El Pentágono pausa la regla de auditoría cibernética que estaba expulsando a los pequeños proveedores.
La cifra que parece haber terminado con el programa no es un costo. Es una relación: más de 100,000 empresas en la cadena de suministro de defensa estadounidense necesitan una auditoría de ciberseguridad independiente, frente a aproximadamente 100 evaluadores acreditados autorizados para llevarla a cabo.
“Así que las matemáticas simplemente no cuadran”, dijo Kirsten Davies, la directora de información del Pentágono, a los reporteros, en lo que podría ser la frase más citada jamás producida por una revisión de certificación federal.
El lunes, el Departamento de Guerra suspendió la Fase 2 del programa de Certificación del Modelo de Madurez de Ciberseguridad, el régimen de cumplimiento que habría requerido que los contratistas que manejan información sensible pero no clasificada pasaran una auditoría por un evaluador de terceros certificado antes de ganar contratos.
Esos requisitos debían entrar en vigor el 10 de noviembre. Ahora están congelados, junto con cada otro hito pendiente del CMMC, hasta nuevo aviso.
El 💜 de la tecnología de la UE Las últimas novedades de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris, y un arte de IA cuestionable. Es gratis, cada semana, en tu bandeja de entrada. ¡Inscríbete ahora! Un nuevo Grupo de Trabajo de Reforma del CMMC tiene 60 días para revisar todo el programa y presentar un informe. Davies y Michael Duffey, el subsecretario de adquisición y sostenibilidad, ambos declinaron descartar la posibilidad de eliminar el CMMC por completo cuando concluya la revisión.
El razonamiento se expone en un memo firmado por Davies el 13 de julio, que describe el programa como una “lista de verificación de cumplimiento” que es “estructuralmente incompatible” con la necesidad del departamento de expandir su base de proveedores.
La combinación de costos de cumplimiento, una escasez de capacidad de evaluación y cronogramas regulatorios complejos, escribió, está “forzando activamente a nuevos entrantes innovadores y pequeñas empresas a optar por no participar” en contratos de defensa.
Davies dijo que los datos recopilados por la Administración de Pequeñas Empresas sugerían que las fases posteriores del CMMC podrían costar a las pequeñas y medianas empresas más de $7 mil millones al año en aprobaciones de cumplimiento.
Kelly Loeffler, la administradora de la SBA, dijo que su agencia había escuchado directamente de “pequeñas empresas críticas para la misión” que la certificación se estaba convirtiendo en una barrera insostenible para el trabajo de defensa.
Nada de esto fue una sorpresa para quienes estaban observando. La Oficina de Responsabilidad del Gobierno advirtió en marzo que los estándares podrían resultar demasiado difíciles y costosos para que los proveedores más pequeños los cumplieran, y que algunos abandonarían la base industrial de defensa en lugar de intentarlo. La industria ha dicho lo mismo desde 2019, aunque la exposición es real: las empresas de tamaño mediano pierden más por cibercrimen que los gigantes.
El CMMC ha sido pausado ahora dos veces. La administración Biden lo detuvo en 2021 para una revisión que redujo los requisitos y produjo “CMMC 2.0”, que tomó años de elaboración de reglas para hacerse aplicable.
La Fase 1 llegó en noviembre de 2025, requiriendo autoevaluaciones. La Fase 2 iba a introducir las auditorías que eran el objetivo completo del ejercicio, reemplazando la auto-certificación, que los informes de los inspectores generales habían encontrado repetidamente que los contratistas no estaban cumpliendo.
Las autoevaluaciones de la Fase 1 siguen vigentes. Durante la suspensión, el Pentágono dice que vigilará el cumplimiento a través de esas autoevaluaciones y controles seleccionados liderados por el gobierno contra el estándar NIST 800-171, es decir, a través del sistema de honor que el CMMC fue diseñado para reemplazar.
La gestión cibernética federal no ha inspirado últimamente confianza en este punto, dado que CISA, la agencia encargada de defender las redes civiles, no tenía un manual de respuesta a incidentes propio cuando fue violada.
Davies tuvo cuidado de decir que el dinero ya gastado en certificación no se desperdició. “Cada dólar gastado en seguridad es un dólar bien gastado”, dijo, dirigiéndose a los contratistas que habían pasado un año y sumas considerables preparándose para un plazo que se evaporó un lunes por la tarde. “No estamos reduciendo la ciberseguridad a través de esta medida. Estamos reduciendo la burocracia.”
El movimiento se ajusta a un departamento que se ha vuelto relajado sobre sus propias reglas cuando ralentizan las compras, habiendo incluido a Anthropic en la lista negra como una amenaza de seguridad mientras sus agencias de inteligencia continuaban usando a Claude, y habiendo pasado años invitando a externos a hackear sus redes bajo la teoría de que los atacantes amistosos superan la burocracia.
El Cyber AB, el organismo que acredita a los evaluadores del CMMC, no fue informado con antelación. Davies confirmó el lunes que su oficina aún no le había informado sobre la suspensión o la revisión.
Una solicitud de información ahora se envía a la base industrial de defensa. El grupo de trabajo leerá las respuestas antes de recomendar qué reemplaza el programa, si es que algo lo hace, y presentará un informe a mediados de septiembre.
Otros artículos
El Pentágono pausa la regla de auditoría cibernética que estaba expulsando a los pequeños proveedores.
El Pentágono ha suspendido las auditorías de ciberseguridad de la Fase 2 del CMMC, citando costos prohibitivos y una escasez de evaluadores que están sacando a los pequeños contratistas del mercado.
