"第三者評価または認証(certification)は、DoDによる要求も、認定(authorized)も、承認もされていません。契約書に署名することにより、契約事業者は契約条件を遵守することに同意したことになります。
CDIを保護する上で 、サイバーセキュリティに関する専門知識が限られている企業では、自社でNIST SP 800-171の要件にどのように適合させ実装するのが良いかを決定する際に、外部の支援を求めることもありましょう。しかし、企業が要件を一度実装した後は、NIST SP 800-171に準拠しているかどうかについて第三者の評価または認証を受ける必要はありません。これについても、現在準備が進められているCMMCに基づく調達体制では、第三者による認証が必要となります。"
