Las nuevas cláusulas contractuales CMMC 2.0 propuestas por el Departamento de Defensa aumentan los riesgos de cumplimiento para los contratistas.

A estas alturas, los contratistas y subcontratistas de defensa deberían conocer el programa Cybersecurity Maturity Model Certification (CMMC) 2.0, un conjunto de controles de ciberseguridad obligatorios impuestos por el Departamento de Defensa de los Estados Unidos (DoD) para aumentar la seguridad de cierta información almacenada o transmitida por los sistemas de información de los contratistas y subcontratistas de defensa. El 15 de agosto de 2024, el DoD dio un paso importante en la puesta en marcha del programa CMMC 2.0 al proponer cambios en sus normas de contratación y cláusulas contractuales para aclarar cómo el DoD planea imponer los requisitos de seguridad del CMMC 2.0 a los contratistas de defensa y hacerlos cumplir contractualmente.

Los contratistas tienen hasta el 15 de octubre de 2024 para enviar sus comentarios sobre los cambios propuestos al Suplemento del Reglamento Federal de Adquisiciones de Defensa (DFARS). Las disposiciones nuevas o revisadas del DFARS propuestas en esta nueva norma no se incorporarán a los contratos del Departamento de Defensa hasta que este publique una norma definitiva tras la expiración del plazo para enviar comentarios.

Antecedentes de CMMC 2.0

El Departamento de Defensa se refiere a la versión actual del CMMC como «CMMC 2.0», lo que refleja la evolución del programa desde la versión inicial propuesta por el Departamento de Defensa en 2020. Como recordatorio, el CMMC 2.0 establece tres «niveles CMMC», cada uno de los cuales corresponde a un conjunto concreto de requisitos de ciberseguridad que se vuelven más estrictos a medida que aumenta el nivel. El nivel 1 del CMMC se aplicaría a los contratos que exigen al contratista almacenar, procesar o transmitir únicamente información de contratos federales (FCI), y no la categoría de datos más sensible denominada información controlada no clasificada (CUI). El nivel 2 del CMMC se aplicaría a los contratos que exigen al contratista o a los subcontratistas almacenar, procesar o transmitir CUI utilizando los sistemas de información del contratista. El nivel 3 del CMMC, el nivel de seguridad más alto, se aplicaría únicamente a contratos específicos que requieran un mayor nivel de ciberseguridad.

El Departamento de Defensa ha propuesto diferentes tipos de evaluaciones de seguridad para los distintos niveles del CMMC. Para todos los contratos de nivel 1 del CMMC y para algunos contratos de nivel 2, los contratistas deben realizar una autoevaluación de su cumplimiento de los controles requeridos. Otros contratos de nivel 2 del CMMC requerirían una evaluación del sistema de información del contratista por parte de una organización de evaluación externa del CMMC (C3PAO). Los contratos de nivel 3 del CMMC también requieren una evaluación externa del cumplimiento, pero esta la realizará un evaluador del Departamento de Defensa en lugar de una C3PAO.

El Departamento de Defensa tiene la intención de implementar el programa CMMC durante un período de tres años, a partir del primer trimestre de 2025. Tras este período de tres años, todos los contratistas principales y subcontratistas del Departamento de Defensa deberán cumplir los requisitos aplicables de la cláusula contractual CMMC, salvo en el caso de los contratos o subcontratos exclusivos para artículos comercialmente disponibles (COTS).

Hacer cumplir el cumplimiento de los contratistas con CMMC 2.0

La norma recientemente propuesta revela cómo el Departamento de Defensa propone hacer cumplir los requisitos de seguridad del CMMC 2.0 a los contratistas y subcontratistas de defensa, incluyendo cómo los responsables de contratación del Departamento de Defensa comprobarán el cumplimiento del CMMC 2.0 como condición previa para que un contratista reciba un nuevo contrato o incluso para que se ejerzan las opciones previstas en un contrato existente.

• Sin CMMC, no hay adjudicación.

La norma propuesta formaliza el procedimiento que seguirán los responsables de contratación para validar que un contratista cuenta con la certificación o autoevaluación del nivel CMMC requerido antes de adjudicarle un contrato. Antes de adjudicar un contrato, los responsables de contratación revisarán el Sistema de Riesgos de Rendimiento de Proveedores (SPRS) para confirmar que el licitador aparentemente seleccionado cuenta con los resultados de un certificado CMMC vigente o una autoevaluación introducida en el nivel CMMC requerido en la licitación. Como parte de esta determinación de elegibilidad, el funcionario contratante puede solicitar al licitador aparentemente seleccionado que proporcione los identificadores únicos del Departamento de Defensa emitidos por el SPRS para cada sistema de información del contratista que procesará, almacenará o transmitirá FCI o CUI durante la ejecución del contrato o pedido que se adjudicará en virtud de la licitación. Los licitadores que no dispongan de un certificado CMMC actual o de una autoevaluación en el nivel requerido para cada uno de esos sistemas de información del contratista no serán elegibles para la adjudicación del contrato.

• Mantener un certificado CMMC «actual» o una autoevaluación

Los contratistas no solo deben tener un certificado CMMC vigente o una autoevaluación para poder optar a la adjudicación de un contrato, una tarea o una orden de entrega, sino que también deben mantenerlo durante toda la vigencia del contrato o de la tarea/orden de entrega, y el funcionario contratante no puede ejercer una opción si la certificación CMMC o la autoevaluación del contratista ya no están vigentes. La definición de «vigente» varía en función del nivel CMMC requerido. Para el nivel 1 de CMMC, que solo requiere una autoevaluación, esta debe haberse realizado en el plazo de un año. Para el nivel 2 de CMMC, el certificado de terceros o la autoevaluación del contratista no deben tener más de tres años de antigüedad. Para el nivel 3 de CMMC, el certificado de la evaluación del Departamento de Defensa no debe tener más de tres años de antigüedad. Para los tres niveles de CMMC, la definición de «vigente» incluye el requisito de que no haya habido «ningún cambio en el cumplimiento de CMMC» desde la fecha de la evaluación o el certificado correspondiente.

• Requisitos de notificación

La norma propuesta también exigiría a los contratistas notificar a la oficina contratante en un plazo de 72 horas «cuando se produzcan fallos en la seguridad de la información o cambios en el estado del certificado CMMC o en los niveles de autoevaluación CMMC durante la ejecución del contrato». La norma propuesta no define con precisión lo que el Departamento de Defensa entiende por «fallos en la seguridad de la información». En la medida en que el Departamento de Defensa pretende que ese término abarque los «ciberincidentes», tal y como se utiliza en el DFARS 252.204-7012, los contratistas ya tienen la obligación de notificar los «ciberincidentes» que afecten a sus sistemas de información cubiertos en un plazo de 72 horas desde su descubrimiento. Sin embargo, la notificación CMMC propuesta añadiría una nueva carga para los contratistas, ya que les obligaría a notificar al funcionario contratante individual de cada contrato del Departamento de Defensa que contenga un requisito de certificación o evaluación CMMC, a diferencia del requisito actual de notificación de «ciberincidentes», que permite a los contratistas presentar un único informe centralizado a través del portal didbnet.dod.mil.

• Hacer cumplir el cumplimiento de los subcontratistas

Las obligaciones de cumplimiento del CMMC se extienden a todos los niveles de la cadena de suministro que almacenan, procesan o transmiten FCI o CUI en sus sistemas de información, lo que significa que los contratistas y subcontratistas también deben asegurarse de que están tomando las medidas necesarias para garantizar que sus propios subcontratistas y proveedores cuenten con el certificado o la evaluación CMMC «actualizados» necesarios. Los contratistas deben establecer los requisitos correctos del nivel CMMC para los subcontratos y asegurarse de que todos los subcontratistas obtengan el nivel CMMC requerido, o superior, antes de adjudicar cualquier subcontrato. Los contratistas también deben trasladar la cláusula contractual CMMC (DFARS 252.204-7021) a los subcontratos en virtud de contratos con un nivel CMMC requerido, a menos que el subcontrato sea exclusivamente para la adquisición de artículos comerciales listos para usar (COTS). Las compras de servicios comerciales o productos comerciales que no sean artículos COTS deben cumplir con cualquier requisito CMMC aplicable. Por último, los contratistas deben asegurarse de que todos los subcontratistas y proveedores cumplan y confirmen el cumplimiento continuo de los requisitos de seguridad CMMC aplicables al subcontratista en función del nivel CMMC aplicable asignado al subcontrato.

Un reto que el Departamento de Defensa no resolvió en la norma propuesta es la falta de visibilidad que tienen los contratistas de nivel superior sobre el estado CMMC de sus subcontratistas. Mientras que un funcionario contratante del Departamento de Defensa puede simplemente consultar el estado CMMC de una empresa en el SPRS, los contratistas no pueden acceder a los registros del SPRS de sus posibles subcontratistas o proveedores. Por lo tanto, es probable que los contratistas tengan que exigir a los posibles subcontratistas que presenten certificaciones que acrediten que el subcontratista cuenta con la certificación o evaluación CMMC actual requerida al nivel exigido para el cumplimiento del contrato por parte del subcontratista.

• Puntos clave para contratistas

Aunque es posible que el Departamento de Defensa modifique algunos aspectos de la norma propuesta en función de los comentarios que reciba, la conclusión general de la norma propuesta por el Departamento de Defensa es clara: el Departamento de Defensa sigue adelante con su plan trienal para implementar CMMC 2.0, y los contratistas deben comenzar a prepararse para estos cambios si aún no lo han hecho.

A continuación se presentan otras conclusiones clave para los contratistas a partir de la norma propuesta por el Departamento de Defensa para implementar CMMC 2.0 en los contratos de defensa:

• Identifique todos los sistemas de información que utilizaría para almacenar, procesar o transmitir FCI o CUI durante la ejecución de sus contratos y subcontratos con el Departamento de Defensa, así como el tipo de información que se almacena, procesa o transmite a través de cada sistema. A continuación, puede evaluar qué requisitos del nivel CMMC se aplicarán a cada uno de los sistemas de información identificados del contratista y evaluar si dichos sistemas de información cumplen los requisitos de seguridad para ese nivel.
• Prepárese para el requisito de informar sobre «cualquier fallo en la seguridad de la información» o cambios en su nivel CMMC en un plazo de 72 horas, lo que incluye garantizar que su empresa esté preparada para comunicar dicha información al responsable de contratos del Departamento de Defensa para cada contrato sujeto a este requisito CMMC. Como se ha mencionado anteriormente, la norma propuesta exigiría notificar a cada responsable de contratos para un contrato CMMC, en lugar de un único informe a un portal centralizado para todo el Departamento de Defensa (como es el caso del actual requisito de notificación de «incidentes cibernéticos»).
• Asegúrese de que los cambios en la infraestructura de TI y los controles de seguridad se planifiquen y examinen con suficiente antelación, a fin de evitar acusaciones de que un cambio en dicha infraestructura o en dichos controles de seguridad ha provocado que el contratista incumpla los requisitos aplicables del CMMC. Un alto cargo de la empresa es responsable de presentar declaraciones de «cumplimiento continuo» de los requisitos del CMMC al menos una vez al año. Cambios como la eliminación de determinados controles de seguridad o el inicio del intercambio de FCI o CUI en un sistema de información para el que el contratista no dispone de un certificado o evaluación CMMC «actual» podrían dar lugar a acusaciones de que la declaración de cumplimiento continuo del contratista ya no es precisa.
• Comience a planificar el seguimiento y la aplicación del cumplimiento del CMMC en sus propios subcontratistas y proveedores. Empiece a clasificar el nivel de cumplimiento del CMMC que espera que cada subcontratista deba alcanzar para el trabajo que realiza. Comuníquese con los subcontratistas y proveedores con los que trabaja actualmente, o con los que prevé trabajar en el futuro, para ejecutar contratos del Departamento de Defensa, con el fin de evaluar en qué punto se encuentran dichos subcontratistas/proveedores en la implementación de los controles de seguridad que prevé que necesitarán una vez que el CMMC entre en vigor. Considere cómo exigirá a los subcontratistas o proveedores que certifiquen o documenten de otro modo que cuentan con la certificación o evaluación de nivel CMMC actual requerida y cómo incorporará dichos requisitos en los términos y condiciones de sus subcontratos.

Si tiene alguna pregunta sobre la norma propuesta o los requisitos del CMMC, póngase en contacto con Frank Murray, Erin Toomey o Caitlin Trevillyan.