Pentagon, Savunma Sanayi Tabanı'na (DIB) yönelik Siber Güvenlik Olgunluk Modeli Sertifikasyonu (CMMC) zorunluluğunu derhal askıya aldığını duyurdu. Pentagon üst düzey yetkilileri, mevcut uygulamanın savunma yüklenicileri üzerinde aşırı derecede kısıtlayıcı ve yük getirici olduğunu belirterek, programın yeniden yapılandırılması gerektiğini ifade etti. Bu karar, ABD'nin savunma tedarik zincirinde siber güvenlik standartlarının uygulanmasında önemli bir dönüm noktası olarak değerlendiriliyor.
Gelişmenin Arka Planı
CMMC programı, 2019 yılında ABD Savunma Bakanlığı tarafından, savunma yüklenicilerinin hassas askeri verileri koruma kapasitesini artırmak amacıyla başlatılmıştı. Program, savunma yüklenicilerinin siber güvenlik olgunluğunu üç seviyede (Seviye 1-3) sertifikalandırmayı hedefliyordu. Ancak uygulamada yaşanan sorunlar, özellikle küçük ve orta ölçekli yüklenicilerin sertifikasyon maliyetlerini karşılayamaması, programın yeniden değerlendirilmesini zorunlu kıldı. Pentagon yetkilileri, CMMC'nin mevcut haliyle DIB üzerinde orantısız bir yük oluşturduğunu ve savunma sanayisinde darboğazlara yol açtığını kabul etti. Bu çerçevede, programın yeniden yapılandırılması için bir çalışma grubu oluşturulduğu ve yeni versiyonun 2025 yılında yayımlanmasının beklendiği bildirildi.
Pentagon'un askıya alma kararı, savunma yüklenicileri tarafından olumlu karşılandı. Özellikle küçük işletmeler, sertifikasyon sürecinin maliyet ve karmaşıklığının işlerini tehdit ettiğini belirtmişti. Diğer yandan, siber güvenlik uzmanları, programın tamamen rafa kaldırılmaması gerektiğini, ancak daha esnek ve uygulanabilir bir modelin oluşturulmasının önemini vurguluyor. Pentagon'un bu hamlesi, savunma tedarik zincirinde siber güvenlik standartlarının geleceği konusunda belirsizlik yaratırken, yeni bir modelin oluşturulması sürecinin dikkatle yönetilmesi gerektiği ifade ediliyor.
Bölgesel ve Küresel Boyut
CMMC programının askıya alınması, sadece ABD içinde değil, küresel savunma sanayiinde de yankı uyandırdı. ABD'nin NATO müttefikleri ve diğer ortak ülkeler, kendi siber güvenlik standartlarını belirlerken CMMC'yi referans alıyordu. Pentagon'un bu kararı, bu ülkelerin siber güvenlik politikalarını da etkileyebilir. Özellikle NATO'nun savunma tedarik zincirinde siber güvenlik standartlarının uyumlaştırılması çabaları, CMMC'nin askıya alınmasıyla birlikte yeniden şekillenebilir. Ayrıca, ABD'nin Çin ve Rusya gibi rakiplerine karşı siber güvenlik avantajını koruma stratejisi de bu gelişmeden etkilenecek. Uzmanlar, Pentagon'un yeni modelde daha pragmatik bir yaklaşım benimsemesinin, ABD savunma sanayisinin rekabet gücünü artırabileceğini belirtiyor.
Türkiye Açısından Değerlendirme
Türkiye, ABD savunma sanayi tedarik zincirinde önemli bir aktör olmasa da, NATO müttefiki olarak siber güvenlik standartları konusunda uyum sağlamak durumundadır. Pentagon'un CMMC'yi askıya alması, Türkiye'nin kendi savunma sanayiinde uyguladığı siber güvenlik politikalarını yeniden değerlendirmesine neden olabilir. Özellikle Türk savunma şirketlerinin NATO projelerinde yer alması, uluslararası standartlara uyum gerektiriyor. Bu gelişme, Türkiye'nin milli siber güvenlik sertifikasyon sistemini geliştirme çabalarına da ışık tutabilir. ABD'nin yeni modeli, Türkiye için bir referans oluşturabilir ve savunma sanayiinde siber güvenlik maliyetlerini düşürücü etki yapabilir.