Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Cumplimiento CMMC > Ahora es definitivo: la norma 48 CFR DFARS establece requisitos CMMC para contratistas de defensa
CMMC 2.0 es obligatorio: Lo que los contratistas del DoD deben saber ahora

Ahora es definitivo: la norma 48 CFR DFARS establece requisitos CMMC para contratistas de defensa

by Danielle Barbour updated septiembre 10, 2025 Cumplimiento CMMC
Reading Time: 8 minutes

La Certificación del Modelo de Madurez en Ciberseguridad (CMMC) 2.0 es el marco más reciente del Departamento de Defensa (DoD) diseñado para proteger información no clasificada sensible dentro de la Base Industrial de Defensa (DIB). Este programa asegura que los contratistas y subcontratistas del DoD implementen medidas de ciberseguridad adecuadas para proteger la información sobre contratos federales (FCI) y la información no clasificada controlada (CUI). Los objetivos principales de CMMC 2.0 son fortalecer la postura de ciberseguridad de la DIB, proteger la información no clasificada sensible contra robos y espionaje, y crear un estándar uniforme de ciberseguridad en toda la cadena de suministro de defensa.

Con la reciente publicación de 48 CFR como regla final, los contratistas de defensa ahora enfrentan requisitos concretos adicionales para la protección de información no clasificada sensible. Este artículo del blog ofrece una visión general de estos requisitos, los plazos de implementación y las mejores prácticas para el cumplimiento.

Cumplimiento CMMC 2.0 Hoja de ruta para contratistas del DoD

Leer ahora

¿Qué son 48 CFR, 32 CFR y CMMC 2.0?

48 CFR – Suplemento de Regulación Federal de Adquisiciones de Defensa (DFARS)

El Título 48 del Código de Regulaciones Federales contiene las Regulaciones Federales de Adquisiciones (FAR) y sus suplementos, incluido el Suplemento de Regulación Federal de Adquisiciones de Defensa (DFARS). La regla final publicada recientemente en 48 CFR incluye la cláusula DFARS 252.204-7021, que exige requisitos CMMC para los contratistas de defensa. Esta cláusula establece que los contratistas y subcontratistas deben implementar estándares de ciberseguridad específicos según la sensibilidad de la información que gestionan. La regla requiere que los contratistas de defensa alcancen los niveles de certificación CMMC apropiados como condición para la adjudicación de contratos.

32 CFR – Regulaciones de Defensa Nacional

El Título 32 CFR contiene regulaciones relacionadas con la defensa nacional, incluyendo la Parte 170, que establece el Programa CMMC. 32 CFR fue publicado en octubre de 2024. La Sección 170.14 describe específicamente el Modelo CMMC, detallando los requisitos de ciberseguridad en cada nivel. Este marco regulatorio explica cómo el DoD evaluará el cumplimiento de los contratistas con los requisitos de protección de la información.

CMMC 2.0 – Certificación del Modelo de Madurez en Ciberseguridad

CMMC es un estándar unificado diseñado para mejorar la protección de FCI y CUI dentro de la DIB. Como se detalla en el documento de descripción general del Modelo CMMC del DoD, CMMC incorpora requisitos de seguridad de la cláusula FAR 52.204-21 (Protección Básica de los Sistemas de Información de Contratistas Cubiertos), NIST SP 800-171 Rev 2 (Protección de Información No Clasificada Controlada en Sistemas y Organizaciones No Federales) y un subconjunto de requisitos de NIST SP 800-172 (Requisitos Mejorados de Seguridad para Proteger Información No Clasificada Controlada).

¿Quién debe obtener la certificación CMMC 2.0?

Las empresas que forman parte de la cadena de suministro de defensa deben obtener la certificación CMMC. El cumplimiento con CMMC, y finalmente la certificación CMMC, demuestra que una organización ha seguido el marco CMMC 2.0. Este proceso de certificación es fundamental, ya que garantiza que las empresas que gestionan datos sensibles relacionados con la defensa nacional cumplan estándares de ciberseguridad específicos. Al obtener la certificación CMMC, estas empresas demuestran su compromiso con la integridad y confidencialidad de información crítica.

El proceso de certificación implica una evaluación exhaustiva de las prácticas de ciberseguridad de la empresa, que se clasifican en diferentes niveles según la complejidad y sensibilidad de los datos que gestionan. Esto no solo fomenta un entorno más seguro para la información sobre contratos federales y la información no clasificada controlada, sino que también desempeña un papel esencial en el fortalecimiento de la infraestructura de seguridad nacional. Por lo tanto, asegurar un certificado CMMC no es solo una cuestión de cumplimiento; es contribuir al esfuerzo más amplio de proteger los intereses nacionales frente a amenazas cibernéticas y garantizar que los adversarios no puedan explotar vulnerabilidades dentro de la cadena de suministro de defensa.

Cronograma y fases de implementación de CMMC 2.0

La implementación de los requisitos CMMC seguirá un enfoque por fases, como se describe en el informe DoD CMMC 101. La Fase 1 (Implementación Inicial) comienza en la fecha de entrada en vigor de la regla 48 CFR, donde las licitaciones aplicables requerirán Autoevaluación de Nivel 1 o 2. La Fase 2 inicia 12 meses después del comienzo de la Fase 1, donde las licitaciones aplicables requerirán Certificación de Nivel 2. La Fase 3 comienza 24 meses después del inicio de la Fase 1, donde las licitaciones aplicables requerirán Certificación de Nivel 3. La Fase 4 (Implementación Completa) inicia 36 meses después del comienzo de la Fase 1, y todas las licitaciones y contratos incluirán los requisitos CMMC aplicables como condición para la adjudicación. Es importante destacar que en algunas adquisiciones, el DoD puede implementar requisitos CMMC antes de las fases planificadas.

Componentes clave del marco CMMC 2.0

Niveles CMMC

El modelo CMMC consta de tres niveles progresivos de madurez en ciberseguridad. El Nivel 1 se centra en la protección de FCI y consta de 15 requisitos de seguridad alineados con FAR 52.204-21, requiriendo autoevaluación y declaración anual. El Nivel 2 está enfocado en la protección de CUI e incorpora los 110 requisitos de seguridad de NIST SP 800-171 Rev 2, requiriendo evaluación de certificación C3PAO cada 3 años o autoevaluación cada 3 años para programas seleccionados, además de declaración anual. El Nivel 3 refuerza la protección de CUI con 134 requisitos (110 de NIST SP 800-171 más 24 de NIST SP 800-172), requiriendo evaluación de certificación DIBCAC cada 3 años y declaración anual.

Dominios CMMC

El modelo CMMC abarca 14 dominios que se alinean con las familias de requisitos de seguridad de NIST SP 800-171 Rev 2: Control de Acceso (AC), Conciencia y Capacitación (AT), Auditoría y Responsabilidad (AU), Gestión de Configuración (CM), Identificación y Autenticación (IA), Respuesta a Incidentes (IR), Mantenimiento (MA), Protección de Medios (MP), Seguridad del Personal (PS), Protección Física (PE), Evaluación de Riesgos (RA), Evaluación de Seguridad (CA), Protección de Sistemas y Comunicaciones (SC) e Integridad de Sistemas e Información (SI).

Metodología de puntuación CMMC

CMMC incluye una metodología de puntuación definida para cada nivel. El Nivel 1 no requiere puntuación; los requisitos se consideran CUMPLIDOS o NO CUMPLIDOS. Para el Nivel 2, los requisitos de seguridad valen 1, 3 o 5 puntos, con un rango de -203 a 110, y una puntuación mínima aprobatoria de 88. En el Nivel 3, todos los requisitos de seguridad valen 1 punto con una puntuación máxima de 24, y requiere una puntuación previa de Nivel 2 de 110.

Beneficios de seguridad de la implementación de CMMC 2.0

Implementar CMMC ofrece beneficios de seguridad significativos para las organizaciones. El marco proporciona un enfoque integral de protección para salvaguardar información sensible abordando controles en múltiples dominios de ciberseguridad. Establece bases de seguridad estandarizadas que se aplican en toda la DIB, creando un nivel uniforme de protección para la información del DoD. CMMC fortalece la seguridad de la cadena de suministro al requerir certificación en todos los niveles, ayudando a reducir vulnerabilidades que podrían ser explotadas a través de relaciones con terceros. El enfoque escalonado del modelo permite controles de seguridad apropiados según la sensibilidad de la información gestionada, evitando cargas innecesarias para contratistas que no procesan CUI. Las declaraciones anuales y evaluaciones periódicas aseguran monitoreo continuo y cumplimiento sostenido en lugar de evaluaciones puntuales.

Riesgos para contratistas y subcontratistas del DoD por incumplimiento

Las organizaciones que no obtienen la certificación CMMC adecuada enfrentan varios riesgos importantes. Desde una perspectiva contractual y comercial, sin el nivel CMMC requerido, los contratistas no pueden recibir contratos del DoD que especifiquen requisitos CMMC. Los contratistas principales deben asegurarse de que los subcontratistas cumplan los requisitos CMMC, pudiendo perder proveedores clave si no cumplen. A medida que CMMC se implemente por completo, los contratistas no certificados quedarán excluidos de una parte significativa de las oportunidades de adquisición del DoD. En cuanto a riesgos regulatorios y legales, el incumplimiento de los requisitos CMMC en contratos existentes podría resultar en la terminación del contrato u otras medidas. Las evaluaciones fallidas pueden derivar en hallazgos de seguridad formales que requieren remediación. No cerrar los Planes de Acción e Hitos (POA&Ms) dentro de los 180 días requeridos resulta en el vencimiento del estado CMMC. En cuanto a riesgos de seguridad de datos, las organizaciones sin controles de ciberseguridad adecuados son más vulnerables a brechas que afectan FCI y CUI, y prácticas de seguridad débiles en la cadena de suministro pueden crear puntos de entrada para actores de amenazas que buscan información del DoD.

Requisitos para la implementación de CMMC

Las organizaciones que buscan la certificación CMMC deben prepararse determinando qué nivel CMMC aplica según el tipo de información procesada (FCI o CUI), identificando sistemas y componentes que procesan, almacenan o transmiten FCI o CUI, desarrollando la documentación requerida como Planes de Seguridad del Sistema (SSP) y POA&Ms, y preparándose para la evaluación de terceros por una C3PAO o DIBCAC para Nivel 2 o 3.

Requisitos técnicos

La implementación técnica varía según el nivel CMMC, pero los requisitos comunes incluyen implementar una gestión de acceso adecuada para usuarios, sistemas y conexiones externas, aplicar protecciones apropiadas para datos en reposo y en tránsito, establecer auditoría de sistemas, capacidades de detección de amenazas y respuesta a incidentes, mantener configuraciones seguras base y controlar los cambios, y realizar pruebas y evaluaciones regulares de los controles de seguridad.

Mejores prácticas para implementar y mantener el cumplimiento con CMMC 2.0

Implementar y mantener el cumplimiento con CMMC 2.0 requiere un enfoque estratégico y compromiso continuo. Una de las mejores prácticas más críticas es iniciar el proceso de certificación lo antes posible. Con la publicación de 32 CFR y 48 CFR, si tu organización no ha comenzado el camino hacia el cumplimiento CMMC, el momento es ahora. Dada la naturaleza integral de los requisitos CMMC, lograr el cumplimiento puede ser un proceso que lleva tiempo. Comenzar temprano garantiza que las organizaciones dispongan del tiempo necesario para implementar los cambios requeridos y abordar cualquier desafío que surja.

Recomendamos adoptar las siguientes mejores prácticas para asegurar tanto una implementación fluida de los procesos y procedimientos requeridos para la certificación CMMC como el mantenimiento del cumplimiento una vez que tu organización obtenga la certificación, sin importar el nivel de madurez CMMC que busques.

1. Involucra a la dirección en el proceso de cumplimiento CMMC

Involucrar a la dirección es clave para una implementación exitosa de CMMC. Conseguir el compromiso de la alta dirección asegura que se asignen los recursos necesarios al proceso de certificación y que la ciberseguridad sea una prioridad en toda la organización. El apoyo de la dirección también ayuda a fomentar una cultura de seguridad en toda la empresa.

2. Evalúa continuamente tu preparación en ciberseguridad y cumplimiento CMMC

Las autoevaluaciones regulares son esenciales para mantener el cumplimiento CMMC. Las organizaciones deben evaluar de forma continua su postura de ciberseguridad frente a los requisitos CMMC, incluso después de obtener la certificación. Estas evaluaciones ayudan a identificar áreas de mejora y aseguran que las prácticas de seguridad sigan siendo efectivas ante amenazas cambiantes.

3. Capacita a los empleados en mejores prácticas de ciberseguridad

Implementar un programa de capacitación sólido es otra mejor práctica clave. Todos los empleados deben recibir formación sobre mejores prácticas de ciberseguridad y requisitos CMMC relevantes para sus funciones. Esta capacitación debe ser continua y actualizarse regularmente para abordar nuevas amenazas y cambios en el programa CMMC.

4. Documenta tus esfuerzos de cumplimiento CMMC

La documentación exhaustiva es fundamental para el cumplimiento CMMC. Las organizaciones deben mantener registros detallados de prácticas, políticas y procedimientos de seguridad. Esta documentación no solo respalda el proceso de certificación, sino que también ayuda a mantener la coherencia en las prácticas de seguridad en toda la organización.

5. Mantente informado sobre cambios en el marco CMMC

Estar al tanto de los cambios y actualizaciones del programa CMMC es esencial para mantener el cumplimiento. El panorama de la ciberseguridad evoluciona constantemente y el programa CMMC puede actualizarse para abordar nuevas amenazas o requisitos. Las organizaciones deben designar personas responsables de monitorear estos cambios y adaptar las prácticas de seguridad en consecuencia.

6. Aprovecha marcos de ciberseguridad existentes

Aprovechar marcos de ciberseguridad existentes puede agilizar el proceso de implementación de CMMC. Muchas organizaciones ya pueden haber implementado medidas para cumplir con otros estándares como NIST SP 800-171. Alinear los esfuerzos CMMC con estos marcos existentes ayuda a reducir la duplicidad de esfuerzos y garantiza un enfoque más integral de la ciberseguridad.

7. Involucra a expertos en ciberseguridad

Contar con expertos en ciberseguridad puede aportar orientación valiosa durante todo el proceso de implementación de CMMC. Esto puede implicar trabajar con consultores CMMC u organizaciones evaluadoras de terceros certificadas (C3PAO) que pueden ofrecer recomendaciones sobre mejores prácticas y ayudar a navegar la complejidad del proceso de certificación.

8. Monitorea el tráfico y los sistemas para mantener el cumplimiento CMMC

Implementar herramientas y procesos de monitoreo continuo es fundamental para mantener el cumplimiento CMMC. Estas herramientas ayudan a las organizaciones a supervisar su postura de seguridad en tiempo real, identificar posibles vulnerabilidades y responder rápidamente ante incidentes de seguridad.

9. Fomenta una cultura de seguridad

Promover una cultura de seguridad es quizá la mejor práctica más importante para el cumplimiento CMMC. Esto implica motivar a todos los empleados a priorizar la ciberseguridad en sus actividades diarias, fomentar la comunicación abierta sobre temas de seguridad y reconocer y premiar las buenas prácticas de seguridad.

CMMC 2.0 ya está aquí

El programa de Certificación del Modelo de Madurez en Ciberseguridad representa un cambio significativo en la forma en que el Departamento de Defensa garantiza la protección de información no clasificada sensible dentro de su cadena de suministro. Con la publicación de 48 CFR como regla final, el programa CMMC ahora cuenta con una base regulatoria clara a través de la cláusula DFARS 252.204-7021, respaldada por la estructura del programa en 32 CFR Parte 170. El marco de tres niveles proporciona un enfoque escalable de la seguridad, con requisitos adaptados a la sensibilidad de la información gestionada. Las organizaciones deben alcanzar los niveles de certificación apropiados mediante autoevaluación o evaluación de terceros, según su nivel CMMC. La implementación se realizará en cuatro fases, requiriéndose la implementación completa 36 meses después de la entrada en vigor de la regla. Para prepararse, las organizaciones deben realizar análisis de distancia, desarrollar documentación de seguridad integral, implementar remediación basada en riesgos, establecer procesos de verificación en la cadena de suministro y mantener prácticas de cumplimiento continuo. Siguiendo las mejores prácticas descritas en esta guía, los contratistas de defensa pueden navegar eficazmente los requisitos CMMC, mantener su elegibilidad para contratos del DoD y contribuir a fortalecer la seguridad de la Base Industrial de Defensa.

Recursos adicionales

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks