CMMC Nedir? DoD ile Çalışan Türk Firmalar İçin Rehber

ABD Savunma Bakanlığı (DoD), tedarik zincirindeki siber güvenlik açıklarını kapatmak amacıyla 2024–2025 yıllarında CMMC (Cybersecurity Maturity Model Certification) programını zorunlu hale getirdi. Bu program yalnızca ABD’deki firmalar için geçerli değil, DoD ile doğrudan veya dolaylı iş yapan dünyanın her yerindeki firma için bağlayıcı.

Türkiye’de ABD büyükelçilik ve konsolosluk inşaat ihaleleri, USACE (ABD Ordu Mühendislik Komutanlığı) projeleri veya DoD tedarik zincirinde yer alan firmalar bu kapsamda. 10 Kasım 2026 itibarıyla DoD, CUI işleyen sözleşmelere bağımsız C3PAO değerlendirmesi şartını dahil etmeye başlayacak; bu tarihten itibaren sertifikasyon gereksinimi hızla yaygınlaşacaktır.

Bu makalede CMMC’nin ne olduğunu, Türkiye’deki firmaları nasıl etkilediğini ve 2026 deadline’ına kadar ne yapmanız gerektiğini açıklıyoruz.

1. CMMC Nedir?

CMMC, DoD’un yüklenici ve alt yüklenicilerin siber güvenlik olgunluğunu doğrulamak için geliştirdiği bir sertifikasyon çerçevesidir. Temel amacı, savunma tedarik zincirindeki Kontrollü Gizli Olmayan Bilginin (CUI — Controlled Unclassified Information) ve Federal Sözleşme Bilgisinin (FCI — Federal Contract Information) korunmasını güvence altına almaktır.

CMMC 2.0 öncesinde firmalar NIST SP 800-171 standartlarına uymalarını kendi beyanlarıyla bildiriyordu. Denetim mekanizması yoktu. Yapılan çalışmalar, savunma tedarikçilerinin önemli bir kısmının uyumluluk durumunu olduğundan iyi gösterdiğini ortaya koydu. CMMC bu self-reporting sistemini bağımsız denetimle değiştiriyor.

Türkiye’de DoD ile çalışan firmaların önemli bir bölümü Level 2 gereksinimleriyle karşılaşmaktadır. Level 2, NIST SP 800-171’deki 110 güvenlik kontrolünün uygulanmasını ve bir C3PAO (Certified Third-Party Assessment Organization) tarafından her 3 yılda bir bağımsız denetlenmesini gerektiriyor.

CMMC Gereksinimleri

2. Türkiye’deki Hangi Firmalar Kapsama Giriyor?

CMMC, şirketin nerede kurulu olduğuna bakılmaksızın DoD sözleşmesi kapsamındaki tüm firmalar için geçerlidir. Yabancı firmalar, program gerekliliklerini karşılayan C3PAO’lar aracılığıyla değerlendirilebilir. Kapsama giren temel kriter: DoD sözleşmesi kapsamında FCI veya CUI depolayan, işleyen veya ileten sistemlere sahip olmak.

• İnşaat & Altyapı: ABD Büyükelçiliği, Konsolosluk, USACE projeleri üstlenen firmalar. Tasarım dosyaları, proje takvimleri, saha erişim bilgileri CUI kapsamına girebilir.
• Savunma Sanayii: Türk savunma firmaları, DoD/NATO tedarik zincirindeki alt yükleniciler. Teknik çizimler, test verileri, ihracat kontrollü bilgiler CUI kapsamındadır.
• BT & Yazılım: DoD projelerinde yazılım/hizmet sağlayan Türk teknoloji firmaları. DoD sözleşmesi kapsamında üretilen kaynak kod, sistem mimarileri ve teknik veriler CUI kapsamına girebilir.
• Lojistik & Tedarik: ABD askeri lojistik zincirinde yer alan firmalar. Nakliye planları, depo bilgileri, gümrük verileri.

DİKKAT: İnşaat firmalarında CUI kapsamı sürpriz yaratıyor. Tasarım dosyaları, saha erişim kimlik bilgileri, proje takvimleri ve alt yüklenici bilgileri CUI sayılabiliyor. “Biz sadece inşaat yapıyoruz, siber güvenlikle ne ilgimiz var” yaklaşımı artık geçerli değil.

3. Zaman Çizelgesi: 10 Kasım 2026 Neden Kritik?

CMMC uygulaması dört faz halinde hayata geçirildi. Şu an Faz 1 aktif — yeni ihalelerde CMMC şartları görünmeye başladı. 10 Kasım 2026 ile başlayan Faz 2, sertifikasyon gereksiniminin hızla yaygınlaştığı dönüm noktasıdır:

• Faz 1 | 10 Kasım 2025 (AKTİF): Level 1 ve Level 2 Self-Assessment zorunlu. Yeni ihalelerde CMMC şartları görünmeye başladı.
• Faz 2 | 10 Kasım 2026: DoD, CUI işleyen sözleşmelere C3PAO değerlendirmesi şartını dahil etmeye başlıyor. Bu tarihten itibaren sertifikasyon gereksinimi hızla yaygınlaşacak.
• Faz 3 | 10 Kasım 2027: Level 3 (DIBCAC) zorunluluğu başlıyor. En hassas CUI işleyen firmalar için geçerli.

Hazırlık süreci 9 ila 18 ay arasında değişiyor. Faz 2 döneminde sertifikasyon gerektiren bir sözleşmeye teklif verebilmek için hazırlığa hızlıca başlamak kritik. Sertifikasyon gereksinimi bulunan sözleşmelerde gerekli CMMC seviyesini sağlayamayan firmalar, teklif verme veya sözleşme alma konusunda önemli kısıtlarla karşılaşabilir.

4. CMMC Level 2 İçin Ne Gerekiyor?

CMMC Level 2 sertifikasyonu tek seferlik bir proje değil, sürekli bir uyum programıdır. Ana gereksinimler şöyle özetlenebilir:

Süreç ve Dokümantasyon Gereksinimleri

• System Security Plan (SSP): CUI ortamınızın kapsamlı güvenlik planı
• Plan of Action & Milestones (POA&M): Eksikliklerin giderilmesi için eylem planı
• CUI Scoping: Hangi sistemlerde CUI bulunduğunun tespiti
• SPRS Skoru: Supplier Performance Risk System’da güncel skor beyanı

Kuruluşunuzun CMMC Kapsamında Olup Olmadığından Emin Değil misiniz?

Birçok kuruluş, işlediği verilerin gerçekten CUI olup olmadığını veya CMMC kapsamına girip girmediğini net olarak bilmiyor. Yanlış kapsam belirleme; gereksiz maliyetlere, eksik kontroller nedeniyle denetim başarısızlığına ve sözleşme risklerine yol açabilir. Bu nedenle CMMC hazırlık sürecinin ilk adımı her zaman doğru bir CUI Scoping çalışmasıdır.

5. C3PAO Nedir, Türk Firmalar Nasıl Değerlendirilebilir?

C3PAO (Certified Third-Party Assessment Organization), DoD tarafından yetkilendirilmiş bağımsız denetim kuruluşudur. CMMC Level 2 sertifikasyonu için değerlendirme yalnızca C3PAO’lar tarafından yapılabilir.

Türk firmaları için iyi haber: değerlendirme firmanın bulunduğu ülkede yapılabilir veya uzaktan gerçekleştirilebilir. Türkiye merkezli bir danışmanlık firması ile çalışarak hazırlık sürecinizi tamamladıktan sonra ABD’de kayıtlı bir C3PAO ile resmi sertifikasyon sürecine girebilirsiniz.

6. Türkiye’de CMMC Danışmanlığı: Neden Doğru Partner Kritik?

CMMC, çoğu Türk firmasının bugüne kadar karşılaşmadığı bir uyum çerçevesi. NIST SP 800-171’in 110 kontrolü hem teknik derinlik hem de kapsamlı dokümantasyon gerektiriyor. Yanlış hazırlık; C3PAO denetiminde başarısızlık, ihale süreçlerinde elenme veya mevcut sözleşmelerin sonlandırılması riskini taşıyor.

CBERNET olarak OT/ICS Siber Güvenlik, ISO 27001, NIST CSF ve EPDK Uyum Süreçlerindeki deneyimimizi CMMC hazırlık danışmanlığına taşıyoruz. Türkiye’de bu alanda uzmanlaşmış az sayıda firma arasında yer alıyoruz.

• CMMC Level 2 GAP Analizi: Mevcut durumunuzu 110 kontrol bazında değerlendiriyoruz
• CUI Scoping ve Sistem Sınırı Tanımı: Kapsam optimizasyonu ile maliyet ve karmaşıklığı minimize ediyoruz
• SSP ve POA&M Hazırlığı: Denetim kalitesinde dokümantasyon
• Teknik Uygulama Desteği: Erişim kontrolü, log yönetimi, ağ segmentasyonu ve daha fazlası
• C3PAO Değerlendirmesine Hazırlık: Mock assessment ile sürprizi ortadan kaldırıyoruz
• Sürdürme Programı: Sertifikasyon sonrası uyumluluk yönetimi