El nuevo marco de ciberseguridad del Pentágono puede poner en riesgo contratos por 28.000 millones de euros para empresas españolas vinculadas a programas de defensa de Estados Unidos. El impacto no es solo industrial: también afecta a la competitividad, a la continuidad de suministro y a la entrada en futuras licitaciones. La medida gira en torno a la CMMC, (Cybersecurity Maturity Model Certification o Certificación del Modelo de Madurez de Ciberseguridad), un marco de ciberseguridad del Departamento de Guerra de EEUU que busca proteger información sensible en su cadena de suministro y en contratos de defensa. Unas 200.000 empresas en todo el mundo deberán acreditar esta certificación de madurez en ciberseguridad, incluidas unas 2.000 españolas. Su aplicación será gradual, pero la fecha clave es noviembre de 2028, cuando pasará a ser obligatoria para los contratos afectados.
Qué cambia con la CMMC
CMMC, que busca proteger la información sensible que circula en la cadena de suministro del Gobierno estadounidense, afecta en la práctica tanto a contratistas directos como a subcontratistas, y también a empresas europeas que trabajan en defensa, aeroespacio, ingeniería, software, comunicaciones y servicios.
El punto decisivo es el tipo de información que maneja cada empresa. El esquema distingue entre FCI (Federal Contract Information), información federal no pública vinculada a contratos, (es la información que el Gobierno de EE. UU. entrega o genera para un contrato) y CUI (Controlled Unclassified Information), información no clasificada pero sensible que exige protección específica.
En términos prácticos, la FCI suele ser el nivel más básico de información contractual, mientras que la CUI tiene un nivel de sensibilidad mayor y exige medidas de seguridad más estrictas. En el contexto de CMMC, la FCI suele asociarse al nivel 1 y la CUI a los niveles 2 o 3, según el contrato. Según ese nivel, la empresa deberá afrontar una autoevaluación o una auditoría externa.
Tres niveles, tres exigencias
El nivel 1 es el básico y se centra en organizaciones que gestionan FCI, con controles de ciberseguridad fundamentales y autoevaluación. El nivel 2 será el más habitual, porque se aplica a quienes tratan, almacenan o transmiten CUI, y puede requerir desde una autoevaluación hasta una revisión por terceros. El nivel 3 es el más exigente y está reservado para entornos de mayor sensibilidad, con evaluación externa obligatoria.
Para la industria española, el problema no es solo técnico, sino también económico. Los costes dependen del tamaño de la empresa, de su madurez en ciberseguridad, del grado de remediación necesario y de si el contrato exige auditoría de terceros.
El coste para las empresas
El ejemplo de Integraeye, que recoge El Economista, ilustra la presión que genera esta transición. Su CEO, Álvaro Sánchez, calcula una inversión de unos 100.000 dólares para adaptarse al nuevo sistema, una cifra relevante para una compañía de 26 empleados que trabaja con clientes del Departamento de Guerra de Estados Unidos. Ese tipo de gasto convierte la certificación en una barrera de entrada para pymes y empresas medianas, pero también en una condición de supervivencia comercial. Quedarse fuera del cumplimiento puede significar perder contratos actuales, renovaciones o acceso a futuras licitaciones.
Calendario de implantación
La implantación ya está en marcha. El proceso comenzó el 10 de noviembre de 2025 con requisitos iniciales de autoevaluación en algunos contratos, siguió con nuevas exigencias previstas para noviembre de 2026 y avanzará hacia controles más altos en 2027. La fase final llegará el 10 de noviembre de 2028. Esto significa que muchas empresas no están ante una decisión teórica, sino ante una cuenta atrás real. Cuanto más tarde empiecen a prepararse, más difícil y costoso será cerrar brechas de ciberseguridad, documentar procesos y superar la validación correspondiente.
Lectura para la industria española
El efecto sobre España es especialmente sensible porque el país tiene una base relevante de empresas integradas en cadenas de suministro ligadas a defensa, tecnología y aeroespacio. La nueva exigencia del Pentágono puede acelerar inversiones en ciberseguridad, pero también filtrar proveedores y favorecer a los que ya tienen estándares más maduros. En términos de mercado, la clave será quién logra certificarse a tiempo y quién no. Para las compañías españolas con negocio en Estados Unidos, la CMMC deja de ser una cuestión documental para convertirse en un factor estratégico de acceso al mercado.
Deje un comentario
Su e-mail no será publicado.
Los comentarios que no se atengan a las normas de participación podrán ser motivo de expulsión.