La designación de ISACA como ente exclusivo para acreditar a asesores e instructores del CMMC sucede en un periodo en el que Europa eleva sus regulaciones y expectativas en materia de ciberseguridad bajo marcos como NIS2, DORA y estrategias nacionales orientadas a reforzar la gobernanza y la transparencia. Según publicó ISACA en un comunicado, la organización será la única responsable a nivel global de otorgar la formación, evaluación y certificación de los profesionales encargados de asesorar e instruir en el Modelo de Madurez de Ciberseguridad (CMMC) dentro del ecosistema asociado al Departamento de Defensa de Estados Unidos.
De acuerdo con la información difundida por ISACA, el anuncio implica que más de 200.000 compañías proveedoras a nivel internacional, incluidas numerosas empresas españolas, deberán adaptarse a estándares de ciberseguridad internacionalmente reconocidos para poder seguir colaborando con la cadena de suministro de la defensa estadounidense. El Departamento de Defensa de Estados Unidos desarrolló el marco CMMC con el objetivo de proteger información sensible a lo largo de su red global de proveedores; ahora, será requisito obligatorio para aquellas organizaciones que gestionan Información Controlada No Clasificada (CUI) o que prestan servicios a contratistas principales estadounidenses.
El medio ISACA detalló que el modelo CMMC se irá incorporando paulatinamente en las adjudicaciones del Departamento de Defensa de Estados Unidos entre 2025 y 2028. Esta transición generará un impacto directo en las empresas europeas especializadas en defensa, tecnología avanzada, ingeniería y sectores afines, especialmente aquellas que participan en grandes proyectos transatlánticos. Para cumplir con los nuevos requerimientos estadounidenses, estas organizaciones tendrán que contar con personal cualificado según los nuevos estándares.
El director de Estrategia Global de ISACA, Chris Dimitriadis, afirmó que “existe una escasez global de evaluadores de ciberseguridad cualificados”. Dimitriadis subrayó: “Al liderar el programa de acreditación CMMC, ISACA contribuye a construir una fuerza laboral confiable capaz de apoyar a las organizaciones en el fortalecimiento de su ciberresiliencia”, según señaló el propio directivo en una nota que recoge ISACA.
El CMMC proporciona a las empresas un acceso estructurado a programas de formación y evaluación diseñados para reforzar la protección de datos sensibles y reducir los riesgos operativos. La implementación de este modelo responde a la necesidad de una respuesta más homogénea y robusta frente a las amenazas en la cadena de suministro, al tiempo que ayuda a las organizaciones en mantener alineación con los estándares internacionales.
El programa gestionado por ISACA incluye la administración de credenciales específicas: Profesional Certificado CMMC (CCP), Evaluador Certificado CMMC (CCA), tanto en la variante CCA básica como en la de CCA Líder, e Instructor Certificado CMMC (CCI). Estas certificaciones buscan estandarizar la formación de quienes evalúan y acompañan a las compañías en el cumplimiento de los requisitos exigidos por el Departamento de Defensa estadounidense.
Según indicó ISACA, el nombramiento de la organización para administrar la Certificación de Asesores e Instructores de Ciberseguridad (CAICO) posiciona a la entidad como referente único en la acreditación profesional dentro del esquema CMMC. Al centralizar este proceso, ISACA apoya tanto a empresas como a profesionales en su adaptación a las nuevas exigencias, promoviendo una mayor resiliencia y robustez en las cadenas de suministro que colaboran con el sector de defensa de Estados Unidos.
ISACA remarcó que el acuerdo surge en una coyuntura en la que la necesidad de garantizar una gobernanza transparente y una seguridad reforzada se ha incrementado en varias regiones del mundo, en particular en Europa. El avance de regulaciones como NIS2 y DORA, junto a marcos nacionales más estrictos, subraya la relevancia que han adquirido los estándares globales y la certificación de los profesionales encargados de asegurar la ciberseguridad en entornos de alto riesgo operativo.
La designación de ISACA y la imposición del CMMC como requisito obligatorio afectan a proveedores de una amplia variedad de industrias y geografías que intervienen en proyectos estratégicos junto al Departamento de Defensa, al mismo tiempo que establecen una referencia internacional para la gestión de riesgos de ciberseguridad en cadenas de suministro. ISACA enfatizó que, a través de esta función, contribuye a fortalecer la confianza y la profesionalización en un sector considerado crítico para la seguridad nacional y global.
