Dos marcos, un mismo problema
Los contratistas de defensa con operaciones tanto en EE. UU. como en la UE se enfrentan ahora a dos mandatos principales de cumplimiento en ciberseguridad: CMMC Level 2 (basado en NIST SP 800-171 Rev 2) y la Directiva NIS2 (medidas de gestión de riesgos del Artículo 21). Ambos son exigibles. Ambos conllevan consecuencias reales por incumplimiento. Y ambos llegaron en un plazo de tiempo similar.
El impulso natural es construir dos programas de cumplimiento separados, uno para cada marco. Ese impulso es costoso e innecesario. Los requisitos de control se solapan en torno al 70-80 %. Una única arquitectura Zero Trust en las instalaciones, diseñada correctamente, puede satisfacer ambos.
El origen de cada marco
CMMC Level 2 se corresponde directamente con los 110 requisitos de seguridad del NIST SP 800-171. Protege la Información No Clasificada Controlada (CUI) en la cadena de suministro de defensa. La evaluación la realizan C3PAOs (organizaciones de evaluación de terceros de CMMC). El incumplimiento implica la pérdida de contratos con el DoD — y con el plazo de octubre de 2026 que se acerca rápidamente, el tiempo apremia.
NIS2 Artículo 21 establece diez categorías de medidas de gestión de riesgos de ciberseguridad para entidades esenciales e importantes. Protege la resiliencia operativa de las infraestructuras críticas en toda la UE. La aplicación ya está activa en la mayoría de los estados miembros de la UE. El incumplimiento conlleva multas de hasta 10 millones de euros o el 2 % de la facturación global, además de posible responsabilidad personal para la dirección.
Orígenes distintos. Organismos de aplicación distintos. Pero cuando se leen los requisitos de control reales en paralelo, el solapamiento es considerable.
El solapamiento: mapeo control por control
La siguiente tabla mapea los principales dominios de control de ambos marcos. Cuando ambos marcos exigen la misma capacidad, una única implementación satisface a los dos.
| Dominio de control | CMMC Level 2 (NIST 800-171) | NIS2 Artículo 21 | Solapamiento |
|---|---|---|---|
| Control de acceso | AC 3.1.1–3.1.22 (22 requisitos) | Art. 21(2)(i) — políticas de control de acceso | Total — ambos exigen mínimo privilegio, MFA, controles de sesión |
| Segmentación de red | SC 3.13.1–3.13.16 (protección de sistemas y comunicaciones) | Art. 21(2)(a) — análisis de riesgos, seguridad de red | Total — ambos exigen protección de perímetro y segmentación |
| Respuesta a incidentes | IR 3.6.1–3.6.3 | Art. 21(2)(b) — gestión de incidentes | Total — ambos exigen detección, respuesta, notificación y revisión post-incidente |
| Monitorización y auditoría | AU 3.3.1–3.3.9 | Art. 21(2)(a) — análisis de riesgos, evaluación de eficacia | Total — ambos exigen registro, trazabilidad de auditoría y revisión |
| Evaluación de riesgos | RA 3.11.1–3.11.3 | Art. 21(2)(a) — políticas de análisis de riesgos | Total — ambos exigen evaluación periódica de riesgos |
| Continuidad de negocio | CP 3.8.9 (limitado) | Art. 21(2)(c) — continuidad de negocio y gestión de crisis | Parcial — NIS2 es más amplio; CMMC se centra en la disponibilidad de CUI |
| Seguridad de la cadena de suministro | SR 3.17.1–3.17.3 (NIST 800-171 Rev 3 añade más) | Art. 21(2)(d) — seguridad de la cadena de suministro | Parcial — NIS2 exige una gestión de riesgos de proveedores más amplia |
| Cifrado | SC 3.13.8, 3.13.11 (CUI en tránsito y en reposo) | Art. 21(2)(h) — criptografía y cifrado | Total — ambos exigen cifrado para datos sensibles |
| Seguridad del personal | PS 3.9.1–3.9.2 | Art. 21(2)(j) — seguridad de los recursos humanos | Total — ambos exigen procedimientos de verificación y baja |
| Gestión de vulnerabilidades | SI 3.14.1–3.14.7 | Art. 21(2)(e) — gestión y divulgación de vulnerabilidades | Total — ambos exigen parcheo, análisis y remediación |
| Gestión de configuración | CM 3.4.1–3.4.9 | Art. 21(2)(a) — políticas de seguridad para sistemas de información | Total — ambos exigen líneas base, control de cambios y bastionado |
| Seguridad física | PE 3.10.1–3.10.6 | Art. 21(2)(a) — seguridad del entorno físico | Total — ambos exigen controles de acceso físico |
| Autenticación | IA 3.5.1–3.5.11 | Art. 21(2)(i) — autenticación multifactor | Total — ambos exigen MFA y gestión de identidades |
| Gestión específica de CUI | MP 3.8.1–3.8.9 (protección de medios, marcado) | No se aborda específicamente | Solo CMMC — marcado, gestión y destrucción de CUI |
| Responsabilidad de la dirección | No se aborda | Art. 20, Art. 32(5) — responsabilidad personal de la dirección | Solo NIS2 — sin equivalente en CMMC |
De 14 dominios de control, 11 se solapan totalmente, 2 se solapan parcialmente, y cada marco tiene un requisito único que el otro no contempla.
Dónde divergen
Específico de CMMC: gestión de CUI
CMMC Level 2 incluye requisitos que existen únicamente por la Información No Clasificada Controlada:
- Protección de medios — el CUI debe marcarse, rastrearse y destruirse cuando ya no sea necesario
- Definición del perímetro CUI — se debe definir exactamente dónde reside y fluye el CUI (el enclave CUI)
- Cifrado validado FIPS 140-2 — no basta con "cifrado"; se requieren módulos específicamente validados por FIPS
- Metodología de evaluación — CMMC exige una evaluación por C3PAO conforme a una metodología de puntuación específica
NIS2 no contempla el concepto de CUI. No exige clasificación de datos a este nivel.
Específico de NIS2: cadena de suministro y gobernanza
NIS2 va más allá que CMMC en dos áreas:
- Seguridad de la cadena de suministro — el Artículo 21(2)(d) exige evaluar la seguridad de los proveedores directos y prestadores de servicios, incluidas las vulnerabilidades específicas de cada proveedor
- Responsabilidad del órgano de dirección — el Artículo 20 exige la aprobación y supervisión de las medidas de ciberseguridad por parte de la dirección, con responsabilidad personal por negligencia grave
- Continuidad de negocio — el Artículo 21(2)(c) exige una planificación de continuidad más completa que lo que CMMC demanda para la disponibilidad de CUI
El enfoque de arquitectura única
A continuación se describe cómo un único despliegue Zero Trust en las instalaciones satisface ambos marcos simultáneamente:
1. Segmentación de red (CMMC SC + NIS2 Art. 21(2)(a))
Despliegue un appliance o VM de Access Gate en el límite entre IT y OT, y entre zonas de red. Esto crea:
- El perímetro del enclave CUI exigido por CMMC (el CUI solo fluye dentro de los segmentos definidos)
- La arquitectura de seguridad de red exigida por NIS2 (segmentación proporcional al riesgo)
Un único despliegue de segmentación. Dos casillas de cumplimiento marcadas.
2. Control de acceso Zero Trust (CMMC AC/IA + NIS2 Art. 21(2)(i))
Aplique acceso verificado por identidad por sesión con MFA en cada límite de zona:
- CMMC exige acceso de mínimo privilegio al CUI con autenticación multifactor
- NIS2 exige políticas de control de acceso y MFA cuando corresponda
El mismo motor de políticas. El mismo punto de aplicación. Ambos marcos satisfechos.
3. Registro de auditoría y monitorización (CMMC AU + NIS2 Art. 21(2)(a))
Capture todos los eventos de acceso, grabaciones de sesión y cambios de política en registros a prueba de manipulaciones almacenados en las instalaciones:
- CMMC exige registros de auditoría suficientes para reconstruir eventos relevantes para la seguridad
- NIS2 exige medidas para evaluar la eficacia de la gestión de riesgos de ciberseguridad
Un único flujo de registros. Dos trazas de auditoría.
4. Detección y respuesta a incidentes (CMMC IR + NIS2 Art. 21(2)(b))
Monitorización con conocimiento de protocolo sobre tráfico OT con alertas sobre patrones de acceso anómalos:
- CMMC exige capacidad de respuesta a incidentes con notificación al DoD
- NIS2 exige gestión de incidentes con notificación inicial en 24 horas e informe detallado en 72 horas
El mismo motor de detección. Plantillas de notificación distintas.
5. Cifrado (CMMC SC + NIS2 Art. 21(2)(h))
Cifrado validado FIPS 140-2 para datos en tránsito y en reposo:
- CMMC exige específicamente la validación FIPS
- NIS2 exige cifrado proporcional al riesgo
El uso de módulos validados por FIPS satisface ambos. No existe ningún escenario en el que la validación FIPS no cumpla el estándar de "proporcionalidad" de NIS2.
Lo que aún necesita por separado
Incluso con una arquitectura unificada, cada marco tiene requisitos administrativos propios:
| Requisito | Marco | Qué hacer |
|---|---|---|
| Procedimientos de marcado y gestión de CUI | CMMC | Documentar el flujo de CUI, aplicar marcados, formar al personal |
| Preparación para la evaluación C3PAO | CMMC | Preparar SSP, POA&M y paquetes de evidencias |
| Formación del órgano de dirección | NIS2 | Formar a los directivos, documentar su participación |
| Evaluaciones de riesgo de proveedores | NIS2 | Evaluar y documentar la seguridad de la cadena de suministro |
| Configuración de notificación a la autoridad nacional | NIS2 | Establecer canales de notificación de incidentes en 24h/72h |
Estos son elementos de documentación y proceso. No requieren infraestructura técnica separada.
Construir una vez, certificar dos veces
El cálculo es sencillo. Construir dos arquitecturas de cumplimiento separadas duplica el coste de infraestructura, duplica la carga de mantenimiento y genera dos conjuntos de controles que inevitablemente divergirán. Una única arquitectura Zero Trust en las instalaciones — con el enclave CUI definido dentro de ella y la gobernanza NIS2 superpuesta — proporciona una sola infraestructura que mantener, un único conjunto de controles que auditar y dos marcos satisfechos. Comience por el estándar más exigente (la especificidad de CMMC Level 2), y el cumplimiento de NIS2 se obtiene con un esfuerzo adicional mínimo.
Para más recursos sobre CMMC, casos de uso y guías de implementación, visite el centro de cumplimiento CMMC en instalaciones propias.
Para más recursos sobre NIS2, opciones de despliegue soberano y guías de cumplimiento, visite el centro de cumplimiento NIS2 para OT en instalaciones propias.
