] - 一家加拿大企业高管表示，为同时符合欧美规定，需要花费50万加元（约36.5万美元） [5][14] - 美国非营利航空航天供应商Pathfinder Manufacturing首席执行官表示，由于公司仅承接少量国防业务且商业订单需求旺盛，不确定承担合规成本是否值得 [6][14] 合规过程面临的挑战与困惑 - 企业高管表示，长达数月的审计等待时间、以及对哪些信息需要保护存在困惑，使得达标变得更加困难 [1] - 业内人士称，由于缺乏明确定义，即便供应商不处理敏感信息，主承包商也会要求其进行更高等级的合规 [1] - 律师表示，对于同时需遵守欧洲数据隐私法及其他地区网络安全标准的国际供应商而言，挑战尤为严峻 [5][13] 对小型供应商及国防工业基础的影响 - 美国航空航天工业协会国家安全政策副总裁表示，复杂且昂贵的监管要求正迫使部分企业重新考虑甚至完全退出国防市场，这进一步削弱了国防工业基础的健康度与韧性 [3][9] - 美国众议院小企业委员会2022年数据显示，约88%的航空航天企业是小型企业 [3][10] - 三家航空航天企业（两家美国、一家加拿大）表示，各自都有少数供应商不愿遵守更严格的CMMC要求，例如拒绝接受审计 [3][10] 供应商的犹豫与供应链风险 - 其中一家美国企业的总裁称，半数供应商尚未表明是否会合规 [3][10] - 另一家为美军战斗机项目提供独家零部件的企业负责人也不清楚其供应商将作何选择 [3][10] - 在经历多年生产瓶颈后，小型供应商的状况受到投资者密切关注，部分小企业是大型承包商组装武器装备所需关键零部件的唯一来源 [4][12] 潜在的市场竞争与供应链结构变化 - 律师表示，认证要求可能无意中削弱国防供应链底层的竞争 [4][12] - CMMC于2019年推出，因行业担忧与认知混乱被多次推迟 [5] - 新规在特朗普政府正施压承包商提高产量、实现供应链多元化的背景下，加剧了生产风险 [1]