La cláusula contractual CMMC ya está aquí: lo que deben saber los contratistas de defensa

La semana pasada se marcó un hito importante en el programa Cybersecurity Maturity Model Certification 2.0 (CMMC), el programa del Departamento de Defensa de los Estados Unidos (DoD) destinado a garantizar la seguridad de la información confidencial del DoD en los sistemas de información de los contratistas, ya que el DoD publicó la cláusula contractual que hará que el cumplimiento del CMMC sea un requisito previo para la adjudicación de contratos a partir de dentro de dos meses. El año pasado, el DoD finalizó los requisitos técnicos del programa CMMC, codificando los requisitos en 32 C.F.R. Parte 170. Esas regulaciones establecieron formalmente el programa CMMC y el Ecosistema de Evaluación y Certificación CMMC, pero no proporcionaron el mecanismo mediante el cual los funcionarios contratantes del DoD harían cumplir el programa CMMC en los contratos del DoD. La norma definitiva del 10 de septiembre de 2025 (la «Norma de Contratación CMMC») llenó ese vacío y permite al Departamento de Defensa empezar a utilizar el cumplimiento del CMMC como condición para poder optar a la adjudicación de un contrato, a partir del 10 de noviembre de 2025. 

Este artículo ofrece primero un repaso del programa CMMC, a continuación identifica algunas conclusiones clave para los contratistas y subcontratistas de defensa a partir de la Norma de Contratación CMMC y, por último, recomienda algunas medidas para mejorar la preparación de su organización para el CMMC, ya que el programa comenzará a implantarse en los contratos de defensa en los próximos meses y años.  

¿Qué es CMMC, otra vez?

El CMMC es el mecanismo del Departamento de Defensa para verificar que los contratistas de defensa cumplan con sus requisitos de ciberseguridad preexistentes. El CMMC ha sufrido varios retrasos y reformas desde que se anunció originalmente en 2019, pero se considera clave para fortalecer la seguridad en toda la base industrial de defensa (DIB) y garantizar que los contratistas protejan los datos del Departamento de Defensa en un momento en que los ciberataques aumentan en frecuencia y complejidad. 

A alto nivel, el programa CMMC exige a los contratistas de defensa que cumplan con los parámetros de ciberseguridad basados en la sensibilidad de la información que manejan y que proporcionen certificaciones anuales de cumplimiento. El modelo incluye los siguientes tres niveles de certificación, que van desde protecciones básicas para la información de contratos federales (FCI) hasta requisitos más estrictos para la información controlada no clasificada (CUI):

• El nivel 1 incluye únicamente contratos con FCI y exige el cumplimiento de los 15 controles de seguridad enumerados actualmente en la cláusula 52.204-21 del Reglamento Federal de Adquisiciones (FAR), Protección básica de los sistemas de información de los contratistas cubiertos. El cumplimiento del nivel 1 exige una autoevaluación, que debe realizarse anualmente, y una declaración anual de cumplimiento.
• El nivel 2 incluye contratos con CUI y exige el cumplimiento de los 110 controles de seguridad de la Publicación Especial (SP) 800-171, Rev. 2, del Instituto Nacional de Estándares y Tecnología (NIST). Dependiendo del tipo de CUI procesada, almacenada o transmitida por los contratistas en sus sistemas de información, algunos contratistas sujetos al requisito del nivel 2 del CMMC podrán realizar una autoevaluación anual, mientras que otros necesitarán una verificación realizada por una organización evaluadora externa certificada (C3PAO). Las certificaciones de cumplimiento del nivel 2, ya sea mediante autoevaluación o certificación C3PAO, se requieren cada 3 años.
• El nivel 3 es un nivel de seguridad más estricto que se exigirá para los contratos que impliquen información clasificada de uso común (CUI) que el Departamento de Defensa considere especialmente sensible. Los contratistas que deseen obtener contratos de nivel 3 del CMMC deberán cumplir los 110 controles de seguridad de la norma NIST SP 800-171, Rev. 2, así como los 24 controles adicionales de la norma NIST SP 800-172.  Después de obtener la certificación C3PAO de nivel 2, los contratistas que deseen obtener una certificación CMMC de nivel 3 deberán obtener una certificación del Centro de Evaluación de Ciberseguridad DIB (DIBCAC) de la Agencia de Gestión de Contratos de Defensa (DCMA). Esta evaluación DIBCAC de nivel 3 debe realizarse cada tres años para mantener el estatus CMMC de nivel 3 (DIBCAC).

Puntos clave para los contratistas de la norma de contratación CMMC

1) Los requisitos del CMMC pueden empezar a aparecer en las licitaciones y contratos del Departamento de Defensa en menos de dos meses.

La Norma de Contratación CMMC otorga al Departamento de Defensa la facultad discrecional de comenzar a incluir la Cláusula Contractual CMMC en las licitaciones y, por lo tanto, hacer que el cumplimiento de la CMMC sea una condición para la adjudicación de contratos, a partir del 10 de noviembre de 2025. 

2) Qué esperar durante la implementación gradual del CMMC por parte del Departamento de Defensa

La Norma de Contratación CMMC hace referencia a la implementación por fases de los requisitos CMMC tal y como se establece en 32 C.F.R. § 170.3. Dicha normativa anunciaba la intención del Departamento de Defensa de implementar CMMC en cuatro fases a lo largo de los próximos tres años.  

• Fase 1: A partir del 10 de noviembre de 2025, las licitaciones y contratos aplicables requerirán el nivel 1 (autocertificado) o el nivel 2 (autocertificado) del CMMC como condición para la adjudicación del contrato. El Departamento de Defensa también tiene la facultad discrecional de exigir el nivel 1 (autocertificado) o el nivel 2 (autocertificado) del CMMC para las opciones ejercidas después del 10 de noviembre de 2025 en los contratos emitidos antes del 10 de noviembre de 2025, así como de incluir el nivel 2 (C3PAO) del CMMC en lugar del nivel 2 (autocertificado) para algunas adquisiciones.
• Fase 2: A partir del 10 de noviembre de 2026, las licitaciones y contratos aplicables requerirán evaluaciones CMMC Nivel 2 C3PAO como condición para la adjudicación del contrato. El Departamento de Defensa tendrá la facultad discrecional de retrasar la inclusión del CMMC Nivel 2 (C3PAO) a un período opcional en lugar de como condición para la adjudicación del contrato. El Departamento de Defensa también tendrá la facultad discrecional de incluir el requisito del CMMC Nivel 3 (DIBCAC) para algunas adquisiciones.
• Fase 3: A partir del 10 de noviembre de 2027, las licitaciones y contratos aplicables requerirán evaluaciones de nivel 2 de CMMC (C3PAO) como condición para la adjudicación del contrato y como condición para que el Departamento de Defensa ejerza un período de opción sobre un contrato adjudicado después del 10 de noviembre de 2025. El Departamento de Defensa también incluirá el requisito del nivel 3 del CMMC (C3PAO) como condición para la adjudicación de contratos para las licitaciones y contratos aplicables. El Departamento de Defensa tendrá la facultad discrecional de retrasar el requisito del nivel 3 del CMMC (C3PAO) a un período de opción en lugar de como condición para la adjudicación del contrato.
• Fase 4: A partir del 10 de noviembre de 2028, los requisitos del CMMC se incluirán en todas las licitaciones y contratos aplicables del Departamento de Defensa, así como en los periodos opcionales de los contratos adjudicados antes del 10 de noviembre de 2028.

3) ¿Qué contratos del Departamento de Defensa se ven afectados?

Cuando la Norma de Contratación CMMC entre en vigor el 10 de noviembre de 2025, si la oficina del programa o la actividad requerida determina que un contratista debe tener un nivel CMMC específico, los funcionarios de contratación pueden comenzar a insertar en las licitaciones y contratos la cláusula DFARS 252.204-7021 y especificar el nivel CMMC requerido para la adquisición en la cláusula DFARS 252.204-7025. Esto incluye licitaciones y contratos para productos y servicios comerciales y contratos de cualquier valor. 

La única excepción prevista en la Norma definitiva es que la cláusula 252.204-7021 del DFARS no se aplica a las licitaciones y contratos destinados exclusivamente a la adquisición de artículos disponibles en el mercado (COTS). Los artículos COTS son artículos de suministro que: (i) se venden en cantidades sustanciales en el mercado comercial; y (ii) se ofrecen al Gobierno, en virtud de un contrato o subcontrato de cualquier nivel, sin modificaciones, en la misma forma en que se venden en el mercado comercial. Como resultado, cualquier tipo de modificación del producto, incluso si dicha modificación es de un tipo que es estándar en el mercado comercial, convertiría al producto en un artículo no COTS y podría someter al contrato a los requisitos de cumplimiento de CMMC. 

Además, los funcionarios contratantes tienen la facultad discrecional de modificar bilateralmente los contratos existentes adjudicados antes del 10 de noviembre de 2025 para incluir la cláusula DFARS 252.204-7021 «en función de las necesidades del Departamento de Defensa». Los contratistas deben revisar cuidadosamente dichas modificaciones y garantizar su cumplimiento antes de aceptar la cláusula DFARS en su contrato.

A partir del 10 de noviembre de 2028, el Departamento de Defensa deberá incluir la cláusula DFARS 252.204-7021 en las licitaciones y contratos, salvo en los contratos destinados exclusivamente a artículos COTS, si «la oficina del programa o la actividad requerida determina que el contratista debe utilizar sistemas de información del contratista en la ejecución del contrato, la orden de trabajo o la orden de entrega para procesar, almacenar o transmitir FCI o CUI». Como resultado, a partir del 10 de noviembre de 2028, prácticamente todas las licitaciones y contratos del Departamento de Defensa, salvo los que se refieran exclusivamente a artículos COTS, exigirán cierto nivel de cumplimiento de la CMMC.

4) Sin CMMC, no hay contrato. 

Antes de adjudicar un contrato a un licitador seleccionado, el Departamento de Defensa debe verificar que dicho licitador cuenta con el nivel CMMC requerido en el SPRS. En otras palabras, la Norma definitiva establece una vía de aplicación que permite a los responsables de la contratación exigir la certificación (o la autodeclaración, según el nivel) como condición para poder optar al contrato. Se trata de un cambio operativo significativo, que traslada el CMMC de la política a la contratación, al autorizar el uso de la cláusula CMMC DFARS en las licitaciones y contratos del Departamento de Defensa y exigir el cumplimiento del CMMC como condición para la adjudicación del contrato. 

5) El estado «condicional» del CMMC puede proporcionar un respiro temporal (repito, temporal) a los contratistas que aún tienen trabajo por hacer en materia de ciberseguridad.

Es importante destacar que la Norma de Contratación CMMC ofrece cierta flexibilidad al permitir la adjudicación a un contratista que posea un estatus «condicional» CMMC de nivel 2 y nivel 3, si el período de estatus condicional es inferior a 180 días. Para convertir un estatus «condicional» de nivel 2 o nivel 3 en un estatus CMMC definitivo, el contratista debe completar con éxito su Plan de Acción y Hitos (POA&M) para los requisitos aún no cumplidos.  Dado que el estatus «condicional» solo es aceptable durante 180 días, el contratista debe asegurarse de subsanar cualquier requisito no cumplido en un plazo de 180 días a partir de la aprobación condicional. Las normas CMMC identifican ciertos requisitos de seguridad física que deben cumplirse para obtener la aprobación condicional, y dichos requisitos no pueden formar parte de un POA&M. 

Si el contratista no realiza las correcciones necesarias dentro del plazo de 180 días, el estatus CMMC condicional caducará y el Departamento de Defensa podrá aplicar las medidas contractuales habituales, incluida la rescisión del contrato. Además, el contratista no podrá optar a nuevos contratos con el requisito CMMC hasta que alcance el nivel CMMC requerido.

6) Consideraciones sobre la transmisión descendente e implementación de procesos para verificar el estado CMMC de los subcontratistas. 

La cláusula contractual CMMC, DFARS 252.204-7021, debe ser incluida por los contratistas principales y los subcontratistas de nivel superior en los subcontratos que contengan el requisito de procesar, almacenar o transmitir FCI o CUI. Esto hace recaer en los contratistas de nivel superior la responsabilidad de evaluar qué tipos de información necesitarán procesar, almacenar y transmitir sus subcontratistas, para determinar si deben transmitirse los requisitos del CMMC y qué nivel de cumplimiento del CMMC se aplicará al subcontratista.  Antes de adjudicar un subcontrato sujeto a un requisito CMMC (excepto los subcontratos exclusivamente para artículos COTS), el contratista principal o el subcontratista de nivel superior es responsable de confirmar que el subcontratista cuenta con una autoevaluación CMMC actualizada o un certificado del nivel CMMC requerido. Lamentablemente, solo el Departamento de Defensa tiene actualmente acceso al SPRS (el sistema en el que las empresas informarán de su estado CMMC), por lo que los contratistas de nivel superior tendrán que determinar qué documentación necesitarán de los subcontratistas (por ejemplo, certificaciones o capturas de pantalla del SPRS) para verificar el cumplimiento del subcontratista. 

7) Cambios clave de la norma propuesta a la norma definitiva

La norma propuesta incluía el requisito de que los contratistas notificaran a la oficina contratante en un plazo de 72 horas «cuando se produjeran fallos en la seguridad de la información o cambios en el estado del certificado CMMC o en los niveles de autoevaluación CMMC durante la ejecución del contrato». La norma propuesta no definía con precisión lo que el Departamento de Defensa entendía por «fallos en la seguridad de la información». Reconociendo la dificultad de cumplir con este requisito y determinando que la cláusula DFARS ya incluye salvaguardias suficientes en la definición del estado «actual» del CMMC, el requisito de confirmación anual y la notificación de incidentes cibernéticos en un plazo de 72 horas, el Departamento de Defensa eliminó de la cláusula contractual final del CMMC el requisito de que los contratistas informaran de «fallos en la seguridad de la información» o cambios en el cumplimiento de la norma 32 CFR Parte 170. Para que el estado CMMC sea «actual», no debe haber cambios en el cumplimiento de los requisitos de la norma 32 CFR Parte 170 desde la fecha del estado CMMC.

Medidas recomendadas para que los contratistas se preparen para los requisitos contractuales del CMMC

La preparación para el cumplimiento del CMMC requiere una planificación estratégica y un compromiso. A continuación se indican las medidas clave que deben adoptar los contratistas de defensa para garantizar la continuidad de su elegibilidad para los contratos del Departamento de Defensa:

1. Identifique todos los sistemas de información que utilizaría para almacenar, procesar o transmitir FCI o CUI durante la ejecución de sus contratos y subcontratos con el Departamento de Defensa, así como el tipo de información que se almacena, procesa o transmite a través de cada sistema. A continuación, puede evaluar qué requisitos del nivel CMMC se aplicarán a cada uno de los sistemas de información identificados del contratista y evaluar si dichos sistemas de información cumplen los requisitos de seguridad para ese nivel.
2. Asegúrese de que los cambios en la infraestructura de TI y los controles de seguridad se planifiquen y examinen con suficiente antelación, a fin de evitar acusaciones de que un cambio en dicha infraestructura o en dichos controles de seguridad ha provocado que el contratista incumpla los requisitos aplicables del CMMC. Un alto cargo de la empresa es responsable de presentar declaraciones de «cumplimiento continuo» de los requisitos del CMMC al menos una vez al año. Cambios como la eliminación de determinados controles de seguridad o el inicio del intercambio de FCI o CUI en un sistema de información para el que el contratista no dispone de un certificado o evaluación CMMC «actual» podrían dar lugar a acusaciones de que la declaración de cumplimiento continuo del contratista ya no es precisa.
3. Mantenga actualizado su Plan de Seguridad del Sistema (SSP) y cierre los requisitos pendientes en su POA&M. Confirme que se han cumplido los requisitos del NIST necesarios para obtener el estatus CMMC condicional.
4. Comience a planificar el seguimiento y la aplicación del cumplimiento del CMMC en sus propios subcontratistas y proveedores. Empiece a clasificar el nivel de cumplimiento del CMMC que espera que cada subcontratista deba alcanzar para el trabajo que realiza. Comuníquese con los subcontratistas y proveedores con los que trabaja actualmente, o con los que prevé trabajar en el futuro, para ejecutar contratos del Departamento de Defensa, con el fin de evaluar en qué punto se encuentran dichos subcontratistas/proveedores en la implementación de los controles de seguridad que prevé que necesitarán una vez que el CMMC entre en vigor. Considere cómo exigirá a los subcontratistas o proveedores que certifiquen o documenten de otro modo que cuentan con la certificación o evaluación de nivel CMMC actual requerida y cómo incorporará dichos requisitos en los términos y condiciones de sus subcontratos.
5. Si se requiere una evaluación por parte de terceros, prográmela con suficiente antelación. El número de C3PAO aprobadas es limitado, por lo que concertar una cita lo antes posible garantizará que la evaluación se realice a tiempo, antes de que se publique la licitación que requiere dicha evaluación y certificación.
6. Seguir notificando oportunamente los incidentes cibernéticos en un plazo de 72 horas.

Conclusión

A medida que nos acercamos al 10 de noviembre de 2025, fecha de entrada en vigor de la fase 1 de la implantación del CMMC, los contratistas de defensa se enfrentan a un momento de transformación en el cumplimiento de la ciberseguridad. Foley adopta un enfoque multidisciplinario para el cumplimiento del CMMC, proporcionando a los clientes asesoramiento integral para ayudarles a garantizar su elegibilidad para los contratos y mantener un ecosistema de defensa seguro, desde recomendar las mejores medidas estratégicas proactivas para el cumplimiento, revisar los requisitos de los contratos de defensa, gestionar y coordinar el proyecto de cumplimiento, contratar y supervisar a las empresas de TI, revisar los SSP y los POA&M, hasta gestionar los incidentes de ciberseguridad.

Si tiene alguna pregunta sobre la Norma definitiva o los requisitos del CMMC, póngase en contacto con Jen Urban, Erin Toomey, Frank Murray o Samuel Goldstick.