# CMMC 2.0 คืออะไร? คู่มือ Cybersecurity Maturity Model Certification สำหรับธุรกิจส่งออกสหรัฐฯ 2026
ในช่วงปี 2024-2025 ที่ผ่านมา กระทรวงกลาโหมสหรัฐฯ (DoD) เริ่มบังคับใช้มาตรฐาน CMMC 2.0 (Cybersecurity Maturity Model Certification) อย่างเป็นทางการกับ Defense Industrial Base (DIB) Supplier ทั่วโลกกว่า 300,000 ราย ธุรกิจไทยที่เป็น Subcontractor, ผู้ส่งออกชิ้นส่วน Aerospace, Electronics หรือ Software ให้กับบริษัทสหรัฐฯ จะได้รับผลกระทบโดยตรงตั้งแต่ปี 2026 เป็นต้นไป
หากบริษัทของคุณไม่ผ่านการประเมิน CMMC ระดับที่เกี่ยวข้อง จะ "ไม่สามารถ" ต่อสัญญาหรือรับคำสั่งซื้อใหม่จาก DoD Supplier ได้ นี่ไม่ใช่แค่เรื่องของ Compliance แต่คือเรื่อง Survival ของธุรกิจส่งออก
บทความนี้อธิบายโครงสร้าง CMMC 2.0 ทั้ง 3 Level, ขั้นตอนการเตรียม Assessment, ค่าใช้จ่ายที่ต้องเตรียม และแนวทาง Implement สำหรับ SME ไทยที่ไม่เคยทำ Cybersecurity Framework แบบ US Federal มาก่อน
ทำไม CMMC 2.0 ถึงสำคัญสำหรับธุรกิจไทย
CMMC ไม่ได้บังคับเฉพาะบริษัทในสหรัฐฯ แต่รวมถึง Tier 2, 3, 4 Supplier ในห่วงโซ่อุปทานทั่วโลก หากคุณรับงานช่วงจากบริษัทที่มีสัญญากับ DoD (หรือรับงานต่อจากบริษัทที่รับงานต่อ) คุณต้องผ่าน CMMC เช่นกัน
อุตสาหกรรมไทยที่ได้รับผลกระทบมากที่สุดได้แก่ Electronics Manufacturing Services (EMS), Hard Disk Drive, Automotive Tier-1 ที่มี DoD Customer, Aerospace Components, Software Outsourcing สำหรับ US Federal และ Cybersecurity MSP
โครงสร้าง CMMC 2.0 — 3 Level ที่ต้องรู้
| Level | ชื่อเต็ม | Control | ประเมินโดย | เหมาะกับ |
|-------|---------|---------|-----------|----------|
| Level 1 | Foundational | 17 Practices (FAR 52.204-21) | Self-Assessment | Supplier ที่จัดการ FCI |
| Level 2 | Advanced | 110 Practices (NIST SP 800-171) | C3PAO (Third-party) | Supplier ที่จัดการ CUI |
| Level 3 | Expert | 110 + ~24 Enhanced (NIST SP 800-172) | DIBCAC (Government) | Supplier สำคัญมาก / High Priority Programs |
FCI (Federal Contract Information) คือข้อมูลที่ไม่ใช่สาธารณะที่เกี่ยวข้องกับสัญญา เช่น PO, Drawing พื้นฐาน
CUI (Controlled Unclassified Information) คือข้อมูลที่ควบคุม เช่น Technical Data Package, Source Code Defense, Specification ลับ
14 Domain ที่ CMMC Level 2 ครอบคลุม
NIST SP 800-171 ซึ่งเป็นฐานของ CMMC L2 แบ่งเป็น 14 Domain ครอบคลุมตั้งแต่ Access Control, Awareness & Training, Audit & Accountability, Configuration Management, Identification & Authentication, Incident Response, Maintenance, Media Protection, Personnel Security, Physical Protection, Risk Assessment, Security Assessment, System & Communications Protection จนถึง System & Information Integrity
แต่ละ Domain มี Security Requirement ย่อยรวม 110 ข้อ ทุกข้อต้อง Implement และต้องมี System Security Plan (SSP) กับ Plan of Action & Milestones (POA&M) เป็นเอกสารประกอบ
Step-by-Step การเตรียม CMMC Level 2
Step 1: Scoping
กำหนด Boundary ว่า CUI จะอยู่ใน Network, System, People, Facility ส่วนไหนบ้าง เทคนิคที่แนะนำคือ Enclave Model แยก CUI Enclave ออกจาก Corporate Network เพื่อลด Scope
Step 2: Gap Analysis
เทียบ Practice 110 ข้อกับ Current State โดยให้คะแนน Met / Partially Met / Not Met โดยปกติ SME ไทยจะเริ่มต้นที่ 30-40% Compliance
Step 3: Remediation
ลง Investment ด้าน MFA, Encryption at Rest/Transit, SIEM, EDR, Security Awareness Training, Access Review Process รวมถึงการจัดทำ Documentation
Step 4: Pre-Assessment (Readiness Review)
จ้าง RPO (Registered Provider Organization) ตรวจภายในก่อน เพื่อลดความเสี่ยง Fail ใน Certification
Step 5: CMMC Assessment
นัด C3PAO เข้า Assess on-site/remote 1-2 สัปดาห์ ผล Pass/Fail จะถูกบันทึกใน SPRS (Supplier Performance Risk System) ของ DoD
Step 6: Annual Affirmation
ทุกปีต้องมีผู้บริหารระดับสูง Affirm ว่า Control ยังถูก Maintain อยู่
ค่าใช้จ่ายที่ต้องเตรียม (ตัวเลขประมาณการ 2026)
| รายการ | Level 1 | Level 2 | Level 3 |
|--------|---------|---------|---------|
| Gap Analysis + Readiness | $10K-30K | $50K-150K | $150K+ |
| Technology Investment | $5K-20K | $100K-500K | $500K+ |
| C3PAO Assessment Fee | $0 (Self) | $50K-200K | Government |
| Annual Maintenance | $5K-15K | $50K-100K | $200K+ |
| Total Year 1 | ~$30K | $200K-800K | $1M+ |
สำหรับ SME ไทยทั่วไป Level 2 = 7-25 ล้านบาท ในปีแรก
5 ข้อผิดพลาดที่ SME ไทยมักทำ
CMMC 2.0 vs ISO 27001 เปรียบเทียบให้เห็นภาพ
| ความต่าง | ISO 27001 | CMMC 2.0 |
|---------|-----------|----------|
| Scope | Info Security ทั่วไป | เฉพาะ FCI/CUI DoD |
| Controls | 93 Annex A | 110+ (L2) |
| Assessor | ISO Body | C3PAO Accredited |
| Re-certify | ทุก 3 ปี | ทุก 3 ปี + Annual Affirmation |
| Penalty | Business Impact | False Claims Act (หนักมาก) |
ทั้งสองมาตรฐานมีจุด Overlap ประมาณ 60-70% หาก SME ไทยมี ISO 27001 อยู่แล้ว จะ Implement CMMC ง่ายขึ้นมาก
Case Study — SME Electronics ไทยผ่าน CMMC L2
บริษัท EMS แห่งหนึ่งในไทยที่ส่งชิ้นส่วนให้ Tier-1 US Defense Contractor เริ่ม CMMC Journey ต้นปี 2024 ใช้เวลา 14 เดือน, ลงทุนประมาณ 12 ล้านบาท, ผ่าน Assessment เดือน 3/2025 ปัจจุบันเป็น CMMC L2 Certified และได้รับ PO เพิ่ม 30% เพราะคู่แข่งยังไม่ผ่าน
ปัจจัยที่ทำให้สำเร็จ ได้แก่ ตั้งทีม CMMC Champion 3 คน, เลือก MSP ที่มีประสบการณ์ DoD, ใช้ Microsoft 365 GCC High เป็น Platform หลัก, และทำ Tabletop Exercise ทุกไตรมาส
สรุป + CTA
CMMC 2.0 ไม่ใช่ Compliance ที่เลือกได้ หากธุรกิจของคุณอยู่ใน DoD Supply Chain มันคือ License-to-Operate และสำหรับคนที่เริ่มก่อน จะกลายเป็น Competitive Advantage เพราะคู่แข่งส่วนใหญ่ยังไม่พร้อม
Key Takeaways ปี 2026 ประกอบด้วย เริ่มภายในไตรมาส 1 ก่อน Customer ทวง, เลือก Level ตาม CUI ที่จัดการจริง, ใช้ Enclave Model ลด Scope, ลงทุนเทคโนโลยีและ People ควบคู่กัน และขอ C3PAO นัด Assessment ล่วงหน้า 6 เดือน
หากบริษัทของคุณต้องการเตรียมพร้อม CMMC 2.0 ติดต่อ ADS FIT เราให้บริการ Gap Analysis, SSP/POA&M Development, Technology Implementation และทำงานร่วมกับ RPO/C3PAO เพื่อพาคุณผ่าน Certification
อ่านบทความเพิ่มเติม ISO 27001, SOC 2 Compliance, NIST AI RMF และ EU Cyber Resilience Act บนเว็บไซต์ของเรา