El modelo CMMC fue diseñado por la Oficina del Subsecretario de Defensa para Adquisición y Mantenimiento (OUSD A&S) en conjunto con la industria de seguridad de TI, para proteger la Información de Contratos Federales (FCI) y la Información Controlada No Clasificada (CUI) que comparten o crean los contratistas y subcontratista del Departamento de Defensa a través de programas de adquisición.

Si su empresa es parte de la cadena de suministro del Departamento de Defensa o planea serlo en un futuro cercano como contratista o subcontratista, debe tener la certificación CMMC.

Si su cadena de suministro tiene acceso a datos, sistemas o infraestructura de red de FCI o CUI, la responsabilidad de cumplir con los requisitos de CMMC también se extenderá a su cadena de suministro.

Lo primero que debe hacer como organización en busca de certificación (OSC) es averiguar qué tipo de información confidencial maneja, controla, almacena, transmite y elimina su empresa. Hay dos tipos de información confidencial, Información de Contrato Federal (FCI) e Información Controlada No Clasificada (CUI).

Los requisitos de CMMC de nivel 1 son para cualquier persona que reciba y maneje FCI, los requisitos básicos de seguridad para el nivel 1 se enumeran actualmente en el Reglamento Federal de Adquisiciones FAR 52.20421.

Los requisitos de CMMC de nivel 2 son para cualquier contratista o subcontratista que reciba y maneje CUI. Los requisitos de seguridad avanzados para el Nivel 2 son las 110 prácticas de NIST SP 800-171

Los requisitos de CMMC de nivel 3 son para cualquier contratista o subcontratista que reciba, genere y maneje información CUI confidencial crítica. El Departamento de Defensa estimó que tan solo 160 empresas entrarán en esta categoría. Los requisitos de seguridad mejorados para el Nivel 3 son las 110 prácticas de NIST SP 800-172 más 20 prácticas expertas adicionales.

El proceso para estar listo para una auditoría de CMMC puede demorar entre 6 y 14 meses, según la complejidad de su operación, el entorno de CUI y la gestión de manejo de CUI actual. Además, se requiere evaluar el nivel de seguridad para alinear los requisitos de seguridad y definir un Plan de Seguridad del Sistema personalizado. Por lo tanto, lo primero que debe hacer su empresa es comenzar lo antes posible y obtener el apoyo de un profesional certificado de CMMC (CCP) aprobado por el organismo de acreditación de CMMC.

Las principales actividades a realizar para estar listo para una Auditoría CMMC son las siguientes:

• Definir el alcance de CMMC y el nivel de cumplimiento
• Realizar una evaluación de control NIST SP 800 171
• Efectuar una evaluación de riesgos de CMMC
• Realizar un Análisis de Deficiencias y definir el Plan de Acción y Metas (POAM)
• Desarrollar el Plan de Seguridad del Sistema
• Documentar e implementar la corrección de los controles de seguridad basados ​​en el POAM
• Supervisar el progreso de la eficacia de los controles de seguridad.
• Preparar todos los documentos y sistemas para un C3PAO formal
• Seleccione la empresa C3PAO para programar la Auditoría CMMC.