La Certificación del Modelo de Madurez de Ciberseguridad (CMMC) es un programa lanzado por el Departamento de Defensa (DoD) para asegurar que las empresas que colaboran con él adopten medidas de ciberseguridad adecuadas para proteger información sensible. Piense en todos los datos importantes que procesan las empresas de defensa: planes, comunicaciones, detalles de proyectos. El DoD quiere asegurar que esta información esté bien protegida contra las ciberamenazas.
En 2019, el DoD comenzó a desarrollar un marco para asegurar que los contratistas y subcontratistas cumplan con ciertos estándares de seguridad. Este marco se basa en los requisitos existentes de DFARS 252.204-7012 y añade una forma de verificar el cumplimiento a través de una certificación de terceros. La propuesta de regla es esencialmente una colección de políticas y requisitos que se implementan para que todos estén en la misma página.
El desarrollo del CMMC fue un proceso paso a paso. Por ejemplo, el CMMC 1.0 se introdujo bajo una regla provisional en 2020. En noviembre de 2021, el DoD anunció el CMMC 2.0, que sienta las bases para la última propuesta de regla final que se publicó el 26 de diciembre de 2023.
La propuesta de regla final del CMMC introduce un marco con tres niveles de prácticas de ciberseguridad. Cada nivel se basa en el anterior y se vuelve más avanzado:
- Nivel 1: Básico - Prácticas básicas que todos deberían realizar, como actualizar el software antivirus y gestionar las contraseñas.
- Nivel 2: Avanzado - Prácticas más integrales que cumplen con NIST SP 800-171, como cifrado y planes de respuesta a incidentes.
- Nivel 3: Experto - Para la información más sensible, con medidas avanzadas como monitoreo continuo y caza proactiva de amenazas.
¿Por qué tres niveles? No todos los contratistas procesan los mismos tipos de información. Algunos pueden manejar solo detalles básicos de contratos, mientras que otros procesan planes detallados o comunicaciones sensibles. Los tres niveles permiten a las empresas ajustar sus esfuerzos de seguridad al tipo de información que procesan y dan a los responsables del DoD y a los titulares de contratos la seguridad de que las organizaciones con las que colaboran protegen sus datos según un estándar establecido.
¿Quién debe cumplir con la propuesta de regla final del CMMC?
Si usted es un empresario o subcontratista que trabaja con el DoD, debe obtener una certificación en uno de estos niveles. El nivel específico que necesita depende del tipo de contratos por los que ofrece y de la sensibilidad de la información involucrada.
Para los niveles 2 y 3, debe ser evaluado por una organización externa para asegurarse de que realmente sigue las prácticas requeridas. El nivel 1 a menudo puede ser autoevaluado, pero aún requiere prueba de cumplimiento de las prácticas básicas.
¿Cuándo entra en vigor la regla final propuesta del CMMC?
El cronograma de implementación de CMMC 2.0 aún está en desarrollo y puede cambiar, pero el DoD ha mencionado una implementación gradual en los próximos años.
Las reglas de CMMC se implementarán de manera gradual, de modo que la certificación será obligatoria para la obtención de contratos federales para el 2028. Aquí está el plan:
- Fase 1: Requiere autoevaluaciones de CMMC Nivel 1 o Nivel 2 para ciertos contratos. Comienza con la entrada en vigor de la regla DFARS.
- Fase 2: Requiere evaluaciones oficiales de CMMC Nivel 2. Comienza seis meses después del inicio de la Fase 1.
- Fase 3: Involucra evaluaciones de CMMC Nivel 3. Comienza un año después del inicio de la Fase 2.
- Fase 4: Implementación completa para todos los contratos afectados. Comienza un año después del inicio de la Fase 3.
El DoD planea incorporar requisitos de CMMC para los niveles 1, 2 y 3 en todos los nuevos contratos a partir del 1 de octubre de 2026. Es decir, se deben cumplir algunas condiciones antes de que estas fases puedan comenzar. En particular, la regla debe presentarse al Congreso a mediados de octubre de 2024 para que pueda ser finalizada a finales de diciembre de 2024.
¿Por qué? La fase de revisión del Congreso no puede superponerse de un Congreso a otro. Dado que 2024 es un año electoral, un nuevo Congreso tomará posesión a principios de enero de 2025, lo que podría retrasar el proceso. Si la regla se presenta al Congreso a finales de octubre, el CMMC se finalizará a finales de diciembre o principios de enero de 2025. Si la regla se presenta al Congreso después de octubre, el CMMC se finalizará en algún momento de marzo de 2025.
Preguntas frecuentes
¿Cuál es la regla propuesta del CMMC?
La normativa propuesta del Modelo de Certificación de Madurez en Ciberseguridad (CMMC) es un conjunto de directrices y requisitos establecidos por el Departamento de Defensa (DoD) para garantizar que los contratistas de defensa implementen prácticas adecuadas de ciberseguridad para proteger la información sensible. Introduce un marco escalonado con tres niveles de seguridad, cada uno de los cuales se vuelve progresivamente más complejo y exigente.
¿Está completo el proceso regulatorio para el CMMC 2.0?
En septiembre de 2024, el proceso regulatorio para el CMMC 2.0 aún no está completo. El DoD sigue finalizando las normas y requisitos. El proceso regulatorio incluye fases de comentarios públicos y revisiones antes de que las normas finales se publiquen oficialmente.
¿Ya es obligatorio el CMMC?
A partir de septiembre de 2024, el CMMC 2.0 aún no es completamente obligatorio para todos los contratos de defensa. La implementación de los requisitos del CMMC se introducirá gradualmente y los plazos específicos y requisitos se detallarán en futuros contratos del DoD a medida que avance el proceso regulatorio.
¿Cuál es la normativa provisional para el CMMC?
La normativa provisional para el CMMC es un conjunto temporal de directrices emitidas por el DoD para comenzar con la implementación de los requisitos del CMMC mientras el proceso regulatorio definitivo aún está en marcha. Esta normativa provisional ofrece las primeras directrices y requisitos para que los contratistas de defensa puedan comenzar a prepararse para la conformidad con el CMMC.
La normativa provisional del CMMC se basa en el DFARS y ha establecido un enfoque escalonado a lo largo de cinco años para la implementación del CMMC, durante el cual la conformidad con el CMMC solo es requerida en ciertos contratos piloto aprobados por la Oficina del Subsecretario Adjunto de Adquisiciones y Sostenibilidad de Defensa (OUSD (A&S)).
La diferencia entre una normativa propuesta y una normativa provisional radica en el momento en que las modificaciones entran en vigor en comparación con la fase de comentarios públicos antes de la publicación de una normativa definitiva. Una normativa provisional entra en vigor antes de que el DoD responda a los comentarios del público, mientras que una normativa propuesta entra en vigor después de que el DoD haya respondido a los comentarios del público. El CMMC 1.0 fue una normativa provisional, mientras que el CMMC 2.0 es una normativa propuesta.
La normativa propuesta del CMMC establece los requisitos de seguridad para el FCI y el CUI, incluye una fase de comentarios públicos y revisión, y aún está en proceso de finalización.
¿Se ha publicado el CMMC 2.0?
El CMMC 2.0 ha sido anunciado y se encuentra en la fase final de finalización, pero hasta septiembre de 2024 aún no se ha implementado completamente. El DoD está trabajando en los últimos detalles y normas, y la publicación e implementación oficiales seguirán una vez que se complete el proceso regulatorio.
Utiliza la confianza para acelerar el crecimiento
Solicite una demostración
