La Fase II de CMMC está suspendida. Tus obligaciones DFARS no lo están.
Un solo anuncio del Departamento de Guerra acaba de suspender el único control externo que separaba la puntuación de cumplimiento auto-certificada de un contratista de defensa de una investigación bajo la Ley de Reclamaciones Falsas. El 13 de julio de 2026, el Departamento de Guerra suspendió la Fase II de CMMC – el requisito de evaluación por terceros que iba a entrar en vigor el 10 de noviembre de 2026 – y la prensa especializada lo presentó de inmediato como un alivio regulatorio. No lo es. Es una redistribución del riesgo, y las organizaciones que lo traten como una pausa serán las más expuestas cuando termine el periodo de revisión.
La Directora de Información del Departamento de Guerra, Kirsten Davies, anunció la suspensión tras mostrar datos internos que evidenciaban un problema de capacidad sin solución: más de 100,000 empresas de la Base Industrial de Defensa (DIB) necesitaban una evaluación de una Organización Evaluadora de Terceros CMMC (C3PAO), y solo existían unas 100 C3PAO para realizarlas. «Las cuentas simplemente no cuadran», dijo Davies a los periodistas, según la cobertura de Breaking Defense del 13 de julio. Las Fases 3 y 4 de CMMC también quedaron suspendidas, a la espera de una revisión de 60 días por parte de un nuevo Grupo de Trabajo de Reforma de CMMC, y el Departamento no descarta cancelar el programa por completo una vez finalizada esa revisión.
Qué cambia realmente la suspensión de la Fase II de CMMC para los contratistas DIB
Nada de esto modifica lo que un contratista de defensa está legalmente obligado a hacer hoy. La cláusula DFARS 252.204-7012 exige a contratistas y subcontratistas proteger la información de defensa cubierta desde mucho antes de que existiera CMMC como programa, y el propio comunicado del Departamento afirma claramente que la suspensión «no elimina el requisito de que las empresas protejan los datos federales». Los 110 controles de la Rev 2 de NIST 800-171 no han cambiado. La autoevaluación sigue vigente. Lo que se ha pausado es el control externo de tu trabajo – y para un responsable de cumplimiento, eso es un tipo de alivio muy diferente al que sugieren los titulares.
Kiteworks colabora con contratistas de la Base Industrial de Defensa que navegan precisamente este tipo de vaivenes regulatorios, y el patrón es conocido: un anuncio de desregulación genera una falsa sensación de seguridad justo cuando el riesgo subyacente ha empeorado, no mejorado.
La distinción importa porque los equipos de cumplimiento, los responsables de contratos y los ejecutivos están leyendo ahora los mismos titulares, y la mayoría de esos titulares destacan el alivio antes que el riesgo. Un CISO que saque la conclusión equivocada de este anuncio llegará a la reunión de liderazgo de la próxima semana recomendando que la organización despriorice una inversión en seguridad que debería estar acelerando. Un asesor jurídico general que suponga que el lenguaje contractual de CMMC ha desaparecido silenciosamente pasará por alto una obligación de transferencia que sigue vigente en un subcontrato activo.
Enfocar correctamente el mensaje en las primeras 48 horas tras un anuncio como este no es un ejercicio de comunicación – es la diferencia entre una organización que cierra sus brechas de cumplimiento durante una ventana de 60 días y otra que las descubre durante una investigación bajo la Ley de Reclamaciones Falsas dieciocho meses después. Una revisión de gestión de riesgos en la cadena de suministro que identifique el lenguaje de transferencia CMMC en cada subcontrato activo debe ser la primera acción del equipo legal de un contratista principal esta semana.
Hoja de ruta de cumplimiento CMMC 2.0 para contratistas DoD
Leer ahora
Puntos clave
1. La Fase II de CMMC está suspendida, no eliminada.
El Departamento de Guerra pausó el requisito de evaluación por terceros el 13 de julio de 2026, mientras que la autoevaluación de la Fase 1 y la obligación subyacente de DFARS 252.204-7012 siguen plenamente vigentes.
2. La suspensión es un fallo de capacidad, no un cambio de política.
Más de 100,000 empresas de la Base Industrial de Defensa necesitaban una evaluación de terceros, y solo existían unas 100 C3PAO para realizarlas – un cuello de botella estructural que una revisión de 60 días no puede solucionar.
3. Eliminar el control externo aumenta la exposición a la Ley de Reclamaciones Falsas.
Sin una C3PAO que detecte primero una puntuación SPRS auto-certificada inexacta, esa responsabilidad recae por completo en el contratista – las sanciones civiles actualmente oscilan entre $13,946 y $27,894 por reclamación falsa, más daños triples, y el gobierno ya ha resuelto 15 casos relacionados con ciberseguridad bajo la Ley de Reclamaciones Falsas desde 2021.
4. Las obligaciones de transferencia y las licitaciones existentes no se reinician.
Los contratistas principales siguen debiendo los requisitos de CMMC Nivel 2 a los subcontratistas, y los contratos que mencionan el Nivel 2 siguen vigentes hasta que se modifiquen formalmente, uno por uno.
5. La ventana de comentarios públicos cierra el 14 de agosto de 2026.
La RFI del Departamento pregunta directamente cómo las herramientas de seguridad comerciales podrían contar para un marco futuro, lo que convierte esto en una oportunidad con fecha límite y no en una razón para esperar. Utiliza ahora la metodología de análisis de distancia CMMC, antes de que se reabra la cola de evaluadores, para identificar qué brechas técnicas puedes cerrar durante esta ventana.
El origen fue el atraso, y una revisión de 60 días no lo soluciona
Empieza por el motivo, porque la razón importa más que el anuncio en sí. El Nivel 2 de CMMC exige una evaluación trienal de una C3PAO para contratistas que gestionan Información de Defensa Cubierta (CDI) o Información No Clasificada Controlada (CUI). Ese canal de evaluaciones nunca se diseñó para manejar el volumen que ahora reconoce el propio Departamento. La cobertura de Washington Technology del 13 de julio confirmó que la suspensión de DoW se extiende a la Fase 3 de CMMC (las evaluaciones de Nivel 3 originalmente previstas para noviembre de 2027) y la Fase 4, y que el Departamento publicó una Solicitud Formal de Información (RFI) en SAM.gov ese mismo día, con respuestas de la industria hasta el 14 de agosto de 2026.
Esa RFI merece una lectura atenta, porque indica hacia dónde se dirige realmente esto. Pide a las empresas que opinen sobre los factores de coste y las cargas administrativas asociadas al cumplimiento de CMMC, qué controles de NIST 800-171 realmente aportan reducción de riesgos significativa, y – lo más relevante – cómo el Departamento podría reconocer herramientas y servicios de ciberseguridad comerciales existentes en un marco de cumplimiento futuro en lugar de exigir una evaluación externa para todo.
No es un programa que se esté eliminando. Es un programa que se está rediseñando en torno a la preparación técnica demostrable, respaldada por herramientas, sobre la que ahora debe sustentarse la autoevaluación.
La proporción 100,000 a 100 que citó Davies es un problema estructural, no temporal. Formar y acreditar nuevas C3PAO lleva años, no los 60 días asignados a esta revisión. Cuando regrese la Fase II – y los funcionarios de DoW han sido claros en que no descartan cancelar el programa, pero tampoco se han comprometido a ello – el mismo cuello de botella seguirá existiendo, ahora comprimido en la ventana que establezca el Grupo de Reforma.
Las organizaciones que aprovechen esta pausa para construir una verdadera preparación técnica serán las primeras en pasar por ese canal. Las que lo tomen como excusa para desconectarse competirán con todos los demás por la misma escasa capacidad de evaluadores, al mismo tiempo, otra vez. La lista de verificación de cumplimiento CMMC proporciona el inventario estructurado que convierte «construir preparación técnica real» en una lista de acciones documentada y priorizada, en lugar de una intención general.
No es el primer aplazamiento de CMMC, y esa historia importa
Quien se sienta tentado a ver esta suspensión como prueba de que CMMC se está desmoronando debería revisar cómo llegó realmente el programa hasta aquí. El Departamento lanzó originalmente CMMC 1.0 en 2020 con cinco niveles de madurez y una implementación gradual contrato por contrato.
Esa versión se descartó en 2021 en favor de CMMC 2.0, una estructura simplificada de tres niveles alineada con NIST 800-171, tras la presión de la industria por el coste y la complejidad. El propio proceso normativo de la versión 2.0 tardó unos tres años en finalizar, avanzando por las vías regulatorias 32 CFR y 48 CFR antes de que la Regla Final de CMMC se publicara en 2024 y los requisitos de autoevaluación de la Fase 1 entraran en vigor en noviembre de 2025.
Ese es el patrón a notar: cada versión anterior de este programa se ha revisado en respuesta a exactamente el tipo de problema de implementación que ahora motiva la suspensión de la Fase II. La complejidad de CMMC 1.0 la reemplazó. La capacidad de evaluadores de CMMC 2.0 está pausando la Fase II. En ningún caso desapareció el objetivo subyacente – proteger la Información No Clasificada Controlada que circula por la cadena de suministro de defensa.
Cambió el mecanismo. La obligación no. Leer la suspensión de hoy a la luz de esa historia debería disminuir, no aumentar, la confianza de cualquiera en que este es el final de la verificación externa en vez de otra iteración más.
Por qué eliminar el control externo eleva la importancia de la autoevaluación
Aquí está la parte de la historia que quedó enterrada bajo los titulares de «CMMC ha muerto»: eliminar el control externo no elimina el riesgo del sistema. Traslada el riesgo por completo a la exactitud de la propia declaración del contratista.
CMMC Nivel 1 y los requisitos interinos de la Fase 1 siempre han dependido de la autoevaluación, con resultados publicados en el Supplier Performance Risk System (SPRS) y confirmados por un ejecutivo de la empresa.
Bajo la estructura de la Fase II ahora suspendida, una C3PAO habría verificado de forma independiente esa puntuación auto-certificada antes de que fuera determinante para la adjudicación de un contrato. Con ese control pausado, una puntuación SPRS inexacta ya no es un hallazgo que detecta un tercero durante un ciclo de evaluación – es una declaración que el contratista hace al gobierno federal, sin verificar, que una investigación bajo la Ley de Reclamaciones Falsas puede cuestionar directamente.
La mecánica de esa exposición está bien establecida y es anterior a CMMC. La Iniciativa de Ciberfraude Civil del Departamento de Justicia, lanzada en octubre de 2021, utiliza la Ley de Reclamaciones Falsas específicamente para perseguir declaraciones falsas relacionadas con ciberseguridad por parte de contratistas y beneficiarios de subvenciones del gobierno, y la disposición qui tam de la Ley permite que un particular – un empleado descontento, un competidor, un antiguo subcontratista – presente la reclamación directamente y comparta cualquier recuperación.
Las sanciones civiles actualmente oscilan entre $13,946 y $27,894 por reclamación falsa, ajustadas regularmente por inflación, además de daños triples. El gobierno no duda en perseguir esto: el DOJ resolvió un caso de $8.4 millones bajo la Ley de Reclamaciones Falsas contra Raytheon y su sucesora Nightwing en 2025 por declarar falsamente el cumplimiento de NIST 800-171, y un caso pendiente contra Georgia Tech alega que la universidad presentó una puntuación de evaluación de ciberseguridad falsa al DoD – el mismo fallo que habría detectado un control externo de C3PAO.
Ese cálculo no requiere que ocurra una brecha. Solo requiere que la puntuación auto-certificada del contratista no resista el escrutinio – y sin una C3PAO en el proceso para detectar esa brecha primero, el contratista es la única línea de defensa. Una evaluación de riesgos formal realizada sobre el conjunto de controles NIST 800-171, documentada con el mismo rigor probatorio que aplicaría una C3PAO, es la forma más directa de verificar que una puntuación SPRS auto-certificada resistirá el escrutinio externo.
Por eso, presentar esta suspensión como «menos presión» invierte el cálculo del riesgo. Menos presión externa, en la práctica, significa más responsabilidad directa. Un responsable de cumplimiento que entendía su exposición el 12 de julio debe entenderla aún mejor el 14 de julio, no menos.
Las transferencias contractuales no se reinician con el calendario del Departamento
Otro detalle que pasó desapercibido: la suspensión de fases de DoW es un cambio en los requisitos de auditoría del propio Departamento, no en lo que los contratistas principales deben a los subcontratistas ni en lo que exigen las licitaciones ya existentes. Los principales con cláusulas de transferencia de CMMC Nivel 2 en sus subcontratos siguen teniendo que trasladar esos requisitos a la cadena de suministro – la suspensión del proceso de verificación externa del Departamento no exime al principal de su obligación contractual con los subcontratistas, ni exime al subcontratista de su obligación con el principal.
La misma lógica se aplica a licitaciones y contratos que ya citan CMMC Nivel 2 como condición de adjudicación o desempeño. Breaking Defense informó el 13 de julio que Davies ordenó a los gestores de programas y responsables de contratos modificar o enmendar las licitaciones actuales que contienen los requisitos suspendidos de la Fase II «tan pronto como sea posible» – lo que confirma que esos requisitos no desaparecen; se revisan formalmente, según el calendario del Departamento, contrato por contrato. Hasta que esa enmienda ocurra para un contrato específico, el lenguaje de CMMC Nivel 2 sigue vigente.
Para un asesor jurídico general o un VP de contratos, ese es el detalle que debe impulsar la acción esta semana: audita qué licitaciones y subcontratos activos citan requisitos de la Fase II, y no des por hecho que han sido eliminados solo porque el Departamento hizo un anuncio nacional.
Las disciplinas de gestión de riesgos en la cadena de suministro — en concreto, la práctica de mantener un registro actual y auditable del estado de cumplimiento de cada subcontratista — permiten que esa auditoría se realice en días en vez de semanas. Las organizaciones sin un inventario documentado de cumplimiento de subniveles deben priorizar su creación de inmediato junto con la revisión del lenguaje contractual.
El enfoque de pequeñas empresas que DoW usa para justificar la pausa
La justificación pública de la suspensión se apoya fuertemente en los contratistas pequeños y medianos, y entender ese enfoque es clave para quien evalúe los próximos pasos. La Administración de Pequeñas Empresas elogió públicamente la suspensión el mismo día que se anunció, citando costes de cumplimiento que se acercan a $600,000 para algunas pequeñas empresas y advirtiendo que el marco actual de CMMC estaba expulsando empresas de la Base Industrial de Defensa en vez de atraer nuevos participantes.
Esa es la razón política de la pausa: preservar el nivel básico de seguridad eliminando una barrera de costes que estaba reduciendo la cadena de suministro en vez de protegerla.
Esa perspectiva tiene dos caras para un subcontratista pequeño o mediano que decide qué hacer a continuación. Por un lado, la pregunta de la RFI sobre el reconocimiento de herramientas comerciales es una oportunidad directa para argumentar que la tecnología de seguridad existente de una empresa pequeña debe contar en el marco que reemplace o revise la Fase II.
Por otro lado, una empresa que interprete esta suspensión como permiso para despriorizar totalmente el gasto en seguridad elige estar menos preparada, no más competitiva, cuando se reabra la cola de evaluadores – y se reabrirá para todos a la vez, tanto pequeños como grandes contratistas. Las plataformas de MFT segura y correo electrónico seguro que ya cumplen con controles de NIST 800-171 son exactamente el tipo de herramientas comerciales que pregunta la RFI — las empresas pequeñas que puedan documentar la cobertura de sus herramientas tienen una vía directa para influir en cómo el Grupo de Reforma tratará su postura de cumplimiento.
Por qué «ciberhigiene tangible sobre burocracia administrativa» es un reenfoque, no una retirada
El propio lenguaje del Departamento apunta a dónde va esto realmente, y conviene tomarlo al pie de la letra en vez de verlo como retórica. Los funcionarios de DoW han enmarcado repetidamente el objetivo del Grupo de Reforma de CMMC como la preservación de «un estándar de seguridad estricto» eliminando barreras de coste – en concreto, buscan «ciberhigiene tangible sobre burocracia administrativa».
En términos claros, es una declaración sobre qué tipo de evidencia de cumplimiento valora realmente el Departamento a futuro: controles técnicos demostrables sobre papeleo de evaluaciones.
Ese reenfoque debe cambiar lo que prioriza un contratista DIB durante esta ventana. Una autoevaluación basada en controles de seguridad documentados y operativos – no solo una lista de verificación completada – es intrínsecamente más defendible ante una investigación bajo la Ley de Reclamaciones Falsas, más resiliente ante lo que proponga finalmente el Grupo de Reforma, y mejor posicionada para responder a la pregunta explícita de la RFI sobre el reconocimiento de herramientas comerciales en vez de exigir una revisión externa para todo.
La plataforma de intercambio seguro de datos de Kiteworks está diseñada precisamente para este tipo de preparación técnica demostrable en organizaciones que gestionan CUI y CDI. La plataforma cubre casi el 90% de los requisitos de CMMC Nivel 2 de forma nativa en dominios como Control de Acceso, Gestión de Configuración, Auditoría y Responsabilidad y Protección Física, respaldada por una arquitectura de dispositivo virtual reforzado, cifrado validado FIPS 140-3 Nivel 1 y autorización FedRAMP de impacto moderado – con FedRAMP High actualmente en proceso para su oferta Secure Gov Cloud.
Nada de esto sustituye una evaluación de C3PAO, y ninguna organización debe afirmarlo – la propia guía de equivalencia FedRAMP del Departamento existe precisamente para controlar a los proveedores que se exceden en ese tipo de afirmaciones. Lo que sí aporta son registros de auditoría y controles de acceso que respaldan la puntuación SPRS auto-certificada con evidencia real, independientemente de cuándo se realice la próxima evaluación de C3PAO.
La documentación de cumplimiento de NIST 800-171 que sustenta esta cobertura es exactamente el tipo de paquete probatorio que la RFI indica que el Grupo de Reforma quiere ver reconocido — prueba organizada y auditable de la implementación de controles técnicos, no solo papeleo de evaluaciones.
Qué deben hacer realmente los equipos de cumplimiento antes de que acaben los 60 días
Toma esto como una ventana de trabajo, no una pausa. Cinco acciones deben estar en la lista de un responsable de cumplimiento esta semana:
-
Vuelve a verificar tu puntuación SPRS con evidencia real, no asumiendo que la auto-certificación ahora tiene menos escrutinio. Si una afirmación de control no puede demostrarse con registros, configuraciones o documentación, es un riesgo, no un logro de cumplimiento. Esta es la acción con mayor impacto durante el periodo de revisión, porque es lo primero que examinaría una investigación bajo la Ley de Reclamaciones Falsas.
-
Audita cada licitación y subcontrato activo en busca de lenguaje de CMMC Nivel 2 que aún no haya sido modificado formalmente, y confirma con tu responsable de contratos o principal si las obligaciones de transferencia siguen aplicando. No esperes un aviso; el proceso de enmienda ocurre contrato por contrato, y no hay garantía de que tu acuerdo específico ya haya sido revisado.
-
Redacta una respuesta a la RFI de DoW, con fecha límite el 14 de agosto de 2026, especialmente si tu organización ya utiliza herramientas de seguridad comerciales alineadas con NIST 800-171 – este es un canal formal y con fecha límite para influir en cómo el Grupo de Reforma tratará herramientas como las tuyas, y cierra en aproximadamente un mes.
-
Cierra brechas técnicas ahora, mientras la cola de evaluaciones está pausada, en vez de esperar a que se reanude la Fase II y competir con otras 100,000 empresas por unos 100 evaluadores al mismo tiempo. Una brecha cerrada en agosto cuesta mucho menos, en dinero y en riesgo, que la misma brecha descubierta durante una ventana de reevaluación comprimida después. La aplicación de cifrado, controles de acceso basados en atributos y registros de auditoría inmutables son los tres dominios técnicos donde las brechas autoevaluadas suelen fallar bajo escrutinio externo — cierra estos primero.
-
Documenta tu traza de auditoría y evidencia de control de acceso en un formato que puedas entregar a un investigador bajo la Ley de Reclamaciones Falsas o a una futura C3PAO sin tener que reconstruirla bajo presión. La evidencia reunida después de recibir una citación es mucho más débil que la que ya existía antes de que surgiera la pregunta. Un plan de respuesta a incidentes documentado que relacione cada control IR de NIST 800-171 con un procedimiento específico y probado da a tu paquete de auditoría una capa adicional de credibilidad que una simple lista de verificación no puede aportar.
Las organizaciones que saldrán adelante tras esta ventana de 60 días no son las que se relajaron. Son las que aprovecharon el intervalo entre anuncios para cerrarlas.
Para saber más sobre cómo cerrar brechas de cumplimiento de CMMC 2.0 Nivel 2 mientras las evaluaciones externas están pausadas, solicita una demo personalizada hoy.
Preguntas frecuentes
No. El Departamento de Guerra suspendió el requisito de evaluación por terceros bajo la Fase II, pero las obligaciones de autoevaluación de la Fase 1 siguen vigentes, y la cláusula DFARS 252.204-7012 sigue exigiendo legalmente a contratistas y subcontratistas proteger la información de defensa cubierta. El propio comunicado del Departamento afirma que la suspensión «no elimina el requisito de que las empresas protejan los datos federales». Las organizaciones deben seguir trabajando hacia el cumplimiento de CMMC 2.0 en vez de tratar esto como un alivio de la obligación subyacente. Una evaluación de riesgos realizada sobre el conjunto completo de 110 controles de NIST 800-171 — documentada con el mismo rigor probatorio que aplicaría una C3PAO — es la postura más defendible durante el periodo de suspensión y el insumo más útil para el proceso de RFI del Grupo de Reforma de CMMC.
La CIO de DoW, Kirsten Davies, citó un desajuste de capacidad: más de 100,000 empresas de la Base Industrial de Defensa necesitaban una evaluación de terceros de una C3PAO, mientras que solo existían unas 100 C3PAO para realizarlas, lo que hacía inviable la fecha límite original del 10 de noviembre de 2026. Un nuevo Grupo de Reforma de CMMC está revisando ahora el programa durante 60 días, con una Solicitud Pública de Información abierta hasta el 14 de agosto de 2026. La RFI pregunta específicamente sobre el potencial de que herramientas de seguridad comerciales cuenten para un marco de cumplimiento futuro — las organizaciones con herramientas ya alineadas con NIST 800-171 deben ver la RFI como una oportunidad directa para documentar y presentar esa cobertura antes de que cierre la ventana de comentarios. La documentación de la plataforma de cumplimiento NIST 800-171 que respalda la cobertura de controles de una herramienta es exactamente el tipo de evidencia que el Grupo de Reforma indica que quiere reconocer.
Puedes aumentarlo. Sin una C3PAO verificando de forma independiente la puntuación SPRS auto-certificada de un contratista, una declaración inexacta ya no la detecta un tercero antes de que sea vinculante – es una afirmación que el contratista hace directamente al gobierno federal. Las sanciones civiles y la disposición qui tam de la Ley de Reclamaciones Falsas aplican a una declaración falsa independientemente de si hubo un evaluador externo, así que la autoevaluación precisa y respaldada por evidencia importa más, no menos, durante esta suspensión. La documentación de gobernanza de datos que registre exactamente qué controles están implementados, con qué configuración y con qué evidencia — mantenida de forma continua en vez de reunida antes de la evaluación — es la práctica organizativa que más limita la exposición bajo la Ley de Reclamaciones Falsas en un periodo sin control externo.
No automáticamente. DoW ha ordenado a los gestores de programas y responsables de contratos modificar o enmendar licitaciones y contratos que contengan los requisitos suspendidos de la Fase II, pero eso ocurre contrato por contrato según el calendario del Departamento. Hasta que un contrato o subcontrato específico sea modificado formalmente, su lenguaje actual de CMMC Nivel 2 y cualquier obligación de transferencia asociada de DFARS siguen vigentes. Las disciplinas de gestión de riesgos en la cadena de suministro — en concreto, mantener un registro actual y auditable del estado de cumplimiento de cada subcontratista y del lenguaje CMMC de cada contrato activo — permiten que la auditoría requerida se realice en días en vez de semanas. Las organizaciones sin un inventario documentado de cumplimiento de subniveles deben priorizar su creación de inmediato junto con la revisión del lenguaje contractual.
Aprovecha la ventana para cerrar brechas técnicas en vez de esperar a que se reanude la Fase II. Eso significa verificar las puntuaciones SPRS con evidencia real, auditar contratos activos en busca de lenguaje de CMMC Nivel 2 no modificado, documentar evidencia de traza de auditoría y control de acceso, y considerar una respuesta a la RFI de DoW antes de la fecha límite del 14 de agosto de 2026. Las organizaciones que construyan preparación demostrable ahora evitarán competir con el atraso completo de 100,000 empresas cuando se reanuden las evaluaciones externas. Un plan de respuesta a incidentes que relacione cada control IR de NIST 800-171 con un procedimiento específico y probado es un artefacto de auditoría especialmente valioso — demuestra el tipo de postura de seguridad operativa que sugiere el lenguaje de «ciberhigiene tangible» del Grupo de Reforma, y suele ser la brecha más visible cuando los programas de cumplimiento han priorizado completar listas de verificación sobre la preparación operativa probada.
Recursos adicionales
- Artículo del Blog
Cumplimiento CMMC para pequeñas empresas: retos y soluciones - Artículo del Blog
Guía de cumplimiento CMMC para proveedores DIB - Artículo del Blog
Requisitos de auditoría CMMC: lo que los evaluadores necesitan ver para medir tu preparación CMMC - Guía
Mapeo de cumplimiento CMMC 2.0 para comunicaciones de contenido sensible - Artículo del Blog
El verdadero coste del cumplimiento CMMC: lo que los contratistas de defensa deben presupuestar