Si envieu qualsevol cosa al Departament de Defensa (DoD) —des de peces mecanitzades fins a programari, des de serveis logístics fins a plànols d'enginyeria— el rellotge corre per al vostre negoci. El programa de Certificació del Model de Maduresa de la Ciberseguretat (CMMC) va entrar oficialment en els contractes del DoD el 10 de novembre de 2025, i la fase de certificació per part de tercers que el segueix el 10 de novembre de 2026 desqualificarà silenciosament milers de petits sotscontractistes que pensaven que tenien més temps.
El fet més incòmode sobre la CMMC és que no és realment un reglament nou. És un mecanisme de verificació per als requisits de ciberseguretat que s'han integrat en el Suplement al Reglament Federal d'Adquisicions de Defensa (DFARS) des del 2017. Les enquestes de la indústria encara mostren que menys del 15 per cent dels contractistes de defensa han implementat completament aquests controls subjacents del NIST SP 800-171. Aquesta és la bretxa que la CMMC està dissenyada per exposar —i la bretxa que ara és contractualment rellevant per determinar si guanyeu o perdeu una licitació.
Aquesta guia s'adreça als propietaris, directors d'operacions (COO) i responsables de TI de petites empreses que de sobte es troben amb la necessitat de traduir un marc de 110 controls, una guia d'avaluació de 320 objectius i un model de certificació de tres nivells en una cosa que puguin pressupostar, planificar i lliurar abans que tanqui la propera convocatòria.
Els tres nivells en llenguatge planer
La CMMC 2.0 redueix el model original de cinc nivells a tres. El nivell que necessiteu es determina pel tipus d'informació governamental que gestioneu, no per la mida de la vostra empresa o el valor monetari del vostre contracte.
Nivell 1 (Fonamental) s'aplica si la vostra única informació relacionada amb el DoD és Informació del Contracte Federal (FCI) —la informació no pública generada en virtut o per a un contracte que el govern no ha designat per a la difusió pública. Penseu en comandes de compra, calendaris de lliurament, dades bàsiques de declaració de treballs. El Nivell 1 s'assigna als 17 controls de salvaguarda bàsics de la clàusula FAR 52.204-21 i se satisfà mitjançant una autoavaluació anual amb l'afirmació d'un alt càrrec en el Sistema de Risc de Rendiment dels Proveïdors (SPRS) del DoD.
Nivell 2 (Avançat) s'aplica en el moment en què qualsevol Informació No Classificada Controlada (CUI) entra en el vostre entorn. La CUI és una categoria més àmplia que inclou dades tècniques amb control d'exportació, informació tècnica controlada, informació sobre propulsió nuclear naval, certs tipus d'informació d'identificació personal i altres categories definides en el Registre CUI. El Nivell 2 requereix la implementació dels 110 controls del NIST SP 800-171 Revisió 2, avaluats segons els 320 objectius d'avaluació del NIST SP 800-171A. La majoria dels contractes de Nivell 2 requereixen una avaluació triennal realitzada per una Organització d'Avaluadors Tercers Certificats (C3PAO). Una petita fracció de contractes de "CUI no crítica" pot permetre l'autoavaluació anual, però no heu d'assumir que el vostre contracte és apte tret que el responsable de contractació ho digui explícitament.
Nivell 3 (Expert) està reservat per als contractistes que gestionen CUI associada amb els programes de màxima prioritat del DoD. Afegeix 24 controls del NIST SP 800-172 sobre els 110 del 800-171, i és avaluat pel Centre d'Avaluació de Ciberseguretat de la Base Industrial de Defensa (DIBCAC). Si encara no sabeu que sou de Nivell 3, és gairebé segur que no ho sou.
La implicació pràctica: si la vostra empresa rep plànols tècnics, especificacions marcades com a CUI, dades controlades per ITAR o qualsevol cosa que el contractista principal descrigui com a "controlada", sou un taller de Nivell 2 i heu de pressupostar en conseqüència.
Què ha canviat en la norma final
L'esmena del DFARS que codifica la CMMC va entrar en vigor el 10 de novembre de 2025, amb un desplegament gradual de quatre anys. Dos aspectes de la norma mereixen atenció perquè sovint s'entenen malament.
En primer lloc, la clàusula DFARS 252.204-7019 —el requisit independent de realitzar una autoavaluació bàsica del NIST SP 800-171 i publicar una puntuació en l'SPRS— s'ha integrat en les clàusules CMMC i ja no existeix com una disposició separada. Moltes petites empreses encara operen sota el supòsit que publicar una puntuació d'autoavaluació és el final de la seva obligació de compliment. Després del 10 de novembre de 2025, és el mínim indispensable necessari per licitar, i després del 10 de novembre de 2026, ja no serà suficient per a la majoria dels contractes CUI en absolut.
En segon lloc, la DFARS 252.204-7021 converteix la certificació CMMC en una condició per a l'adjudicació del contracte i exigeix que el contractista mantingui aquesta certificació durant tot el període d'execució. Això significa que la vostra certificació no pot caducar silenciosament a meitat del contracte; si ho fa, tindreu un problema de compliment que es trasllada amunt en la cadena de subministrament cap al contractista principal.
En tercer lloc, la DFARS 252.204-7012 —la clàusula d'informe d'incidències que està en vigor des del 2017— es manté intacta. Encara teniu 72 hores per informar d'un incident cibernètic que afecti la informació de defensa coberta, i encara heu de proporcionar suports per a l'anàlisi forense quan se sol·liciti.
Les 14 famílies de controls, desmitificades
Els 110 controls del nivell 2 s'organitzen en 14 famílies que reflecteixen l'estructura de la norma NIST SP 800-171. Llegir-los en un llenguatge planer ajuda a veure on resideix realment la feina.
Control d'accés (22 controls) regula qui pot iniciar sessió, què pot veure i què pot fer un cop dins. Cal preveure un inventari de cada usuari, rol i compte compartit en el vostre entorn.
Conscienciació i formació (3 controls) requereix una formació documentada en matèria de seguretat per a tots els usuaris i una formació basada en rols per als usuaris amb privilegis. Els mòduls genèrics de pesca de dades (phishing) no són suficients per si sols.
Auditoria i rendició de comptes (9 controls) exigeix que els vostres sistemes generin, protegeixin i revisin registres (logs) suficients per reconstruir què va passar durant un incident. Moltes petites empreses fallen aquí, no perquè no puguin generar registres, sinó perquè ningú els revisa.
Gestió de la configuració (9 controls) us demana establir línies base per a cada sistema que gestioni CUI (Informació No Classificada Controlada) i gestionar els canvis en aquestes línies base. Aquí és on el programari no autoritzat i la "shadow IT" es converteixen en una troballa d'auditoria.
Identificació i autenticació (11 controls) és la família de l'autenticació de doble factor (MFA). L'MFA en comptes amb privilegis és innegociable. L'MFA en tots els comptes que accedeixen a CUI és la interpretació pràctica que apliquen els auditors.
Resposta a incidents (3 controls) requereix una capacitat provada de resposta a incidents amb procediments documentats, formació i informes. El rellotge de 72 hores del DFARS 7012 ho fa palès.
Manteniment (6 controls) controla com realitzeu el manteniment dels sistemes que gestionen CUI, incloent-hi el manteniment remot i la supervisió dels proveïdors que interactuen amb el vostre entorn.
Protecció dels suports (9 controls) cobreix l'etiquetatge, el transport, el sanejament i la destrucció de suports que contenen CUI; sí, inclosa la unitat USB que conté còpies de seguretat de dades d'enginyeria.
Seguretat del personal (2 controls) requereix una verificació abans de concedir l'accés a CUI i garanteix que l'accés finalitzi quan s'acaba la relació laboral.
Protecció física (6 controls) regula l'accés físic a les instal·lacions on es processa CUI, incloent-hi els registres de visites i les proteccions dels equips.
Avaluació de riscos (3 controls) requereix avaluacions de riscos periòdiques i escanejos de vulnerabilitats dels sistemes dins de l'abast.
Avaluació de la seguretat (4 controls) exigeix un Pla de Seguretat del Sistema (SSP) documentat i un Pla d'Acció i Fites (POA&M), els dos documents que qualsevol assessor obre primer.
Protecció de sistemes i comunicacions (16 controls) cobreix la protecció de perímetres, el xifratge en trànsit, el xifratge en repòs i la separació arquitectònica de la CUI respecte a altres dades.
Integritat de sistemes i informació (7 controls) cobreix la correcció de fallades, la protecció contra codi maliciós i el monitoratge.
Els 110 controls s'amplien a 320 objectius d'avaluació a la norma NIST SP 800-171A. Cada objectiu és una pregunta discreta de sí o no que farà l'assessor, i cadascun requereix evidències: una política, una captura de pantalla de la configuració, una mostra de registre, un reconeixement signat. Els creadors de repositoris d'evidències de compliment solen estimar entre 600 i 1.200 peces individuals d'evidència per a una avaluació neta del Nivell 2.
Què costa realment això a una petita empresa
L'anàlisi d'impacte normatiu del propi DoD estima que aproximadament 229.818 de les 337.968 entitats afectades són petites empreses. La realitat dels costos varia més del que qualsevol presentació de vendes admetrà.
Avaluacions de mancances (gap assessments) de consultors independents oscil·len entre uns 3.500 per a una revisió exhaustiva de la Rev. 2 que inclogui un esborrany de l'SSP. Aquests són els millors diners que podeu gastar abans de comprometre-us amb la correcció, perquè us indica la magnitud real del projecte.
Costos de correcció per a les petites empreses solen situar-se entre els 35.000 i els 115.000 \, depenent de la mancança. Els conceptes més cars solen ser: un entorn (tenant) de Microsoft 365 GCC High compatible (o l'equivalent), detecció i resposta en punts finals (EDR), autenticació de doble factor a tot arreu, un servei gestionat de gestió d'esdeveniments i informació de seguretat (SIEM) i la mà d'obra per redactar i gestionar les polítiques requerides.
Tarifes d'avaluació de C3PAO per a la certificació de Nivell 2 solen oscil·lar entre els 20.000 per a un entorn petit, i són més elevades per a entorns més grans o complexos. Els terminis de lliurament són actualment d'entre 3 i 6 mesos i s'estan allargant: hi ha menys de 100 C3PAO autoritzats per atendre uns 80.000 contractistes de Nivell 2, i el ritme no arriba a cobrir la demanda.
Costos operatius continus —serveis gestionats, formació, eines, temps del personal intern— solen afegir entre 10.000 anuals per a una petita empresa, cada any, indefinidament.
El cost total de propietat per a una petita empresa de Nivell 2, incloent-hi el primer cicle de certificació, sol situar-se entre els 80.000 en tres anys. El Nivell 1 és dràsticament més barat i sovint es pot assolir per menys de 10.000 $ si el vostre entorn ja està gestionat de manera moderadament bona.
Aquestes xifres són incòmodes. També es poden repercutir en les ofertes. Si els vostres contractes no poden absorbir-les, és una qüestió estratègica que val la pena respondre abans de passar un altre trimestre buscant feina al DoD.
L'escletxa del Pla d'Acció i Fites (POA&M)
La regla final preserva un mecanisme limitat de POA&M per al Nivell 2. Podeu obtenir una certificació condicional amb elements pendents, sempre que:
- La vostra puntuació SPRS total sigui igual o superior a 88 (sobre 110).
- Els elements pendents no figurin a la llista de controls d'alt valor que s'han de complir íntegrament en el moment de l'avaluació (autenticació de múltiples factors, criptografia validada per FIPS, monitoratge continu de la seguretat i uns pocs més).
- Tanqueu tots els elements pendents en un termini de 180 dies, moment en què una avaluació de tancament converteix el vostre estat condicional en definitiu.
Els POA&M són útils, però no substitueixen la preparació. Una certificació condicional amb un tancament fallit als 180 dies és materialment pitjor que una avaluació inicial retardada, perquè pot comportar la pèrdua de la certificació a meitat del contracte.
Un camí de 90 dies per a un petit contractista que comença ara
Si esteu llegint això a mitjans del 2026 i no heu començat, aquí teniu un calendari comprimit realista. Assumeix que el Nivell 2 és el vostre objectiu i que el vostre entorn és aproximadament representatiu d'una petita empresa d'entre 10 i 50 empleats.
Dies 1 a 14: Abast i inventari. Identifiqueu cada sistema, compte d'usuari i flux de dades que toqui CUI. La majoria de les petites empreses sobreestimen dràsticament l'abast de la CUI en el seu entorn; l'objectiu és l'enclau defensable més petit possible que encara compleixi les obligacions contractuals. Decidiu si utilitzareu un enclau CUI dedicat (un inquilí de Microsoft 365 GCC High separat o equivalent) o si intentareu el compliment a tota l'empresa. Els enclaus gairebé sempre són més barats per a les petites organitzacions.
Dies 15 a 30: Avaluació de mancances. Contracteu una organització de professionals registrats (RPO) o un consultor qualificat per realitzar una avaluació de mancances de la NIST SP 800-171 Rev. 2 respecte als 110 controls i 320 objectius. Insistiu en un informe escrit amb conclusions control per control, recomanacions de remediació i un esborrany de l'SSP.
Dies 31 a 60: Sprints de remediació. Abordeu primer els controls d'alt valor perquè no poden figurar en un POA&M. Implementeu l'MFA en cada compte que toqui CUI. Migreu les càrregues de treball CUI a un inquilí conforme. Desplegueu EDR. Establiu una recollida de registres centralitzada. Escriviu o compreu els 14 documents de política que preveu la guia d'avaluació.
Dies 61 a 75: Documentació i formació. Finalitzeu l'SSP, completeu la formació de seguretat basada en rols, realitzeu el vostre primer exercici de simulació (tabletop) de resposta a incidents interns i actualitzeu la vostra puntuació SPRS. Construïu el repositori de proves que sol·licitarà l'avaludor.
Dies 76 a 90: Preavaluació i reserva. Realitzeu un simulacre d'avaluació interna utilitzant la NIST SP 800-171A com a rúbrica. Tanqueu qualsevol mancança restant. Envieu una sol·licitud per a la programació de la C3PAO, i accepteu que l'avaluació real pot ser d'aquí a 90 o 180 dies des de la data de la sol·licitud. Utilitzeu el temps d'espera per fer funcionar els controls; els avaluadors busquen proves de funcionament sostingut, no polítiques acabades de crear.
Això és agressiu. És assolible per a una organització amb compromís executiu, un abast honest i la voluntat de gastar. Les organitzacions que intenten adaptar el compliment a un entorn dispers i no documentat solen trigar entre 9 i 12 mesos.
Comptabilitat per al projecte de compliment
Dues errades en la gestió financera solen complicar els projectes de CMMC a les petites empreses.
La primera és tractar la despesa de compliment com un sol paquet. Un pla de comptes net separa els costos de remediació puntuals (capitalitzables en molts casos), les subscripcions de programari recurrents (despeses d'explotació), la mà d'obra del personal intern (sovint assignable a diversos programes) i les taxes d'avaluació (un cost a nivell de contracte que pot ser admès sota les taxes de costos indirectes per a treballs amb reemborsament de costos). Els contractistes de defensa amb sistemes comptables rellevants per a la DCAA necessiten especialment fer un seguiment precís d'aquestes categories; una classificació errònia pot aparèixer anys més tard com a costos qüestionats.
La segona és no fer un seguiment dels costos de CMMC per contracte. Si la vostra inversió en compliment ha estat impulsada per un requisit contractual específic, és possible que en pugueu recuperar una part mitjançant costos admissibles o preus en adjudicacions posteriors. Si no podeu assenyalar quin contracte ha recolzat un dòlar determinat, no podreu defensar el cas.
La comptabilitat en text pla i amb control de versions s'adapta bé a aquest entorn precisament perquè deixa una traça auditable. Cada transacció és llegible per humans, cada canvi està en el control de versions i els mateixos llibres poden ser revisats per un auditor de la DCAA sense necessitat d'eines especialitzades de proveïdors. Diversos controls de la NIST SP 800-171 —especialment en les famílies d'Auditoria i Rendició de Comptes i Gestió de la Configuració— demanen propietats similars en els sistemes de TI, i hi ha una elegància discreta en el fet que els registres financers compleixin el mateix estàndard.
Modes de fallada comuns a evitar
Uns quants patrons es repeteixen en els petits contractistes que suspenen la seva primera avaluació.
Tractar l'MFA com a opcional. L'autenticació de múltiples factors en comptes privilegiats és la fallada de control més comuna. També és la més barata de solucionar. Resoleu-ho la primera setmana.
Classificar malament la CUI. Ja sigui marcant massa contingut com a CUI (ampliant l'abast i el cost de manera innecessària) o marcant-ne massa poc (creant una exposició real). Pressioneu el vostre responsable de contractació per obtenir claredat sobre les categories de CUI abans de definir l'abast del projecte.
Confondre la seguretat informàtica amb el compliment de la ciberseguretat. Un proveïdor de serveis gestionats que manté els vostres ordinadors portàtils actualitzats no és el mateix que una RPO o una C3PAO. Les habilitats se solapen, però la documentació, les proves i el treball de preparació per a l'avaluació són una disciplina diferent.
Subestimar la documentació. Els avaluadors no donen crèdit per les explicacions verbals. Cada control necessita proves que existeixin avui, no proves que l'empresa podria produir si se li demanés. Construïu el repositori de proves a mesura que feu la remediació.
Creure que el contractista principal se n'encarregarà. Els contractistes principals transmeten els seus requisits de compliment a través de subcontractes. No són ni el vostre avaluador ni el vostre auditor, però abandonaran absolutament un subcontractista que posi en risc la seva certificació.
Mantingueu els vostres costos de conformitat visibles i auditables
La conformitat en ciberseguretat és ara una partida que cada contractista de defensa mantindrà durant tota la vida del programa. Fer un seguiment net d'aquests costos —per contracte, per família de controls, per remediació enfront de despesa operativa— és la diferència entre un projecte que podeu defensar en una auditoria de la DCAA i un projecte que erosiona silenciosament el vostre marge. Beancount.io ofereix comptabilitat en text pla que us proporciona una transparència completa i control de versions sobre cada registre financer, sense dependència de cap proveïdor ni informes de caixa negra. Comenceu de franc i aporteu als vostres llibres la mateixa preparació per a auditories que el CMMC exigeix al vostre entorn de TI.