La industria de la defensa no es solo las llamativas máquinas que vemos en los grandes salones internacionales como Le Bourget, Farmborough, ILA, Eurosatory o DSEI. En cada sistema de armas hay una gran cantidad de componentes, y detrás de ellos, una pléyade de proveedores de las grandes empresas de renombre internacional.
Esos proveedores que diseñan y fabrican componentes y productos de uso militar, no solo deben cumplir con los requisitos y estándares propios de sus productos, si no también con toda la normativa relacionada con el ámbito de la defensa.
La globalización ha permitido que un importante número de esos proveedores puedan suministrar componentes o equipos las fuerzas armadas de los Estados Unidos, siempre que cumplan determinados requisitos legales. Dentro de esos requisitos está la seguridad informática.
Para ello, el Departamento de Guerra de EE.UU. busca proteger información sensible en su cadena de suministro y en contratos de defensa. Esto implica que unas 200.000 empresas en todo el mundo deberán acreditar la certificación de madurez en ciberseguridad. Su implantación será gradual, pero la fecha clave es noviembre de 2028, cuando pasará a ser obligatoria para los contratos afectados.
Antecedentes
En 2002, la Ley Federal de Gestión de la Seguridad de la Información exigió a cada agencia federal de Estados Unidos desarrollar, documentar e implementar un programa integral para garantizar la seguridad de la información y los sistemas informáticos.
En 2002, la Ley de Investigación y Desarrollo en Ciberseguridad autorizó la asignación de fondos a la Fundación Nacional de Ciencias (NSF) y al Secretario de Comercio para el Instituto Nacional de Estándares y Tecnología (NIST) con el fin de establecer nuevos programas y aumentar la financiación de algunos programas existentes para la investigación y el desarrollo en seguridad informática y de redes (CNS), así como para becas de investigación en CNS. Esto condujo al desarrollo de requisitos de seguridad en el marco de la Certificación del Modelo de Madurez en Ciberseguridad (Cybersecurity Maturity Model Certification o CMMC, por sus siglas en inglés).
El propósito del CMMC es verificar que los sistemas de información utilizados por los contratistas del Departamento de Defensa de los Estados Unidos para procesar, transmitir o almacenar datos confidenciales cumplan con los requisitos obligatorios de seguridad de la información. El objetivo es garantizar la protección adecuada de la información controlada no clasificada y la información de contratos federales (Federal Contract Information o FCI) que es almacenada y procesada por el socio o proveedor.
La implantación de la CMMC ya está en marcha. El proceso comenzó el 10 de noviembre de 2025 con requisitos preliminares de autoevaluación en algunos contratos, siguió con nuevas exigencias previstas para noviembre de 2026 y avanzará hacia controles más altos en 2027. La fase final llegará el 10 de noviembre de 2028.
Esto significa que muchas empresas no están ante una decisión teórica, sino ante una cuenta atrás real. Cuanto más tarde empiecen a prepararse, más difícil y costoso será cerrar brechas de ciberseguridad, documentar procesos y superar la validación correspondiente.
Las novedades de la CMMC
CMMC, que busca proteger la información sensible que circula en la cadena de suministro del Gobierno estadounidense, afecta en la práctica tanto a contratistas directos como a subcontratistas, y también a empresas europeas que trabajan en defensa, aeroespacio, ingeniería, software, comunicaciones y servicios asociados.
El punto decisivo es el tipo de información que maneja cada empresa. El esquema distingue entre FCI (Federal Contract Information), información federal no pública vinculada a contratos, (es la información que el Gobierno de EE. UU. entrega o genera para un contrato) y CUI (Controlled Unclassified Information), información no clasificada pero sensible que exige protección específica.
En la práctica, la FCI suele ser el nivel más básico de información contractual, mientras que la CUI tiene un nivel de sensibilidad mayor y exige tomar medidas de seguridad más estrictas. En el contexto de CMMC, la FCI suele asociarse al nivel 1 y la CUI a los niveles 2 o 3, según el contrato. Según ese nivel, la empresa deberá afrontar una autoevaluación o una auditoría externa.
Tres niveles de exigencia
El nivel 1 es el básico y se centra en organizaciones que gestionan FCI, con controles de ciberseguridad fundamentales y autoevaluación. El nivel 2 será el más habitual, porque se aplica a quienes tratan, almacenan o transmiten CUI, y puede requerir desde una autoevaluación hasta una revisión por terceros. El nivel 3 es el más exigente y está reservado para entornos de mayor sensibilidad, con evaluación externa obligatoria.
Para la industria, el problema no es solo técnico, sino también económico. Los costes dependen del tamaño de la empresa, de su madurez en ciberseguridad, del grado de remediación necesario y de si el contrato exige auditoría de terceros.
El coste de implantación
Este tipo de gasto convierte la certificación en una barrera de entrada para pymes y empresas medianas, pero también en una condición de supervivencia comercial. Quedarse fuera del cumplimiento puede significar perder contratos actuales, renovaciones o acceso a futuras licitaciones. Por tanto, el impacto no es solo industrial: también afecta a la competitividad, a la continuidad de suministro y a la participación en futuras licitaciones.
Con el nuevo marco de ciberseguridad del Pentágono, solo para empresas españolas vinculadas a programas de defensa de Estados Unidos, puede poner en riesgo contratos por 28.000 millones de euros. Si extrapolamos las cifras al resto de la Unión Europea las cifras son monumentales.
Calendario de implantación
La implantación de la CMMC ya está en marcha. El proceso comenzó el pasado 10 de noviembre de 2025 con requisitos iniciales de autoevaluación en algunos contratos, siguió con nuevas exigencias previstas para noviembre de 2026 y avanzará hacia controles más altos en 2027. La fase final llegará el 10 de noviembre de 2028. Esto significa que muchas empresas no están ante una decisión teórica, sino ante una cuenta atrás real. Cuanto más tarde empiecen a prepararse, más difícil y costoso será cerrar brechas de ciberseguridad, documentar procesos y superar la validación correspondiente.
Profesionales y empresas del ámbito de la defensa han manifestado su preocupación por la falta de comunicaciones oficiales centralizadas y un calendario acelerado de implementación.
El elevado número de empresas afectadas genera un volumen de trabajo para las Organizaciones de Evaluación de Terceros CMMC (C3PAO) que aún no están acreditadas, lo que parece poco realista según los plazos propuestos
La posición de la industria europea
El efecto sobre la Unión Europea es especialmente sensible porque la unión tiene una amplia base de pequeñas y medianas empresas integradas en cadenas de suministro ligadas a defensa, tecnología y aeroespacio.
La nueva exigencia del Pentágono puede acelerar inversiones en ciberseguridad, pero también filtrar proveedores y favorecer a los que ya tienen estándares más maduros. En términos de mercado, la clave será quién logra certificarse a tiempo y quién no. Para las compañías europeas con negocios en Estados Unidos, la CMMC deja de ser una cuestión documental para convertirse en un factor estratégico de acceso al mercado.
