Neue US-amerikanische Cybersicherheitsvorschriften für den Verteidigungssektor veranlassen einige kleine Zulieferer aufgrund hoher Compliance-Kosten dazu, ihre militärische Arbeit zu überdenken. Dies erhöht die Produktionsrisiken in einer Zeit, in der die Trump-Regierung Auftragnehmer unter Druck setzt, die Produktion zu steigern und die Lieferbasis zu diversifizieren.
Die seit langem aufgeschobene US-Cybersecurity-Maturity-Model-Zertifizierung des Verteidigungsministeriums wurde im November letzten Jahres ins Leben gerufen, um sensible Informationen, sogenannte kontrollierte, nicht klassifizierte Informationen, zu schützen.
Unternehmen, die an Bundesverträgen arbeiten, führen jetzt Cybersicherheits-Selbstbewertungen als erste von drei CMMC-Stufen durch, wobei die strengere zweite Stufe, die Audits umfasst, voraussichtlich im November beginnen wird.
Monatelanges Warten auf Audits zur Sicherstellung der Compliance und Verwirrung darüber, welche Informationen geschützt werden müssen, haben die Einhaltung der höheren Standards erschwert, sagen die Führungskräfte. Aufgrund der Sensibilität der Angelegenheit sprachen sie unter der Bedingung, anonym zu bleiben.
Ohne eine klare Definition fordern Auftragnehmer eine stärkere Einhaltung der Vorschriften, selbst wenn der Lieferant keine sensiblen Informationen wie technische Zeichnungen einer Treibstoffpumpe für Kampfflugzeuge verarbeitet, sagte eine Quelle aus der Industrie.
Kosten geben Anlass zur Sorge
Zusätzliche Kosten von Hunderttausenden Dollar pro Kleinunternehmen schrecken auch einige Zulieferer mit fragilen Finanzen ab, hieß es aus Branchenkreisen.
„Einige dieser Firmen, insbesondere solche, die auch auf kommerziellen Märkten konkurrieren, berichten, dass die Anhäufung komplexer und kostspieliger regulatorischer Anforderungen sie dazu zwingt, den Verteidigungsmarkt zu überdenken – wenn nicht sogar ganz zu verlassen –, was die Gesundheit und Widerstandsfähigkeit der industriellen Basis zusätzlich gefährdet“, sagte Margaret Boatner, Vizepräsidentin für nationale Sicherheitspolitik bei der in den USA ansässigen Aerospace Industries Association. Viele seiner Mitgliedsunternehmen beliefern auch die Verteidigungsindustrie.
Nach Angaben eines Unterausschusses für Kleinunternehmen des US-Repräsentantenhauses aus dem Jahr 2022 sind etwa 88 Prozent der Luft- und Raumfahrtunternehmen Kleinunternehmen.
Drei Luft- und Raumfahrtunternehmen, zwei in den Vereinigten Staaten und eines in Kanada, teilten Reuters mit, dass sie jeweils eine Handvoll Lieferanten haben, die die strengeren CMMC-Anforderungen nicht erfüllen, beispielsweise wenn sie sich dem Audit unterziehen.
Der Präsident eines der US-Unternehmen sagte, die Hälfte seiner Lieferanten habe nicht angegeben, ob sie sich daran halten würden. Auch der Chef eines anderen Unternehmens, das der einzige Lieferant von Teilen für ein US-Kampfflugzeugprogramm ist, ist sich nicht sicher, was seine Zulieferer tun werden.
Das Verteidigungsministerium lehnte eine Stellungnahme ab.
Kleine Lieferanten sind für die Lieferkette von entscheidender Bedeutung
Die Gesundheit kleiner Zulieferer wird von Investoren nach jahrelangen Produktionsengpässen genau beobachtet. Einige sind die einzigen Hersteller wichtiger Teile, die größere Auftragnehmer für die Montage von Waffen und Ausrüstung benötigen.
Alex Major, ein Anwalt bei McCarter & English, der Verteidigungsunternehmen bei der CMMC-Konformität berät, sagte, die Zertifizierungsanforderungen könnten unbeabsichtigt den Wettbewerb in den unteren Stufen der Verteidigungslieferkette verringern.
CMMC, das 2019 eingeführt wurde, wurde durch Bedenken und Verwirrung in der Branche verzögert, was jahrelange Diskussionen mit dem Pentagon erforderte.
Die Herausforderung sei besonders groß für internationale Lieferanten, die auch die europäischen Datenschutzgesetze und andere regionale Cyber-Standards einhalten, sagte Major.
„Sie fordern diese Auftragnehmer auf, Daten auf eine bestimmte Art und Weise zu speichern oder sie gemäß der Regierung der Vereinigten Staaten als kontrollierte Informationen zu kennzeichnen, und (andere) Datenschutzgesetze könnten davon abweichen“, sagte er.
Ein leitender Angestellter des kanadischen Unternehmens sagte, er müsse 500.000 Kanadische Dollar (365.176,75 US-Dollar) ausgeben, um die Vorschriften in Europa und den USA einzuhalten.
Dave Trader, CEO des gemeinnützigen US-amerikanischen Luft- und Raumfahrtzulieferers Pathfinder Manufacturing, sagte, er sei sich nicht sicher, ob die Einhaltung der Vorschriften die Kosten wert sei, da das Unternehmen nur begrenzte Verteidigungsarbeiten zur Herstellung von Kabelbäumen durchführe und eine starke Nachfrage vom Flugzeughersteller Boeing sehe.
