CMMC Cybersecurity Maturity Model Certification.

CMMC es el modelo de madurez en ciberseguridad que el Departamento de Defensa de Estados Unidos impone a sus contratistas que gestionan información de contratos federales e información no clasificada controlada. CMMC 2.0 se redujo a tres niveles (Foundational, Advanced, Expert) alineados con NIST SP 800-171 y 800-172. Si vende al DoD o forma parte de su cadena de suministro, está en el ámbito de aplicación.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyEU regulationsAll entries

La perspectiva de Cyber Academy

CMMC es el modelo de madurez en ciberseguridad que el Departamento de Defensa de Estados Unidos impone a sus contratistas que gestionan información de contratos federales e información no clasificada controlada. CMMC 2.0 se redujo a tres niveles (Foundational, Advanced, Expert) alineados con NIST SP 800-171 y 800-172. Si vende al DoD o forma parte de su cadena de suministro, está en el ámbito de aplicación.

Qué cambia realmente CMMC para un contratista

Durante años, el Department of Defense estadounidense pidió a sus proveedores que protegieran la información sensible y confió en que lo hicieran. Los contratistas autodeclaraban que cumplían las salvaguardas exigidas, y la brecha entre lo que se afirmaba y lo que estaba implementado solo salía a la luz tras una brecha de seguridad. CMMC cierra esa brecha al convertir los requisitos de protección existentes en una certificación verificable.

La sustancia de los controles no cambió tanto como la carga de la prueba: donde antes firmabas una declaración, ahora posees una certificación que, tras una evaluación, confirma que tus prácticas están realmente implantadas. Si manejas Federal Contract Information o Controlled Unclassified Information en cualquier punto de la cadena de suministro del DoD, este es el mecanismo que decide si puedes seguir licitando.

El modelo importa mucho más allá de las fronteras estadounidenses. Los proveedores europeos que subcontratan con contratistas principales estadounidenses, fabrican componentes de defensa o tratan CUI por cuenta de un programa del DoD heredan la misma obligación. CMMC no es un marco que se adopta voluntariamente por buena higiene; es una puerta contractual. Sin certificación al nivel que exige tu contrato, no hay adjudicación. Eso es lo que lo distingue de un modelo de madurez voluntario y lo sitúa en la misma categoría práctica que un requisito regulatorio: el cumplimiento es el precio del acceso al mercado.

Los tres niveles y lo que abarcan

CMMC 2.0 simplificó un esquema anterior de cinco niveles en tres, cada uno vinculado a la sensibilidad de los datos que manejas y a una línea base NIST existente. El nivel 1 (Foundational) cubre la protección básica de la Federal Contract Information y se basa en las prácticas de las normas federales de adquisición, verificadas mediante autoevaluación anual.

El nivel 2 (Advanced) protege la Controlled Unclassified Information y se alinea directamente con NIST SP 800-171, el catálogo de controles ya exigido a los contratistas que manejan CUI; según el contrato, se confirma mediante una evaluación de terceros. El nivel 3 (Expert) es para los programas más sensibles y añade los requisitos reforzados de NIST SP 800-172 para defenderse de las amenazas persistentes avanzadas, evaluado por el propio gobierno.

Niveles CMMC 2.0
NivelDatos protegidosLínea baseEvaluación
Nivel 1 — FoundationalFederal Contract Information (FCI)Requisitos de protección básicaAutoevaluación anual
Nivel 2 — AdvancedControlled Unclassified Information (CUI)NIST SP 800-171Evaluación de terceros (o autoevaluación)
Nivel 3 — ExpertCUI de alto valor, exposición a APTNIST SP 800-171 más 800-172Evaluación dirigida por el gobierno

La idea clave es que CMMC no inventa tanto nuevos controles como que impone los que los contratistas ya estaban obligados a cumplir. Un proveedor que ha implementado de verdad NIST SP 800-171 tiene casi todo el camino hecho hacia el nivel 2; el trabajo que queda consiste en producir la evidencia, cerrar las prácticas que se daban por supuestas pero nunca se operacionalizaron, y superar una evaluación realizada por alguien que no eres tú.

El lugar de CMMC junto a NIS 2 e ISO 27001

Es fácil archivar CMMC, NIS 2 e ISO 27001 en el mismo cajón, pero responden a preguntas distintas. ISO 27001 certifica que operas un sistema de gestión de la seguridad de la información basado en el riesgo; es voluntario, internacional e indiferente a de quién sean los datos que posees. NIS 2 es legislación europea que impone deberes de seguridad y de notificación de incidentes a las entidades esenciales e importantes de sectores críticos.

CMMC es más estrecho y más específico: un requisito de contratación pública del gobierno estadounidense dirigido a una sola cadena de suministro, mapeado a conjuntos fijos de controles NIST en lugar de a tu propia evaluación de riesgos. Una organización ya certificada en ISO 27001 habrá construido una disciplina de gestión que facilita el esfuerzo de CMMC, pero las certificaciones no son intercambiables y una no satisface a la otra.

Frequently asked questions

01¿Quién tiene que cumplir con CMMC?

Cualquier organización de la cadena de suministro del Department of Defense estadounidense que maneje Federal Contract Information o Controlled Unclassified Information, incluidos los subcontratistas no estadounidenses de contratistas principales estadounidenses. El nivel requerido se escribe en el contrato.

02¿Cuál es la diferencia entre CMMC y NIST SP 800-171?

NIST SP 800-171 es el catálogo de controles para proteger la CUI. CMMC es el mecanismo de certificación que verifica que esos controles están realmente implementados. El nivel 2 de CMMC se basa directamente en NIST SP 800-171.

03¿Cuántos niveles tiene CMMC 2.0?

Tres: nivel 1 (Foundational), nivel 2 (Advanced) y nivel 3 (Expert). El modelo anterior tenía cinco niveles; CMMC 2.0 los consolidó y alineó cada uno con una línea base NIST existente.

04¿La certificación ISO 27001 satisface CMMC?

No. Son esquemas distintos. ISO 27001 certifica un sistema de gestión basado en el riesgo, mientras que CMMC verifica conjuntos específicos de controles NIST para la cadena de suministro del DoD. La madurez en ISO 27001 ayuda, pero no sustituye a una evaluación CMMC.

05¿Todavía puedo autoevaluarme bajo CMMC 2.0?

El nivel 1 se verifica mediante autoevaluación anual, y algunos contratos de nivel 2 lo permiten, pero los trabajos de nivel 2 más sensibles y todo el nivel 3 requieren una evaluación independiente o dirigida por el gobierno.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.