【编者按】在全球化竞争与国家安全交织的时代,网络安全已成为国防工业的“隐形战场”。美国近期推行的网络安全新规,本意是筑牢信息防线,却意外掀起供应链的暗涌——高昂的合规成本正迫使众多中小供应商重新权衡是否继续承接军工订单。一边是政府加压增产、拓宽供应链的迫切需求,另一边是小企业面对审计压力与模糊标准的挣扎。这道安全与生存的选择题,不仅牵动着战机零件的生产进度,更折射出大国竞争中微观主体的现实困境。当合规成为不可承受之重,谁在守护产业链的毛细血管?以下是全文编译:
2月20日报道:美国国防领域新推行的网络安全规定,正导致部分小型供应商因高昂合规成本而重新考虑是否继续从事军工业务。这给生产带来了风险,而此时特朗普政府正施压承包商提高产量并拓宽供应链基础。
美国国防部拖延已久的“网络安全成熟度模型认证”(CMMC)于去年11月启动,旨在保护敏感信息(即受控非密信息)。
承接联邦合同的公司目前需进行网络安全自我评估,这是CMMC三个级别中的第一级。更严格的第二级包含审计程序,预计将于11月前开始实施。
企业高管表示,长达数月的合规审计等待期,以及对需保护信息范围的困惑,使得达到更高级别标准变得更加困难。由于事态敏感,这些高管要求匿名发言。
一位行业人士称,由于缺乏明确定义,承包商甚至要求不处理敏感信息(如战机燃油泵技术图纸)的供应商也提高合规程度。
成本引发担忧
行业消息指出,每家小企业需额外承担数十万美元的成本,这也让一些财务脆弱的供应商望而却步。
美国航空航天工业协会国家安全政策副总裁玛格丽特·博特纳表示:“部分企业,尤其是那些同时参与商业市场竞争的公司,反映复杂且昂贵的监管要求累积,正迫使它们重新考虑——甚至完全退出国防市场,这进一步冲击了工业基础的健壮性与韧性。”该协会许多会员企业也服务于国防行业。
根据美国众议院小企业小组委员会2022年的数据,约88%的航空航天企业为小型企业。
三家航空航天公司(两家在美国,一家在加拿大)告诉路透社,它们各自都有少数供应商不愿遵守更严格的CMMC要求(例如接受审计)。
其中一家美国公司的总裁称,其半数供应商尚未表明是否会合规。另一家作为美国战机项目零件唯一来源的公司负责人,也不确定其供应商将作何选择。
美国国防部拒绝置评。
小供应商对供应链至关重要
在经历多年生产瓶颈后,投资者正密切关注小型供应商的生存状况。其中一些企业是大型承包商组装武器装备所需关键零件的唯一生产者。
麦卡特英格律师事务所律师亚历克斯·梅杰(专为国防承包商提供CMMC合规咨询)指出,认证要求可能无意中削弱国防供应链底层的竞争。
CMMC于2019年提出,因行业担忧与困惑而延迟,需与五角大楼进行数年商讨。
梅杰表示,对于同时需遵守欧洲数据隐私法及其他地区网络标准的国际供应商而言,挑战尤为严峻。“美国政府要求承包商以特定方式处理数据或将其标识为受控信息,而(其他)数据隐私法规可能与此冲突。”
一家加拿大公司的高管称,为同时符合欧美法规,他需投入50万加元(约36.5万美元)。
非营利性美国航空航天供应商Pathfinder Manufacturing的首席执行官戴夫·特拉德表示,由于公司仅从事线束制造等有限国防业务,且面临飞机制造商波音的强劲需求,他不确定合规成本是否值得。
(1加元=1.3692美元)
(蒙特利尔艾莉森·兰珀特、华盛顿迈克·斯通报道,罗德·尼克尔编辑)
