El Departamento de Defensa de EE. UU. establece nuevas y rigurosas normas cibernéticas para posibles contratistas.
La situación de cumplimiento está a punto de volverse más compleja.
Una nueva normativa de costos ha sido publicada para los posibles proveedores del Departamento de Defensa (DoD) de Estados Unidos. La segunda versión del Modelo de Certificación de Madurez de Ciberseguridad (CMMC) introduce requisitos de cumplimiento más estrictos que deberán cumplir todos los contratistas para poder optar a contratos del DoD. Esta normativa entrará en vigor el 10 de noviembre de 2025.
Katie Arrington, actual directora de información del Pentágono, indicó que se espera que los proveedores prioricen la seguridad nacional de EE. UU. en su lista de objetivos. Al adherirse a estos estándares cibernéticos y lograr la certificación CMMC, los proveedores demostrarán su compromiso con esta prioridad.
Este marco de ciberseguridad se estructura en tres niveles de cumplimiento, dependiendo de la sensibilidad de los datos manejados. De acuerdo con las nuevas regulaciones, los proveedores no podrán participar en contratos del DoD si no cumplen con los requisitos establecidos.
La implementación de la CMMC ha sido un proceso complicado y extenso. En la primera administración de Trump, los sectores de ciberseguridad se manifestaron en contra de las exigencias, argumentando que las normas eran demasiado complejas y que las pequeñas y medianas empresas (PYMEs) estaban siendo sobrecargadas por la regulación.
En esta segunda versión, el proceso de cumplimiento se ha simplificado, reduciendo los cinco niveles de evaluación a tres. Los proveedores pueden autoevaluar su ciberseguridad en el nivel de menor sensibilidad, pero el segundo nivel debe ser verificado por un evaluador certificado, mientras que el tercer nivel requerirá una evaluación por parte del Centro de Evaluación de Ciberseguridad de la Base Industrial de Defensa.
Además, las nuevas directrices establecen planes de acción y plazos que facilitan la tarea a los contratistas que no cumplen con las normativas, permitiéndoles obtener una certificación condicional de 180 días mientras trabajan para ser conformes.
A principios de este año, se instó al Departamento de Defensa de EE. UU. a abordar serias fallas en sus sistemas de TI después de que se identificaran programas que no cumplían con los estándares de desempeño requeridos. Cuatro sistemas de defensa críticos fueron catalogados sin "planes desarrollados para implementar un enfoque de ciberseguridad más riguroso—arquitectura de confianza cero—antes de la fecha límite de 2027".
