Pentagon Hentikan Fase Kedua CMMC, Evaluasi Ulang Keamanan Siber Kontraktor
Baca dalam 60 detik
- Departemen Pertahanan AS menunda implementasi fase kedua sertifikasi CMMC yang semula dijadwalkan November 2026, sambil membentuk gugus tugas untuk meninjau ulang seluruh program.
- Keputusan ini dipicu oleh kelangkaan asesor pihak ketiga dan kekhawatiran bahwa biaya kepatuhan yang tinggi dapat mengusir kontraktor kecil dari rantai pasokan pertahanan.
- Penundaan ini berpotensi memengaruhi standar keamanan siber global, termasuk di Indonesia, karena banyak perusahaan lokal menjadi subkontraktor rantai pasokan pertahanan AS.

Pentagon secara resmi menangguhkan implementasi fase kedua dari program Cybersecurity Maturity Model Certification (CMMC) yang sedianya mulai berlaku pada November 2026. Langkah ini diambil setelah otoritas pertahanan AS membentuk gugus tugas khusus untuk mengevaluasi ulang seluruh kerangka kerja sertifikasi keamanan siber bagi kontraktor militer.
Kirsten Davies, Chief Information Officer di Departemen Perang AS—nama baru untuk Kementerian Pertahanan—menyatakan bahwa penundaan ini bertujuan membersihkan hambatan birokrasi tanpa menurunkan standar keamanan. "Kami mengambil tindakan tegas untuk menghilangkan rintangan administratif dan merevitalisasi basis industri pertahanan," ujar Davies. Meski demikian, ia menegaskan bahwa investasi dalam keamanan siber tetap menjadi prioritas yang tidak bisa ditawar.
Program CMMC sendiri merupakan kerangka kerja yang mewajibkan perusahaan yang menangani informasi pemerintah AS untuk memenuhi standar keamanan siber tertentu sebelum dapat memenangkan kontrak pertahanan. Dalam versi 2.0 yang disederhanakan, terdapat tiga level: Level 1 untuk perlindungan informasi kontrak federal, Level 2 untuk informasi terkendali yang tidak diklasifikasikan berdasarkan standar NIST 800-171, dan Level 3 untuk informasi kritis yang menghadapi ancaman persisten canggih.
Fase pertama CMMC mulai berlaku pada November 2025 dan mewajibkan penilaian mandiri Level 1 dan Level 2. Fase kedua yang ditunda seharusnya mewajibkan sertifikasi pihak ketiga untuk Level 2 pada kontrak baru. Namun, pejabat Pentagon mengakui bahwa jumlah asesor pihak ketiga yang tersertifikasi masih sangat terbatas, membuat tenggat waktu November tidak realistis. Fase ketiga yang dijadwalkan pada November 2027 akan memperkenalkan persyaratan Level 3, sementara fase keempat menargetkan implementasi penuh pada 2028.
Michael Duffey, Wakil Menteri Pertahanan untuk Akuisisi dan Keberlanjutan, menyebut jeda ini penting untuk mencegah kontraktor kecil tersingkir dari bisnis pertahanan akibat biaya kepatuhan yang membengkak. "Kami ingin memastikan bahwa perusahaan kecil dan non-tradisional tetap bisa berpartisipasi tanpa terbebani biaya sertifikasi yang berlebihan," kata Duffey.
Keputusan Pentagon ini memiliki implikasi global, termasuk bagi Indonesia. Banyak perusahaan Indonesia yang menjadi subkontraktor dalam rantai pasokan pertahanan AS, terutama di sektor manufaktur komponen dan jasa teknologi informasi. Jika standar CMMC dilonggarkan, perusahaan lokal mungkin menghadapi persyaratan yang lebih ringan, tetapi juga berisiko menurunkan postur keamanan siber secara keseluruhan. Sebaliknya, jika standar tetap ketat, biaya kepatuhan bisa menjadi hambatan masuk bagi kontraktor kecil di negara berkembang.
Para analis menilai bahwa penundaan ini mencerminkan tantangan yang lebih luas dalam menerapkan kerangka keamanan siber yang ambisius di tengah keterbatasan sumber daya. "Pemerintah AS harus menyeimbangkan antara kebutuhan keamanan dan kelangsungan bisnis kontraktor kecil," ujar seorang pakar keamanan siber yang enggan disebut namanya. "Jika tidak, basis industri pertahanan bisa menyusut dan hanya menyisakan pemain besar."
Ke depan, gugus tugas reformasi CMMC diharapkan merilis rekomendasi dalam 60 hari ke depan. Pertanyaan besarnya adalah apakah rekomendasi tersebut akan mengubah esensi program atau hanya menyesuaikan tenggat waktu. Satu hal yang pasti: keamanan siber rantai pasokan pertahanan AS—dan dampaknya terhadap mitra global seperti Indonesia—akan terus menjadi isu yang dinamis dan penuh ketidakpastian.



