48 CFR CMMC: Publicada la propuesta de regulación; CMMC más cerca de su implementación
Con la publicación de la Regla Final, se establece una expectativa de un plazo de 3 años para ver CMMC en los contratos del DoD
El Departamento de Defensa (DoD) propuso modificar el Suplemento de Regulaciones Federales de Adquisiciones de Defensa (DFARS) a través de 48 CFR Partes 204, 212, 217 y 252 [Docket DARS-2020-0034], publicado el 15 de agosto de 2024. Esta norma propuesta, conocida como DFARS Case 2019-D041, busca incorporar requisitos contractuales relacionados con el programa Cybersecurity Maturity Model Certification (CMMC) 2.0. La norma implementa parcialmente un marco para evaluar el cumplimiento de los contratistas con los requisitos de ciberseguridad y refuerza la protección de la Información sobre Contratos Federales (FCI) y la Información No Clasificada Controlada (CUI).
Aspectos destacados de la solución
- Autorización FedRAMP de impacto moderado
- Evaluaciones de seguridad 3PAO
- Registros de auditoría inmutables
- Cumple con FIPS 140
- Controles de políticas granulares
Alcance esperado y cronograma de la implementación de CMMC
Esta regulación se aplicará a los contratistas y subcontratistas de la Base Industrial de Defensa (DIB) que procesen, almacenen o transmitan FCI o CUI. Cubre todas las solicitudes y contratos del DoD por encima del umbral de microcompra, excepto aquellos exclusivamente para artículos comerciales estándar (COTS). Entre las implicaciones clave se encuentra el requisito de que los contratistas obtengan y mantengan los niveles CMMC especificados, publiquen los resultados de las autoevaluaciones CMMC en el Supplier Performance Risk System (SPRS), proporcionen declaraciones anuales de cumplimiento y transmitan los requisitos a los subcontratistas. El cronograma de implementación abarca tres años después de la publicación de la norma final, tras un periodo de comentarios públicos de 60 días. Durante los primeros tres años, la norma solo afectará a los contratos que requieran específicamente CMMC. A partir del cuarto año, se aplicará a todos los contratos relevantes del DoD. Para el año 4, el DoD estima que 29,543 entidades (el 69% pequeñas empresas) se verán afectadas.
Próximos pasos e impacto económico del cumplimiento de CMMC
Para las organizaciones del DIB, los próximos pasos inmediatos incluyen revisar la norma propuesta, prepararse para enviar comentarios dentro del periodo de 60 días, evaluar su postura actual de ciberseguridad frente a los niveles CMMC, planificar las necesidades futuras de cumplimiento y certificación, y estar atentos a la publicación de la norma final y el cronograma de implementación. Aunque esta publicación no exige acciones inmediatas, las organizaciones deben avanzar en la preparación para la futura implementación de estos nuevos requisitos de ciberseguridad dentro de CMMC 2.0 o arriesgarse a perder contratos con el DoD.
Si bien los costos específicos de las certificaciones CMMC y las autoevaluaciones se abordan en una norma separada de 32 CFR, el impacto financiero es considerable. El Consejo de Asesores Económicos estima que la actividad cibernética maliciosa costó a la economía estadounidense entre 57 mil millones y 109 mil millones de dólares en 2016, con un costo potencial a 10 años de entre 512 mil millones y 979 mil millones de dólares a una tasa de descuento del 2%.
Simplifica el cumplimiento de CMMC con la solución integral de Kiteworks
Kiteworks ofrece un sólido respaldo a las organizaciones que buscan cumplir con los requisitos de CMMC y la nueva regulación DFARS. La Red de Contenido Privado de Kiteworks cuenta con autorización FedRAMP de impacto moderado y cubre casi el 90% de los requisitos de CMMC 2.0 nivel 2 de forma nativa, proporcionando una solución integral para la protección de CUI y FCI. Con funciones como uso compartido seguro de archivos, protección de correo electrónico, transferencia de archivos gestionada y formularios web, Kiteworks crea una Red de Contenido Privado (PCN) que garantiza la seguridad de los datos confidenciales. Los sólidos controles de acceso, las capacidades de cifrado y los registros de auditoría de la plataforma se alinean estrechamente con los requisitos CMMC en múltiples dominios, incluidos Control de Acceso, Auditoría y Responsabilidad, y Protección de Sistemas y Comunicaciones. Al aprovechar Kiteworks, las organizaciones pueden simplificar significativamente sus esfuerzos de cumplimiento CMMC, reducir el riesgo de filtraciones de datos y estar mucho más cerca de mantener la postura de seguridad necesaria para competir y trabajar en proyectos del DoD bajo las nuevas regulaciones DFARS.
La publicación de la norma propuesta 48 CFR CMMC marca un paso importante hacia la implementación de medidas integrales de ciberseguridad en la DIB. A medida que las organizaciones se preparan para el cronograma de implementación de tres años, la necesidad de soluciones robustas y conformes se vuelve fundamental. Kiteworks lidera el apoyo al cumplimiento de CMMC, ofreciendo una plataforma autorizada FedRAMP de impacto moderado que cubre casi el 90% de los requisitos de CMMC 2.0 nivel 2 de forma nativa. Con su Red de Contenido Privado, sólidos controles de acceso, capacidades de cifrado doble y registros de auditoría integrales, Kiteworks proporciona un enfoque completo para la protección de CUI y FCI. Mientras los contratistas del DIB navegan por la complejidad del cumplimiento CMMC, Kiteworks ofrece un camino simplificado para apoyar a las organizaciones que buscan cumplir con las nuevas regulaciones DFARS, reducir los riesgos de ciberseguridad y mantener la competitividad en los contratos del DoD.