Cinco años de desarrollo y cancelación a última hora: la historia del programa CMMC que debía proteger secretos militares

Cinco años de desarrollo y cancelación a última hora: la historia del programa CMMC que debía proteger secretos militares

El Pentágono formará un grupo de trabajo para revisar las normas de ciberseguridad del sector de defensa.

image

El Pentágono detuvo la segunda fase, en la que los requisitos del CMMC obligaban a las empresas de defensa a someterse a auditorías independientes de ciberseguridad. El departamento reconoció que el sistema actual carga demasiado a los contratistas, sobre todo a las pequeñas empresas.

Los requisitos de la segunda fase debían entrar en vigor el 10 de noviembre de 2026. La directora de tecnologías de la información del Pentágono, Kirsten Davis, anunció que se suspenden de inmediato. Según ella, el departamento de Defensa no renuncia a proteger los datos gubernamentales, sino que simplemente elimina barreras administrativas innecesarias.

El modelo de certificación de madurez en ciberseguridad CMMC se desarrolla desde 2019. El programa debía proteger a la industria de defensa de EE. UU. frente al robo de información a través de contratistas y proveedores. Inicialmente, las empresas se clasificaban en cinco niveles de protección; sin embargo, en 2021 el número de niveles se redujo a tres.

Para algunos contratistas, el segundo nivel implicaba que se autoevaluaran y que una vez cada tres años se sometieran a una auditoría independiente. Ahora el Pentágono eliminará esas auditorías en licitaciones y contratos vigentes. Se encargó a los directores de programas y al personal de los servicios de contratación que modifiquen las condiciones correspondientes lo antes posible.

Una de las causas principales fue la escasez de organizaciones evaluadoras. Más de 100.000 empresas de la industria de defensa aún no han pasado la evaluación independiente, mientras que solo alrededor de 100 organizaciones podían realizarlas. Con esa proporción, la mayoría de los contratistas pequeños y medianos no habría podido cumplir los requisitos para noviembre.

En una nota interna del Pentágono se afirma que la versión actual del CMMC dificulta la expansión de la industria de defensa y afecta especialmente a las empresas pequeñas y no tradicionales. El departamento teme que los gastos para cumplir con los procedimientos formales ralenticen las entregas de material y limiten la participación de nuevos contratistas.

El Pentágono creará un grupo de trabajo que, en 60 días, revisará el programa y recopilará propuestas del sector. El grupo debe proponer reglas más realistas que mantengan la protección de los datos pero reduzcan la barrera de entrada para las empresas pequeñas.

Mientras se revisa el programa, los contratistas seguirán confirmando por sí mismos que cumplen el estándar NIST SP 800-171 Revision 2. El Pentágono afirma que los requisitos de protección de la información no se suavizan. Solo cambia el método de control, ya que las auditorías independientes obligatorias se consideraron demasiado lentas y costosas.