Канада вводит обязательную сертификацию кибербезопасности для поставщиков оборонной отрасли — уже этим летом первые контракты начнут включать новые требования. Программа создана по образцу американской системы CMMC и призвана защитить военные данные от киберугроз.
Что такое CPCSC и откуда она взялась
Канадская программа сертификации кибербезопасности (Canadian Program for Cyber Security Certification, CPCSC) была объявлена в марте 2025 года. Она базируется на тех же технических контролях, что и американская Cybersecurity Maturity Model Certification (CMMC), чтобы избежать дублирования и сблизить стандарты двух стран, сообщило ведомство Public Services and Procurement Canada.
Вторая фаза внедрения CMMC в США начнётся в ноябре 2026 года. Тем временем Канада уже этим летом вводит первый уровень своей программы.
Три уровня сертификации
Уровень 1 вступит в силу этим летом в отдельных оборонных контрактах. Он требует от поставщиков ежегодной самооценки соответствия 13 базовым мерам безопасности.
Уровень 2 предназначен для контрактов, связанных с обработкой контролируемой оборонной информации или более сложными киберчувствительными работами. Оценку будет проводить сторонняя организация, аккредитованная через Standards Council of Canada, не реже одного раза в три года. Этот уровень начнёт внедряться в оборонные контракты с апреля 2027 по март 2028 года.
Уровень 3 применяется к особо чувствительным работам — например, к оборонным системам, критической инфраструктуре или секретным данным, которыми Канада обменивается с партнёрами по альянсу «Пять глаз» (Австралия, Новая Зеландия, Великобритания, США). Оценки будет проводить непосредственно Министерство обороны Канады также раз в три года.
Параметры соответствия и консультации
Государство может признавать действующие сертификаты CMMC подрядчиков на индивидуальной основе. Кроме того, CPCSC запустит официальные консультации с ключевыми отраслевыми ассоциациями для проверки и тестирования инструментов оценки, чтобы обеспечить эквивалентность и совместимость требований двух программ.
Отличия от CMMC и вызовы внедрения
По словам Фрэнка Балониса, информационного директора Kiteworks, привязка к американской модели упрощает работу для компаний, действующих на обоих рынках. Однако у программ разные масштабы и темпы внедрения: США шли к финализации CMMC шесть лет, а Канада анонсировала CPCSC в марте 2025 года и имеет меньший круг участников.
Также CPCSC вводит требования хранения защищённых данных на территории Канады, в то время как CMMC не накладывает подобных ограничений. Это частично обусловлено законом CLOUD Act, который позволяет американским властям требовать доступ к данным вне зависимости от их физического местонахождения. По прогнозу Kiteworks, 21 % канадских компаний считают CLOUD Act угрозой суверенитету данных, а 23 % уже переходят на неамериканские облачные сервисы.
Одним из вызовов для CPCSC станет нехватка в Канаде аккредитованных организаций для проведения оценок уровня 2 — на данный момент таких нет. Правительство планирует опираться на опыт США при подготовке assessors и выработке процедур аккредитации.
Сроки и рекомендации для компаний
Уровень 2 будет включён в отдельные оборонные контракты весной 2027 года. При этом сертификация не понадобится при подаче заявки, но станет обязательной при активации контракта, что может произойти во второй половине 2027 года и оставляет мало времени для подготовки.
Компании должны заранее проверить внутренние процессы и задокументировать все требуемые меры: сертификата не будет «по частям» — либо он есть, либо контракт недоступен.
