El CMMC es un marco desarrollado por el Departamento de Defensa de los Estados Unidos (DoD) para garantizar la protección de información sensible no clasificada que el Departamento comparte con sus contratistas y subcontratistas, incluyendo la Información de Contrato Federal (FCI) y la Información No Clasificada Controlada (CUI).

Si usted es un contratista o subcontratista que cumple con los requisitos de ciberseguridad para programas y sistemas de adquisición que procesan este tipo de información, es esencial entender los requisitos específicos de su nivel de certificación y el modelo CMMC más reciente para lograr y mantener el cumplimiento.

En este blog desglosaremos los requisitos del CMMC 2.0, examinaremos lo que se requiere en cada nivel de certificación y responderemos preguntas frecuentes sobre los requisitos de CMMC.

Cláusulas DFARS

Para entender los requisitos de CMMC, primero debemos abordar la historia del programa CMMC, comenzando con las adiciones al Suplemento de Regulación de Adquisiciones Federales de Defensa (DFARS).

En respuesta al aumento de amenazas cibernéticas dirigidas a la base industrial de defensa (DIB), la cláusula DFARS 252.204-7012 fue publicada en el Registro Federal y entró en vigor en 2015. Esto obligó a los contratistas y subcontratistas a proteger la CUI implementando los requisitos de ciberseguridad del NIST SP 800-171, lo cual representó un paso importante para fortalecer la seguridad nacional de los EE.UU.; sin embargo, el DoD quería una mayor seguridad de que los contratistas y subcontratistas realmente implementaran los requisitos de ciberseguridad del DoD y fueran capaces de proteger la información no clasificada.

Por lo tanto, el DoD anunció en 2019 el desarrollo del CMMC, un programa dirigido a alejarse de un modelo de seguridad basado en autodeclaraciones y asegurar adecuadamente la DIB contra amenazas cibernéticas en evolución.

En septiembre de 2020, el DoD publicó la regla DFARS provisional, el Suplemento de Regulación de Adquisiciones Federales de Defensa: Evaluación de la Implementación de los Requisitos de Ciberseguridad por parte de los Contratistas. Diseñada para reforzar la cláusula DFARS 252.204-7012, aumentar el cumplimiento con las regulaciones de ciberseguridad y mejorar la protección de la información no clasificada dentro de la cadena de suministro del DoD, esta regla introdujo tres nuevas cláusulas: cláusula DFARS 252.204-7019, cláusula DFARS 252.204-7020 y cláusula DFARS 252.204-7021.

Esta regla provisional implementaba la visión original del DoD para el programa CMMC (CMMC 1.0) al describir las características fundamentales del marco para asegurar FCI y CUI (es decir, un modelo con niveles de prácticas y procesos, evaluaciones requeridas e implementación a través de contratos).

Después de recibir cientos de comentarios públicos sobre el programa CMMC 1.0 y realizar una revisión interna de la implementación del CMMC, el Departamento de Defensa (DoD) anunció el CMMC 2.0 en noviembre de 2021.

Antes de revisar los requisitos del CMMC 2.0, es importante comprender bien las cláusulas DFARS 7012, 7019, 7020 y 7021.

Cláusula DFARS 252.204-7012

El CMMC complementa la cláusula DFARS 252.204-7012, que fue publicada en el Registro Federal y entró en vigor en 2015. Los principales requisitos de esta cláusula son:

Conformidad con NIST 800-171: DFARS 7012 requiere que los contratistas y subcontratistas protejan la Información No Clasificada Controlada (CUI) mediante la implementación de los requisitos de ciberseguridad del NIST SP 800-171. Deben desarrollar un Plan de Seguridad del Sistema (SSP) que detalle las políticas y procedimientos que su organización ha implementado para cumplir con el NIST SP 800-171.
Transferencia de Requisitos a Subcontratistas: Los contratistas de defensa deben transferir todos los requisitos a sus subcontratistas.
Reporte de Incidentes: En respuesta a un incidente cibernético, DFARS 7012 exige que las organizaciones informen al DoD a través de procedimientos formales de reporte. Este informe debe incluir cualquier malware recuperado y aislado durante el incidente, así como imágenes y registros de todos los sistemas de información afectados por al menos 90 días a partir de la presentación del informe del incidente cibernético.

Cláusula DFARS 252.204-7019

La cláusula DFARS 252.204-7019 refuerza la cláusula DFARS 252.204-7012 al exigir a los contratistas que realicen una autoevaluación del NIST SP 800-171 de acuerdo con la metodología de evaluación del DoD NIST SP 800-171. Estos valores de autoevaluación deben ser reportados al Sistema de Riesgo de Desempeño de Proveedores (SPRS). Los valores de SPRS deben ser presentados y estar actualizados (es decir, tener menos de tres años) para ser considerados en la adjudicación de un contrato.

Cláusula DFARS 252.204-7020

La cláusula DFARS 252.204-7020 refuerza las obligaciones de transferencia de la cláusula DFARS 252.204-7012 al hacer que los contratistas sean responsables de confirmar que sus subcontratistas tienen valores SPRS registrados antes de adjudicarles contratos.

También exige que los contratistas otorguen al DoD acceso a sus instalaciones, sistemas y empleados en caso de que el Ministerio necesite realizar una evaluación de mayor nivel de la conformidad de ciberseguridad de los contratistas.

DFARS 252.204-7021

Con entrada en vigor prevista para el 1 de octubre de 2025, la cláusula DFARS 252.204-7021 requiere que los contratistas tengan el nivel de certificación CMMC requerido en el contrato del DoD en el momento de la adjudicación del contrato y lo mantengan durante toda la duración del contrato. También establece que los contratistas son responsables de transferir los requisitos del CMMC a sus subcontratistas. Esto significa que todos los subcontratistas deben cumplir con el mismo nivel del CMMC.

Ahora que entendemos mejor las cláusulas DFARS y cómo implementaron la visión original del DoD para el CMMC 1.0, consideremos la versión más reciente del programa.

Requisitos del CMMC 2.0

Con la introducción del CMMC 2.0, el Departamento de Defensa (DoD) ha simplificado el proceso de certificación mientras mantiene altos estándares de seguridad. El CMMC 2.0 se centra en tres niveles de certificación diferentes, cada uno adaptado a distintos tipos de información y riesgos.

El núcleo de los requisitos del CMMC 2.0 se basa en la implementación y documentación de prácticas de ciberseguridad que estén alineadas con estándares de ciberseguridad establecidos y ampliamente reconocidos.

Los cambios más importantes entre los requisitos del CMMC 1.0 y el CMMC 2.0 son los siguientes:

Reducción de cinco a tres niveles: El CMMC 2.0 simplifica el modelo original de cinco a tres niveles. Cada nivel incluye prácticas de ciberseguridad y requisitos de evaluación cada vez más estrictos, dependiendo del tipo y la sensibilidad de la información que maneja la organización.
Alineación con los estándares de ciberseguridad del NIST: El marco del CMMC 2.0 está fuertemente alineado con los estándares del NIST, en particular con el NIST SP 800-171 para el Nivel 2 y con el NIST SP 800-171 y el NIST SP 800-172 para el Nivel 3.
Evaluaciones simplificadas: El CMMC 2.0 tiene como objetivo racionalizar el proceso de evaluación y reducir los costos asociados, permitiendo que todas las empresas del Nivel 1 y algunas del Nivel 2 demuestren su conformidad a través de autoevaluaciones.
Mayor flexibilidad: El CMMC 2.0 también aumenta la flexibilidad en la implementación de los requisitos. En particular, bajo ciertas circunstancias limitadas, permite a las empresas establecer planes de acción y hitos (POA&Ms) para obtener la certificación y permite que el gobierno prescinda de los requisitos del CMMC.

¿Cuáles son las áreas del CMMC?

El modelo CMMC 2.0 consta de 14 áreas que representan un aspecto crítico de la postura de ciberseguridad de una organización. Cada área incluye una serie de prácticas que deben implementarse y mantenerse para proteger FCI y CUI. Al igual que su predecesor, el CMMC 2.0 organiza estas prácticas en áreas para ofrecer un enfoque estructurado en la construcción y evaluación de capacidades de ciberseguridad.

Estas áreas y prácticas crean y forman los requisitos del marco CMMC, a los que las organizaciones deben cumplir.

Las áreas CMMC corresponden a las familias especificadas en NIST SP 800-171 y comprenden las siguientes:

Control de acceso (AC): Controla quién puede acceder a sistemas y datos para garantizar que solo los usuarios autorizados puedan acceder a información confidencial.
Auditoría y responsabilidad (AU): Garantiza que las actividades se registren y supervisen, lo que permite la detección e investigación de incidentes de seguridad.
Conciencia y formación (AT): Se centra en educar a los empleados sobre políticas de seguridad, procedimientos y mejores prácticas para reducir errores humanos y mejorar la seguridad organizacional.
Gestión de la configuración (CM): Incluye la configuración y el mantenimiento adecuados de sistemas y dispositivos para garantizar que las configuraciones de seguridad se apliquen de manera consistente.
Identificación y autenticación (IA): Verifica la identidad de usuarios y dispositivos antes de permitirles acceder a los sistemas y asegura que solo las entidades legítimas puedan interactuar con información sensible.
Respuesta a incidentes (IR): Desarrolla e implementa procedimientos para identificar, manejar y mitigar el impacto de los incidentes de ciberseguridad.
Mantenimiento (MA): Garantiza que los sistemas sean mantenidos regularmente y de manera segura, incluyendo la aplicación de parches y actualizaciones.
Protección de medios (MP): Protege la información sensible almacenada en diversos tipos de medios y asegura que se maneje y disponga de ella correctamente.
Seguridad del personal (PS): Se ocupa de las medidas de seguridad relacionadas con la contratación, capacitación y gestión del personal que tiene acceso a información sensible.
Seguridad física (PE): Controla el acceso físico a instalaciones, sistemas y dispositivos y asegura que solo el personal autorizado tenga acceso a áreas sensibles.
Evaluación de riesgos (RA): Identifica, evalúa y mitiga riesgos para los sistemas de información y los datos de la organización.
Evaluación de seguridad (CA): Evalúa regularmente la efectividad de los controles y prácticas de seguridad y asegura una mejora continua.
Protección de sistemas y comunicaciones (SC): Protege la información y los sistemas de la organización durante la transmisión y asegura que la comunicación sea segura.
Integridad del sistema y la información (SI): Asegura que los sistemas y datos estén protegidos contra modificaciones no autorizadas y que la integridad se mantenga en todos los sistemas.

Estas áreas proporcionan un enfoque integral para la ciberseguridad y cubren todos los aspectos, desde la gestión del control de acceso y la respuesta a incidentes hasta la evaluación de riesgos y la integridad de los sistemas e información. Las organizaciones que aspiran a una certificación CMMC 2.0 deben implementar y documentar las prácticas en estas áreas, de acuerdo con el nivel de certificación deseado.

Vamos a examinar más de cerca estos niveles y sus respectivos requisitos a continuación.

Requisitos de cumplimiento del CMMC

Cada organización que procese FCI o CUI debe alcanzar uno de los tres niveles del CMMC, como se establece en su contrato, para ser elegible para trabajos relacionados con la defensa.

Cada nivel del CMMC es acumulativo. Esto significa que una organización que busque una certificación de nivel 2 o 3 del CMMC debe demostrar su conformidad con los requisitos de los niveles inferiores.

Abordaremos cada nivel y los requisitos asociados a continuación, comenzando con el nivel 1.

Requisitos para el nivel 1 del CMMC.

El nivel 1 del CMMC, también conocido como nivel básico, está diseñado para organizaciones que procesan FCI. Se centra en prácticas básicas de ciberhigiene que son fundamentales para la protección de la información.

A continuación, se presenta un resumen de los principales requisitos para el nivel 1 del CMMC.

17 prácticas especificadas en la cláusula FAR 52.204-21: Los contratistas de nivel 1 deben implementar 17 prácticas básicas de ciberseguridad derivadas de la Regulación Federal de Adquisiciones (FAR) 52.204-21.
Áreas: Los requisitos del nivel 1 cubren seis de las 14 áreas, incluyendo control de acceso, identificación y autenticación, seguridad de medios, protección física, protección de sistemas y comunicaciones, e integridad de sistemas e información.
Autoevaluación: La certificación de nivel 1 requiere una autoevaluación anual con una confirmación de conformidad por parte de un responsable de la empresa.

Requisitos para el nivel 2 del CMMC

El nivel 2 del CMMC, o nivel avanzado, está dirigido a organizaciones que trabajan con CUI. Se les exige alcanzar un nivel más alto de ciberhigiene que los contratistas de nivel 1, implementando 110 prácticas que cumplen con el NIST SP 800-171.

A continuación, se presenta un resumen de los principales requisitos para el nivel 2 del CMMC.

110 prácticas que cumplen con el NIST 800-171: Los contratistas de nivel 2 deben implementar 110 prácticas de seguridad que cumplan con el NIST 800-171 para proteger el CUI.
Áreas: Los requisitos del nivel 2 cubren las 14 áreas.
Evaluaciones por terceros certificados (C3PAO) con excepciones: La mayoría de las certificaciones de nivel 2 requieren evaluaciones trienales por una Organización de Evaluación de Terceros Certificados (C3PAO). Algunos contratistas de nivel 2 que trabajan con CUI pero participan en proyectos sin información nacional de seguridad sensible (también conocidos como

adquisiciones no prioritarias

) pueden, sin embargo, realizar autoevaluaciones trienales y confirmaciones anuales por parte de la alta dirección.

Requisitos para el nivel 3 del CMMC

El nivel 3 del CMMC, o nivel experto, está destinado a organizaciones que trabajan con el CUI más sensible y enfrentan amenazas avanzadas y persistentes (APT). Este nivel es el más exigente en el marco del CMMC 2.0 y requiere la implementación de más de 110 prácticas de seguridad.
A continuación, se presenta un resumen de los principales requisitos para el nivel 3 del CMMC.
Más de 110 prácticas basadas en NIST 800-171 y 800-172: El nivel 3 se basa en las prácticas requeridas en los niveles 1 y 2 al integrar controles adicionales del NIST SP 800-172 que se centran en combatir APTs.
Áreas: Los requisitos del nivel 3 cubren las 14 áreas.
Medidas proactivas de ciberseguridad: Los contratistas de nivel 3 deben demostrar una postura de ciberseguridad proactiva y madura, con un enfoque en la monitorización continua, detección y respuesta a amenazas cibernéticas sofisticadas.

FAQ

¿Cuáles son los requisitos de conformidad CMMC?

Los requisitos de conformidad del CMMC incluyen la implementación y documentación de prácticas de ciberseguridad específicas para proteger FCI y CUI. Estos requisitos se distribuyen en tres niveles diferentes, y cada nivel exige controles y prácticas de seguridad cada vez más rigurosos para garantizar que las organizaciones sean capaces de proteger adecuadamente la información sensible contra las amenazas cibernéticas.

¿Cuáles son las prácticas del CMMC?

El CMMC se divide en tres niveles de certificación. Cada nivel consiste en una serie de requisitos o prácticas diseñadas para proteger FCI y CUI. Estas prácticas están organizadas en dominios que cubren varios aspectos de la ciberseguridad, como por ejemplo:

Control de acceso: gestionar quién tiene acceso a sus sistemas y datos.
Respuesta a incidentes: preparación y respuesta a incidentes de ciberseguridad.
Evaluación de riesgos: identificar, evaluar y mitigar riesgos para sus sistemas de información.
Evaluación de seguridad: evaluación regular de la efectividad de sus prácticas de ciberseguridad.

¿Cuáles son los requisitos del nivel 1 del CMMC?

Los requisitos del nivel 1 del CMMC se centran en prácticas básicas de ciberhigiene diseñadas para proteger el FCI. Comprenden 17 prácticas básicas de ciberseguridad derivadas del FAR 52.204-21. Estas prácticas se centran en controles básicos como la gestión de acceso, la identificación de usuarios y la protección de medios, y aseguran que los contratistas puedan cumplir con los estándares mínimos para proteger la información federal.

¿Cuáles son las principales diferencias entre los requisitos del nivel 1 y nivel 2 de CMMC 2.0?

El nivel 1 de CMMC 2.0, también conocido como nivel básico, requiere la implementación de 17 prácticas básicas de ciberhigiene diseñadas para proteger el FCI. El nivel 2, también conocido como nivel avanzado, requiere la implementación de 110 prácticas alineadas con el NIST SP 800-171 para proteger el CUI. El nivel 2 generalmente también requiere evaluaciones de terceros, mientras que el nivel 1 puede ser autoevaluado.

¿Cómo están relacionados NIST SP 800-171 y CMMC?

El CMMC es una derivación del NIST 800-171, específicamente para contratistas del DoD y todas las demás organizaciones que prestan servicios que incluyen CUI o FCI para agencias gubernamentales. Según CMMC 2.0, el nivel avanzado (Nivel 2) corresponde al NIST SP 800-171. El nivel experto (Nivel 3) se basa en los requisitos del NIST SP 800-171 y del NIST SP 800-172. El nivel básico (Nivel 1) se basa a su vez en el FAR 52.204-21.

¿Cuáles son los requisitos para el Nivel 5 del CMMC?

El Nivel 5 del CMMC existía bajo el modelo CMMC 1.0. CMMC 2.0 simplificó el modelo de cinco a tres niveles de conformidad. Así, el Nivel 5 de CMMC 1.0 ahora corresponde al Nivel 3 en el modelo CMMC 2.0. Este nivel representa el grado más alto de madurez en ciberseguridad dentro del marco de CMMC y se centra en la protección de CUI contra APTs. Comprende más de 110 requisitos basados en NIST 800-171 y NIST 800-172. Basado en los requisitos de los niveles más bajos con medidas de ciberseguridad adicionales, avanzadas y proactivas, los requisitos del Nivel 3 incluyen detección avanzada de amenazas, respuesta a incidentes y monitoreo continuo.

Aprovechar la confianza para acelerar el crecimiento

Solicitar una demostración

Producto

Gestión de Riesgos

Revisiones de Seguridad de Proveedores

Frameworks Soportados

Soluciones

Principales Frameworks

Tipos de Socios

Programa de Socios

Recursos de Seguridad y Cumplimiento

Recursos del Marco

Recursos para Clientes

Empresa

¿Cuáles son los requisitos de CMMC?

Cláusulas DFARS

Cláusula DFARS 252.204-7012

Cláusula DFARS 252.204-7019

Cláusula DFARS 252.204-7020

DFARS 252.204-7021

Requisitos del CMMC 2.0

¿Cuáles son las áreas del CMMC?

Requisitos de cumplimiento del CMMC

Requisitos para el nivel 1 del CMMC.

Requisitos para el nivel 2 del CMMC

adquisiciones no prioritarias

FAQ

Aprovechar la confianza para acelerar el crecimiento

Resumen del CMMC

¿Qué es la certificación del Modelo de Madurez de Ciberseguridad?

La regla final propuesta del CMMC: qué es y cuándo entra en vigor

¿Quién necesita la certificación CMMC?

¿Por qué es importante el CMMC? Beneficios de la certificación CMMC

Controles CMMC 2.0 y su implementación en su empresa

Comparación del CMMC con otros marcos federales

CMMC vs NIST 800-171: ¿Reemplaza CMMC 2.0 a NIST?

CMMC 2.0 vs. FedRAMP: Principales diferencias y cómo elegir

Comparación de CMMC 2.0 y NIST 800-53: ¿Qué marco es adecuado para su organización?

Navegando por el Cumplimiento Federal: ¿Necesita CMMC, FedRAMP o alguno de los marcos de NIST?

Requisitos de CMMC

¿Cuáles son los requisitos de CMMC?

Cómo determinar su nivel de certificación CMMC

¿Qué tipo de evaluación CMMC necesita?

Cómo utilizar los servicios de la nube gubernamental para acelerar el cumplimiento de CMMC

Proceso de certificación CMMC

Organizaciones de Evaluación de Terceros Certificados (C3PAO): Comprenda su rol y cómo elegir una para su certificación CMMC

Automatización del Cumplimiento de CMMC

Manual vs. Automatizado: Simplifique el cumplimiento CMMC

Ahorro de costos y tiempo mediante la automatización del cumplimiento de CMMC

Por qué la automatización del cumplimiento de CMMC abre mejores perspectivas de seguridad

Mantener la conformidad con CMMC

CMMC Herramientas y Recursos

CMMC Compliance Checklists

Plantillas de documentación CMMC

Entrenamiento CMMC