Los requisitos de cumplimiento y evaluación del CMMC 2.0 varían según la relación de su organización con el DoD y el tipo de información que maneja. Por lo tanto, uno de los primeros pasos en el proceso de conformidad con el CMMC es determinar su nivel CMMC. A continuación, le ofrecemos una descripción general de cada nivel y consejos para determinar el nivel adecuado para usted.

Niveles de certificación CMMC

El modelo CMMC 2.0 simplifica el marco original en tres niveles de certificación. Estos tres niveles ofrecen un enfoque claro y estructurado para la ciberseguridad y aseguran que las prácticas requeridas coincidan con el tipo y la sensibilidad de la información protegida.

Aquí tiene una descripción general de los tres niveles de certificación CMMC 2.0:

Certificación CMMC Nivel 1: Básico

El Nivel 1 se enfoca en la implementación de prácticas básicas de ciberseguridad para proteger la FCI. Esto incluye prácticas de seguridad básicas como protección de acceso, autenticación, respaldo de medios, seguridad física, protección de comunicaciones e integridad del sistema.

Aquí tiene una descripción general de este nivel:

• Objetivo: Higiene cibernética básica
• Prácticas: 17 prácticas de ciberseguridad basadas en FAR 52.204-21 (Reglamento Federal de Adquisiciones)
• Requisitos de evaluación: Autoevaluaciones anuales con confirmaciones anuales por parte de un representante corporativo sénior.
• ¿Quién necesita esto? Este nivel está diseñado para organizaciones que manejan Información del Contrato Federal (FCI), es decir, información proporcionada o creada por o para el gobierno bajo un contrato que no está destinada a la divulgación pública.

Certificación CMMC Nivel 2: Avanzado

El Nivel 2 de CMMC 2.0 está destinado a asegurar que las organizaciones implementen buenas prácticas de ciberseguridad para prevenir amenazas internas y externas y proteger la CUI.

Aquí tiene una descripción general de este nivel:

• Objetivo: Higiene cibernética avanzada
• Prácticas: 110 prácticas que coinciden con el marco NIST SP 800-171 Rev. 2, que cubre la protección de información controlada no clasificada (CUI).
• Requisitos de evaluación: Evaluaciones trienales por una C3PAO para información crítica de seguridad y autoevaluaciones anuales para información no crítica, que se presentan a través del Sistema de Desempeño y Riesgo del Proveedor (SPRS).
• ¿Quién necesita esto? Organizaciones que procesan información controlada no clasificada (CUI) y participan en contratos que contienen información crítica para la seguridad nacional.

Certificación CMMC Nivel 3: Experto

El CMMC 2.0 Nivel 3 es el nivel más alto, diseñado para empresas que necesitan implementar las medidas de ciberseguridad más estrictas para protegerse contra amenazas persistentes avanzadas (APT). Incluye prácticas y procesos exhaustivos para proteger información controlada no clasificada (CUI) crítica de amenazas cibernéticas avanzadas.

Aquí hay una visión general de este nivel:

• Objetivo: Higiene cibernética experta
• Prácticas: Más de 110 prácticas que cumplen con NIST 800-171, así como requisitos adicionales de un subconjunto de controles NIST SP 800-172.
• Requisitos de evaluación: Se requieren evaluaciones gubernamentales cada tres años, realizadas por funcionarios gubernamentales.
• ¿Quién necesita esto? Este nivel está destinado a organizaciones que procesan la información gubernamental más sensible y forman parte de los contratos de mayor prioridad del DoD.

¿Qué nivel de CMMC necesito?

Siga los pasos a continuación para determinar qué nivel de certificación CMMC es adecuado para usted a corto y largo plazo.

1. Revise los requisitos de su contrato

Revise los contratos del DoD a los que está ofertando o en los que actualmente participa. Cada solicitud de oferta, solicitud de información (RFI) o contrato debe indicar el nivel de CMMC requerido.

Si el nivel de CMMC no está explícitamente indicado en su contrato, consulte con su agente de contratos o equipo legal para aclarar los requisitos de seguridad según la información procesada.

Si es un subcontratista, comuníquese con sus contratistas principales para comprender los requisitos de CMMC del contrato principal. Los contratistas principales deben poder asesorar sobre el nivel de CMMC requerido para sus subcontratistas.

2. Identifique el tipo de información que procesa

El tipo de información que procesa puede ayudar a determinar el nivel de certificación requerido. Aquí hay una regla general:

• Si procesa FCI: La mayoría de las organizaciones que solo procesan FCI necesitan la certificación de Nivel 1. Este nivel incluye prácticas básicas de ciberseguridad para proteger la información gubernamental.
• Si procesa CUI: Si su organización procesa CUI, probablemente necesitará un nivel de certificación más alto, generalmente Nivel 2 o superior. Estos niveles incluyen controles de seguridad más estrictos para proteger la información sensible. Sin embargo, si es un subcontratista y su contratista principal procesa CUI pero solo le proporciona parte de la información, puede ser aplicable un nivel de CMMC más bajo para usted como subcontratista.

3. Evalúe su rol en la cadena de suministro del DoD

A continuación, considere su rol en la cadena de suministro del DoD.

Si es un contratista principal que trabaja directamente con el DoD, puede estar obligado a alcanzar un nivel de CMMC superior, dependiendo del tipo de contratos que gestione en comparación con un subcontratista.

La criticidad de los datos que procesa para la seguridad nacional también puede influir en su nivel de certificación o en los requisitos de evaluación.

Como se mencionó anteriormente, si maneja CUI, probablemente se encuentre en el Nivel 2 o 3. El nivel exacto y/o los requisitos de evaluación varían según la sensibilidad de los datos. Por ejemplo, si su organización maneja CUI crítico para la seguridad nacional, está en el Nivel 2 y debe someterse a una evaluación exhaustiva por evaluadores externos (C3PAOs) cada tres años. Si su organización maneja CUI que no es crítico para la seguridad nacional, también está en el Nivel 2, pero puede realizar una autoevaluación anual en lugar de una evaluación externa.

El Nivel 3 está reservado para los programas de defensa más prioritarios y críticos. Si su organización desempeña un papel crucial en la seguridad nacional y maneja información altamente sensible, podría pertenecer a este nivel y deberá someterse a evaluaciones dirigidas por el gobierno cada tres años.

4. Considere sus objetivos a largo plazo

Al decidir sobre un nivel de CMMC, debe pensar más allá de sus necesidades inmediatas. Si su organización planea crecer, asumir proyectos más sensibles o ampliar sus contratos con el DoD, podría ser estratégico apuntar a un nivel de CMMC superior para estar preparado para el futuro de su empresa.

Por ejemplo, si sus contratos actuales solo requieren el Nivel 1 de CMMC, obtener la certificación para el Nivel 2 no crítica puede permitirle a su organización gestionar contratos más complejos y lucrativos que involucren CUI en el futuro.

5. Consulte a un experto en CMMC

Los pasos mencionados anteriormente pueden ser difíciles, especialmente si su organización es nueva en el CMMC o maneja una combinación de FCI y CUI.

Si no está seguro del nivel requerido, puede ser de incalculable valor consultar a un asesor de CMMC o experto en ciberseguridad. Estos expertos pueden evaluar sus operaciones, el tipo de información que maneja y las medidas de seguridad actuales y darle consejos sobre el nivel de certificación adecuado.

Los gerentes de cumplimiento de Secureframe, por ejemplo, tienen experiencia en la evaluación y preparación de CMMC, FedRAMP y FISMA, y pueden ayudarle a navegar sus requisitos de cumplimiento y esfuerzos de preparación para el CMMC.

También puede consultar el sitio web del CMMC Accreditation Body (CMMC-AB) y la página del DoD sobre CMMC para obtener orientación y recursos oficiales sobre los requisitos y niveles del CMMC.