CMMC 2.0: qué es, quién lo necesita y cómo los MSP pueden ayudar a sus clientes a cumplir con los requisitos

La Certificación del Modelo de Madurez en Ciberseguridad (CMMC) es el marco establecido por el Departamento de Defensa de los Estados Unidos para garantizar que la base industrial de defensa —es decir, los contratistas y subcontratistas que conforman la cadena de suministro del Departamento de Defensa— mantenga un nivel adecuado de ciberseguridad para proteger la información sensible en materia de defensa.

Según el informe «State of the MSP» de Kaseya de 2026, el 71 % de los MSP registraron un crecimiento interanual de sus ingresos por ciberseguridad. El cumplimiento de la norma CMMC se está convirtiendo rápidamente en la puerta de entrada al mercado de la contratación en el sector de la defensa y, dado que el Departamento de Defensa estima que hay 350 000 proveedores en la base industrial de defensa, el mercado potencial para los MSP que ofrecen servicios de preparación para la CMMC es considerable.

La aplicación de la fase 1 comenzó el 10 de noviembre de 2025. La fase 2, que establece la obligatoriedad de la certificación C3PAO en un conjunto más amplio de contratos, comienza el 10 de noviembre de 2026. Las organizaciones que no cuenten con la certificación cuando se publique una licitación de la fase 2 no podrán optar a la adjudicación. La preparación suele llevar entre 9 y 12 meses. El momento de actuar para los clientes que aún no lo hayan hecho es ahora.

Esta guía explica cuáles son los requisitos de CMMC 2.0, a quiénes se aplica y qué deben saber los proveedores de servicios gestionados (MSP) para ayudar a sus clientes —y a ellos mismos— a alcanzar y mantener el cumplimiento.

Qué es el CMMC y por qué existe

El CMMC se creó para abordar un problema concreto: la información sensible en materia de defensa, la información sobre contratos federales (FCI) y la información no clasificada controlada (CUI) estaban siendo gestionadas por contratistas del Departamento de Defensa con controles de ciberseguridad inadecuados. El requisito vigente (DFARS 252.204-7012, que exigía el cumplimiento de la norma NIST SP 800-171) se basaba en la autocertificación. Los contratistas certificaban el cumplimiento, a menudo de forma inexacta, y la información sensible seguía estando en riesgo.

El CMMC cambia el modelo de la autocertificación al cumplimiento verificado. Los contratistas pueden optar por la autocertificación (contratos de nivel 1 y algunos de nivel 2) o ser evaluados por una organización de evaluación externa certificada (C3PAO) o por evaluadores gubernamentales (nivel 3), en función de la sensibilidad de la información que manejan y del nivel de CMMC exigido por el contrato.

La norma definitiva se codificó en el título 32 del Código de Regulaciones Federales (CFR), parte 170, y entró en vigor el 16 de diciembre de 2024. La norma de contratación que incorpora el CMMC a los contratos del Departamento de Defensa (DoD) a través del DFARS entró en vigor el 10 de noviembre de 2025.

CMMC 2.0: qué ha cambiado con respecto a la versión 1.0

El CMMC 1.0, anunciado en 2020, contaba con cinco niveles de madurez e introducía una complejidad considerable. A raíz de los comentarios del sector, el Departamento de Defensa publicó el CMMC 2.0 en 2021, que simplificó el marco de cuatro maneras significativas.

Tres niveles en lugar de cinco. El CMMC 2.0 se consolida en tres niveles alineados con los niveles de riesgo reales de la cadena de suministro de defensa: Básico, Avanzado y Experto.

Alineación con la norma NIST SP 800-171 en el Nivel 2. El Nivel 2 se ajusta exactamente a las 110 prácticas de la norma NIST SP 800-171, la norma con la que la mayoría de los contratistas de defensa ya estaban trabajando. Esto reduce la duplicación de esfuerzos y facilita el cumplimiento normativo a las organizaciones que ya cuentan con programas del NIST.

Se permite la autocertificación para algunos contratos de nivel 2. Las adquisiciones prioritarias (contratos que implican la información clasificada de interés civil más sensible) requieren una evaluación por parte de una organización externa de evaluación de la protección de la información clasificada (C3PAO). Las adquisiciones no prioritarias pueden permitir la autocertificación anual durante la implantación gradual. El nivel 1 siempre se basa en la autocertificación.

Se admiten planes de acción e hitos (POA&M). El marco 2.0 permite el uso de POA&M para la corrección limitada y con plazos definidos de las deficiencias identificadas, lo que ofrece una vía para cumplir los requisitos de contratación mientras se trabaja para alcanzar el pleno cumplimiento.

Los tres niveles del CMMC

Nivel 1, Básico (15 prácticas). Se aplica a las organizaciones que manejan información sobre contratos federales (FCI), pero no información controlada (CUI). Requiere la implementación de las 15 prácticas básicas de ciberhigiene recogidas en la cláusula 52.204-21 del FAR. Autocertificación anual por parte de un alto cargo de la empresa, con los resultados presentados en el Sistema de Riesgos de Desempeño de Proveedores (SPRS). No se requiere evaluación por terceros. No se permiten POA&M en este nivel; deben cumplirse íntegramente los 15 requisitos.

Nota: Los materiales anteriores sobre el CMMC hacían referencia a 17 prácticas de nivel 1. La norma definitiva del título 32 del Código de Regulaciones Federales (CFR), parte 170, que entrará en vigor en diciembre de 2024, ha fusionado tres requisitos de protección física en uno solo, con lo que el número oficial asciende a 15.

Nivel 2, Avanzado (110 prácticas). Se aplica a las organizaciones que manejan información no clasificada controlada (CUI). Requiere la implementación completa de la norma NIST SP 800-171 Rev. 2. Las adquisiciones prioritarias requieren una evaluación trienal por parte de una C3PAO. Las adquisiciones no prioritarias pueden admitir una autocertificación anual. El nivel 2 es el nivel que deben alcanzar la mayoría de los contratistas de defensa que deseen mantener su elegibilidad para los contratos del Departamento de Defensa (DoD).

Nivel 3, Experto (más de 130 prácticas). Se aplica a las organizaciones que manejan la información controlada (CUI) más sensible en programas críticos. Requiere el cumplimiento íntegro de la norma NIST SP 800-171, además de determinadas prácticas de la norma NIST SP 800-172. La evaluación la realizan evaluadores gubernamentales de la DCSA (DIBCAC). Se aplica a un pequeño subconjunto de programas de alta sensibilidad.

¿Quién debe cumplir con la normativa CMMC?

La CMMC se aplica a cualquier organización, ya sea contratista principal o subcontratista, que maneje información clasificada (FCI) o información confidencial (CUI) en el marco de contratos del Departamento de Defensa. Su ámbito de aplicación es más amplio de lo que muchas organizaciones creen en un principio.

Contratistas directos del Departamento de Defensa. Empresas con contratos principales con el Departamento de Defensa. La mayoría necesitará el Nivel 1 o el Nivel 2, dependiendo de si manejan información clasificada (CUI).

Subcontratistas. Cualquier organización de la cadena de suministro que maneje información de interés militar (FCI) o información controlada (CUI). La transferencia de requisitos es obligatoria: los contratistas principales deben garantizar que sus subcontratistas cumplan el nivel CMMC exigido por el contrato. Una pequeña empresa de ingeniería que sea subcontratista de segundo nivel en un programa de defensa puede manejar CUI y estar sujeta al Nivel 2.

Proveedores de servicios gestionados. Si un MSP gestiona, almacena o transmite información controlada (CUI) en nombre de un cliente que sea un contratista de defensa, o si los sistemas del MSP procesan CUI como parte de la prestación del servicio, el MSP forma parte del ámbito de la CUI y puede estar sujeto a los requisitos del CMMC. Esta es la consecuencia que más se suele pasar por alto en el caso de los MSP.

La obligación de transmisión es el aspecto que más se suele pasar por alto. Un MSP que nunca haya comprobado si la prestación de sus servicios genera la obligación de gestionar información controlada (CUI) está operando con un riesgo oculto, al igual que los contratistas principales cuyo cumplimiento depende de ello.

Qué exige realmente el nivel 2 del CMMC

Las 110 prácticas del Nivel 2, repartidas en 14 ámbitos, conforman un programa de seguridad integral. Los ámbitos que plantean mayores retos operativos para las pymes y los contratistas de defensa que parten de un nivel básico bajo son:

Control de acceso (CA), 22 prácticas. Autenticación multifactorial (MFA) en todas las cuentas, principio del mínimo privilegio, acceso controlado basado en la necesidad de conocer, controles de tiempo de espera de sesión, restricciones de acceso remoto y uso controlado de dispositivos móviles.

Gestión de la configuración (CM), 9 prácticas. Configuraciones de referencia documentadas, supervisión y alertas ante cambios en la configuración, restricción de la instalación de software no autorizado.

Respuesta ante incidentes (IR), 3 prácticas. Plan de respuesta ante incidentes documentado y probado, capacidad para contener los incidentes y recuperarse de ellos, y obligación de notificar los incidentes al Departamento de Defensa.

Evaluación de riesgos (RA), 3 prácticas. Evaluaciones periódicas de riesgos, corrección de las vulnerabilidades detectadas y participación en el intercambio de información sobre amenazas.

Protección de sistemas y comunicaciones (SC), 16 prácticas. Segmentación de la red para aislar la información controlada (CUI) de los sistemas que no contienen CUI, cifrado de la CUI en tránsito y en reposo, interfaces gestionadas y protecciones perimetrales.

Integridad del sistema y de la información (SI), 7 prácticas. Protección contra el malware con actualizaciones periódicas, supervisión de alertas de seguridad, gestión de parches para sistemas operativos y aplicaciones, y supervisión del sistema para detectar comportamientos anómalos.

El alcance del Nivel 2 lo convierte en un proyecto de gran envergadura para las organizaciones que parten de un nivel básico bajo. El punto de partida es una evaluación de deficiencias con respecto a la norma NIST SP 800-171, en la que se identifica cuáles de las 110 prácticas ya se han implementado, cuáles se han implementado parcialmente y cuáles no se han abordado. Por término medio, un contratista del sector de la defensa necesita entre 9 y 12 meses para estar preparado para la evaluación desde el momento en que comienza dicha evaluación formal.

Los MSP y el CMMC: la complejidad de la cadena de suministro

Los MSP ocupan una posición compleja en el ecosistema del CMMC. Si un MSP accede, procesa o almacena información controlada (CUI) como parte de la prestación de servicios a un contratista de defensa, es posible que deba cumplir los requisitos del Nivel 2 para su propio entorno. La prueba práctica consiste en determinar si los sistemas y el personal del MSP entran en contacto con información controlada (CUI) durante la prestación de managed services.

Un ejemplo concreto: un proveedor de servicios de gestión (MSP) que ofrece servicios de supervisión y gestión remotas a un contratista del sector de la defensa, con agentes de RMM instalados en terminales que procesan información clasificada (CUI), cuenta con sistemas que podrían considerarse dentro del ámbito de la CUI. El MSP debe determinar si esto genera una obligación en materia de CMMC para su propio entorno.

Los contratistas principales incluyen cada vez más cláusulas de transferencia de requisitos del CMMC en los contratos de servicios de MSP. El desconocimiento del alcance no constituye una justificación, y una declaración falsa conlleva responsabilidades legales en virtud de la Ley de Reclamaciones Falsas.

Los proveedores de servicios de gestión (MSP) que logran el cumplimiento de la norma CMMC en sus propios entornos obtienen una ventaja competitiva significativa: se convierten en el socio de TI preferido de los contratistas de defensa que necesitan demostrar que la cadena de suministro de su MSP no presenta lagunas de cumplimiento. Los MSP preparados para la CMMC pueden acceder a un segmento de mercado al que los MSP que no cumplen con la norma no pueden llegar, y pueden fijar sus precios en consecuencia.

Cómo cumplir con la normativa CMMC: un enfoque práctico

Paso 1: Determinar el alcance del entorno de CUI. Identificar todos los sistemas, el personal y los procesos que manejan CUI. Los límites de la CUI definen qué elementos deben cumplir con la normativa. Reducir el alcance limitando el manejo de la CUI a un ámbito definido alivia considerablemente la carga que supone el cumplimiento normativo.

Paso 2: Realizar una evaluación de deficiencias. Comparar la implementación actual con las 110 prácticas del NIST SP 800-171. El Plan de Seguridad del Sistema (SSP) documenta el estado actual de cumplimiento. El Plan de Acción y Hitos (POA&M) documenta las deficiencias identificadas y los plazos para su corrección. Ambos documentos son requisitos imprescindibles para la certificación de Nivel 2.

Paso 3: Corregir las deficiencias. Aborde primero las deficiencias más críticas, especialmente las relacionadas con el control de acceso, la respuesta a incidentes y la integridad de los sistemas y la información, ya que estas abordan los vectores de ataque con mayor probabilidad. Las herramientas automatizadas abordan un gran número de controles simultáneamente: la gestión de parches cubre los requisitos de integridad de los sistemas y la información (SI), la implementación de la autenticación multifactorial (MFA) cubre los requisitos de control de acceso (AC), el EDR cubre los requisitos de malware y supervisión de SI, y el SIEM cubre los requisitos de registro de auditoría en múltiples dominios.

Paso 4: Seleccionar la vía de evaluación. Determinar si se permite la autodeclaración de nivel 2 para el contrato en cuestión o si se requiere una evaluación de la C3PAO. A partir del 10 de noviembre de 2026, la certificación de la C3PAO será obligatoria para las licitaciones de nivel 2 a las que se aplique. Preparar las pruebas de cumplimiento: el SSP, el POA&M y las pruebas técnicas de las herramientas de seguridad que demuestren la implementación de los controles.

Paso 5: Mantener el cumplimiento. La CMMC no es una certificación que se obtenga una sola vez. Las autodeclaraciones anuales o las evaluaciones trienales de la C3PAO exigen un mantenimiento continuo del cumplimiento: supervisión constante, gestión de parches, pruebas del plan de respuesta ante incidentes y recopilación de pruebas entre evaluaciones.

Cómo Compliance Manager GRC CMMC

Compliance Manager GRC una vía estructurada para la preparación para el CMMC que aborda tanto la carga que supone la evaluación como los requisitos de documentación continua.

La plataforma incluye una plantilla específica para la evaluación del Nivel 2 del CMMC, alineada con los 110 requisitos de la norma NIST SP 800-171 Rev. 2, incluida la ficha de puntuación de riesgos del Departamento de Defensa. El SSP y el POA&M, ambos documentos obligatorios para la certificación, se generan y se controlan desde la plataforma. A medida que se subsanan las deficiencias, se registran las pruebas correspondientes a cada control.

La integración directa con VSA y Datto RMM incorpora pruebas técnicas sobre el cumplimiento de los parches, el estado de los terminales y los datos de configuración directamente en Compliance Manager GRC , lo que reduce el trabajo manual que supone documentar la implementación de los controles. Datto EDR proporciona pruebas sobre los controles de protección contra malware y de supervisión del sistema. IT Glue envía automáticamente los informes de cumplimiento completados a la documentación de cada cliente, manteniendo actualizadas las pruebas listas para auditoría entre evaluaciones.

Para los MSP que ofrecen la preparación para el CMMC como un servicio, la arquitectura multicliente Compliance Manager GRCpermite gestionar las evaluaciones de varios clientes contratistas del sector de la defensa desde una única consola.

Descubre Compliance Manager GRC CMMC