Presiden Joe Biden menandatangani Undang-Undang Otorisasi Pertahanan Nasional pada 23 Desember 2022, menyetujui pendanaan sekitar $858 miliar untuk Departemen Pertahanan dan program keamanan nasional di bawah Departemen Energi. NDAA juga memasukkan $12,6 miliar untuk dampak inflasi pada pembelian dan kenaikan biaya konstruksi dan bahan bakar.
NDAA tahun ini terus memperluas versi TA 2022 dengan berfokus pada peningkatan dan perlindungan rantai pasokan Departemen Pertahanan dan penguatan kesiapan militer. Ketentuan ini terus membatasi pengadaan barang dan jasa dari negara asing tertentu dan meningkatkan keamanan siber. Kontraktor mungkin senang melihat Kongres meningkatkan pendanaan untuk pembangunan kapal, pertahanan rudal, pesawat terbang, sistem darat dan senjata.
NDAA TA 2023 lebih dari 4.400 halaman. Kami telah menyoroti beberapa bagian yang mungkin menarik bagi kontraktor pemerintah.
Bagian 803: Persyaratan data untuk produk komersial untuk sistem senjata utama
Ketentuan NDAA ini mensyaratkan pihak pemberi penawaran yang menyediakan subsistem, komponen, dan suku cadang untuk sistem persenjataan utama yang sebelumnya belum ditetapkan secara komersial untuk mengidentifikasi produk(-produk) spesifik yang sebanding yang dijual kepada masyarakat umum atau entitas non-pemerintah yang dapat berfungsi sebagai dasar untuk suatu pernyataan “sejenis”, serta analisis komparatif untuk membenarkan komersialitas produk.
Bagian 805: Perlakuan terhadap klausul tertentu yang melaksanakan perintah eksekutif
Ini mensyaratkan bahwa penyisipan sepihak dari klausul tertutup yang dimasukkan ke dalam kontrak DoD yang ada, perintah atau transaksi lain oleh petugas kontrak harus diperlakukan sebagai perubahan di bawah klausul perubahan kontrak, FAR 52.243-3. Kontraktor yang diharuskan untuk memasukkan perintah eksekutif yang dapat meningkatkan biaya kontrak mereka dapat mencari penyesuaian yang adil.
Bagian 817: Modifikasi terhadap larangan pengoperasian atau pengadaan sistem pesawat tak berawak buatan luar negeri
Ketentuan ini memodifikasi ketentuan NDAA TA 2020 tentang sistem pesawat tak berawak buatan luar negeri dengan melarang pembelian UAS dari China, Rusia, Iran, dan Korea Utara. Ketentuan tersebut menempatkan batasan tertentu pada pembuat drone China Da-Jiang Innovations dan anak perusahaan atau afiliasinya.
Bagian 822: Modifikasi kontrak untuk memberikan keringanan luar biasa akibat dampak inflasi
Ada potensi kabar baik bagi kontraktor dan subkontraktor dari kontrak dengan harga tetap. Pemerintah telah mengakui perlunya melindungi dan mendukung basis industri pertahanannya selama periode inflasi tinggi ini. DoD dapat mengubah atau memodifikasi kontrak yang memenuhi syarat ketika, semata-mata karena inflasi ekonomi, biaya untuk kinerja kontraktor utama lebih besar dari harga kontrak, dengan ketentuan serupa yang berlaku untuk subkontraktor. Jika kontraktor utama tidak mengajukan permintaan, ketentuan tersebut memungkinkan subkontraktor untuk mengajukan permintaan langsung kepada pemerintah. Kontraktor harus memperhatikan bahwa ketersediaan dana mungkin menjadi masalah, dan pejabat kontrak masih memiliki wewenang untuk memberikan modifikasi pada kontrak. Ini berlaku hingga 31 Desember 2023.
Bagian 856: Kodifikasi program mentor-anak didik DoD
Ketentuan ini mengkodifikasikan program mentor-protégé, yang tidak lagi dianggap sebagai program percontohan. Ini juga menurunkan ambang kelayakan mentor dari $100 juta menjadi $25 juta dalam total kontrak pertahanan untuk tahun fiskal sebelumnya. Selain itu, ketentuan tersebut memperluas partisipasi program dari dua tahun menjadi tiga tahun, dan menetapkan program percontohan lima tahun untuk mendorong partisipasi anak didik dalam kontrak rekayasa, pengembangan perangkat lunak, atau kustomisasi manufaktur.
Bagian 857: Persyaratan pengadaan yang berkaitan dengan unsur tanah jarang dan bahan strategis dan kritis
Kontraktor yang menyediakan sistem DoD dengan magnet permanen yang mengandung logam tanah jarang, atau bahan strategis dan kritis, harus mengungkapkan asal magnet tersebut. Elemen pengungkapan mencakup identifikasi negara atau negara tempat elemen tanah jarang, atau bahan strategis dan kritis, ditambang, disuling menjadi oksida atau dibuat menjadi paduan. Ketentuan tersebut juga mensyaratkan perincian di mana magnet disinter atau diikat dan dimagnetisasi. Jika kontraktor tidak dapat melakukan pengungkapan, kontraktor harus menerapkan sistem pelacakan rantai pasokan yang memberikan gambaran tentang upaya yang dilakukan untuk melakukan pengungkapan yang diperlukan. Dalam kasus tersebut, kontraktor juga harus melaporkan nama, lokasi, dan informasi pengenal lainnya dari entitas mana pun yang menolak memberikan informasi kepada kontraktor untuk melakukan pengungkapan. Bagian ini juga memperluas pembatasan pengadaan teknologi militer dan penggunaan ganda oleh perusahaan militer China.
Penggabungan panduan informasi tidak terklasifikasi yang terkontrol ke dalam panduan klasifikasi program dan rencana perlindungan program
Ketentuan ini mensyaratkan bahwa semua pedoman klasifikasi program (untuk program rahasia) dan semua rencana perlindungan program (untuk program tidak rahasia) menyertakan pedoman untuk penandaan yang tepat atas informasi tidak rahasia yang dikendalikan pada pembaruan berkala berikutnya. Ketentuan tersebut juga mensyaratkan pemantauan kemajuan DoD dalam memasukkan panduan CUI di semua program dan pelatihan terbaru untuk personel pemerintah dan kontraktor yang menggunakan panduan tersebut.
Bagian 1514: Pengujian operasional untuk kemampuan keamanan siber komersial
Ketentuan ini mengharuskan DoD dan pejabat informasi kepala cabang untuk mengembangkan dan menyerahkan rencana paling lambat 1 Februari 2024, untuk memastikan bahwa kemampuan keamanan siber (termasuk item komersial) telah diuji, dievaluasi, dan terbukti secara operasional efektif, sesuai, dan dapat bertahan sebelum beroperasi pada a jaringan DoD.
Bagian 1553: Merencanakan pengujian dan evaluasi cloud komersial
Ini mengharuskan Menteri Pertahanan, dalam konsultasi dengan industri komersial, untuk menerapkan kebijakan dan rencana pengujian dan evaluasi keamanan siber penyedia layanan cloud komersial yang menyediakan, atau dimaksudkan untuk menyediakan, penyimpanan atau komputasi data rahasia Departemen Pertahanan. .
Bagian 5921: Undang-Undang Otorisasi FedRAMP
Ini mengkodifikasikan program penilaian dan otorisasi keamanan Program Manajemen Risiko dan Otorisasi Federal dengan Administrasi Layanan Umum. Ketentuan tersebut mensyaratkan bahwa program seluruh pemerintah dibentuk yang menyediakan pendekatan standar dan dapat digunakan kembali untuk penilaian keamanan dan otorisasi untuk produk dan layanan cloud computing yang memproses informasi yang tidak dirahasiakan. Ini akan membantu mengurangi duplikasi. Ini menetapkan praktik untuk mendukung proses otorisasi FedRAMP guna meningkatkan kecepatan, efektivitas, dan transparansi. Beberapa takeaways kunci tambahan dari tindakan tersebut adalah sebagai berikut:
- Membentuk dewan FedRAMP yang terdiri dari pejabat senior atau pakar dari lembaga dengan keahlian teknis yang relevan untuk mempercepat proses otorisasi, memperbarui persyaratan dan pedoman, mengawasi dan memantau proses untuk menentukan persyaratan otorisasi, dan memastikan konsistensi dan transparansi.
- Membentuk komite penasehat cloud aman federal untuk melibatkan sektor publik dan swasta untuk memastikan koordinasi adopsi agensi yang efektif dan berkelanjutan, dan untuk menilai otorisasi, pemantauan, akuisisi, dan keamanan produk dan layanan komputasi cloud. Komite tersebut akan terdiri dari anggota dari lembaga pemerintah, pakar materi pelajaran, dan penyedia layanan cloud swasta, termasuk setidaknya dua perwakilan dari bisnis kecil.
- Mengurangi duplikasi penilaian keamanan dan adopsi agensi produk cloud dengan menetapkan “praduga kecukupan” untuk teknologi cloud yang telah menerima sertifikasi FedRAMP.
- Memfasilitasi penggunaan teknologi cloud yang telah menerima otorisasi untuk beroperasi dengan mewajibkan lembaga untuk memeriksa repositori yang terpusat dan aman serta menggunakan kembali penilaian keamanan yang ada sebelum melakukan penilaian mereka sendiri.
Bagian 5949: Larangan atas produk dan layanan semikonduktor tertentu
Ketentuan ini berlaku untuk semua badan eksekutif, tidak hanya DoD, dan mulai berlaku lima tahun setelah NDAA ditandatangani. Ini melarang semua agen federal untuk mengadakan atau mengontrak, untuk komponen elektronik apa pun, produk atau layanan semikonduktor dalam “sistem kritis” (yaitu, sistem keamanan nasional) yang dirancang, diproduksi, atau disediakan oleh Perusahaan Internasional Manufaktur Semikonduktor, Teknologi Memori ChangXin, Yangtze Memory Technologies Corp. atau anak perusahaan, afiliasi, atau penerus dari salah satu perusahaan tersebut. Agen juga diminta untuk melakukan analisis dan penilaian, dan melaporkan temuan mereka dalam rantai pasokan kontraktor dan subkontraktor mereka. Kontraktor perlu menyiapkan dan bertanggung jawab untuk mengesahkan non-penggunaan produk atau layanan semikonduktor yang tercakup; mendeteksi dan menghindari penggunaan produk atau layanan semikonduktor; dan melakukan pengerjaan ulang atau tindakan korektif untuk memperbaiki penggunaan atau penyertaan bagian atau produk semikonduktor yang tercakup.
Bagian 6502: Identifikasi dan penilaian ancaman perusahaan dengan investasi di Tiongkok
Ini memerlukan laporan ke Kongres yang mengidentifikasi risiko keamanan nasional penggunaan perusahaan telekomunikasi dengan investasi 10% atau lebih besar oleh entitas yang dimiliki atau dikendalikan oleh Tiongkok yang beroperasi di Amerika Serikat, atau menyediakan layanan kepada afiliasi dan personel dari komunitas intelijen. Laporan itu juga harus membahas perusahaan perhotelan dan alat angkut dengan investasi “substansial” oleh China yang digunakan komunitas intelijen untuk perjalanan.
