NIST SP 800-171.

NIST SP 800-171 es el estándar estadounidense que define los requisitos de seguridad para proteger la información no clasificada controlada en sistemas no federales. Es la base técnica de CMMC para los contratistas de defensa. La revisión 3 (2024) endureció los controles. Si vende al Departamento de Defensa de EE. UU., su cumplimiento es obligatorio; si opera únicamente en Europa, tiene carácter informativo.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyInformation securityAll entries

La perspectiva de Cyber Academy

NIST SP 800-171 es el estándar estadounidense que define los requisitos de seguridad para proteger la información no clasificada controlada en sistemas no federales. Es la base técnica de CMMC para los contratistas de defensa. La revisión 3 (2024) endureció los controles. Si vende al Departamento de Defensa de EE. UU., su cumplimiento es obligatorio; si opera únicamente en Europa, tiene carácter informativo.

Qué exige realmente NIST SP 800-171

Cuando el gobierno de EE. UU. comparte datos sensibles pero no clasificados con un contratista, una universidad o un proveedor de servicios, necesita la garantía de que esos datos estarán protegidos aunque ahora residan fuera de los sistemas federales. NIST SP 800-171 es el catálogo de requisitos de seguridad que responde a esa necesidad.

Indica a cualquier organización no federal que maneje Controlled Unclassified Information cómo protegerla: a través del control de acceso, la concienciación y la formación, la auditoría y la rendición de cuentas, la gestión de la configuración, la identificación y la autenticación, la respuesta a incidentes, el mantenimiento, la protección de soportes, la protección física, la seguridad del personal, la evaluación de riesgos, la evaluación de la seguridad, la protección de sistemas y comunicaciones, y la integridad de los sistemas y de la información. El objetivo es la uniformidad. En lugar de que cada agencia invente sus propias cláusulas, los contratistas cumplen una base coherente y única.

Los requisitos se derivan del catálogo de controles mucho más amplio NIST SP 800-53 utilizado dentro de los sistemas federales, pero adaptados a la realidad de una organización privada. Se formulan como resultados que se deben alcanzar, no como un único producto o arquitectura prescritos, lo que da a una organización margen para implementarlos de una forma que se ajuste a sus propios sistemas. De lo que no se dispone es de discrecionalidad sobre si cumplirlos o no. Cuando el requisito aparece en su contrato, implementarlo es una condición para conservar ese contrato.

Los CUI y por qué la cuestión del alcance importa más que ninguna otra

Todo en NIST SP 800-171 depende de una pregunta previa: ¿dónde residen realmente los Controlled Unclassified Information en su entorno? Los CUI son información que el gobierno crea o posee, o que una organización crea para el gobierno, que requiere salvaguarda en virtud de una ley, un reglamento o una política de alcance gubernamental, pero que no está clasificada. Abarca categorías como planos técnicos, datos sujetos a control de exportación, información de identificación personal conservada en nombre de una agencia y material sensible similar. La norma solo se aplica a los sistemas que almacenan, procesan o transmiten esos datos.

Por eso la definición del alcance es el trabajo que determina todo lo demás. Defina la frontera de forma demasiado amplia e impondrá controles de nivel federal a toda su red con un coste enorme. Defínala de forma demasiado estrecha y dejará CUI expuestos en un sistema que olvidó contabilizar. La mayor parte de un programa 800-171 creíble se dedica a identificar los CUI, aislar los sistemas que los tocan y reducir esa frontera para que los controles recaigan donde realmente se necesitan y no en todas partes.

Dónde termina 800-171 y dónde empieza CMMC

NIST SP 800-171 es el catálogo de controles. La Cybersecurity Maturity Model Certification (CMMC) es el mecanismo de verificación que el Department of Defense de EE. UU. construyó sobre él. Durante años, los contratistas autocertificaban que cumplían el 800-171, y la brecha entre la atestación y la realidad solo salía a la luz tras un incidente. CMMC Level 2 se corresponde directamente con NIST SP 800-171, pero añade una evaluación independiente, de modo que una firma ya no basta. Si implementa realmente el 800-171, ha hecho la mayor parte del trabajo de fondo para CMMC Level 2; lo que queda es producir evidencias y superar una evaluación realizada por alguien que no es usted.

La Revision 3, publicada en 2024, reestructuró y endureció los requisitos, reorganizó las familias de controles y trasladó algunos aspectos concretos a una publicación de evaluación complementaria. Para un proveedor europeo, la relevancia es enteramente contractual. Si subcontrata a un prime estadounidense, fabrica componentes de defensa o procesa CUI para un programa del DoD, el 800-171 le obliga igual que obliga a una empresa estadounidense. Si su mercado es puramente europeo, es un contexto informativo que le ayuda a leer CMMC y los requisitos de contratación pública de EE. UU., y se combina de forma natural con la disciplina basada en el riesgo del NIST Cybersecurity Framework en lugar de sustituirla.

Frequently asked questions

01¿Quién tiene que cumplir NIST SP 800-171?

Cualquier organización no federal que almacene, procese o transmita Controlled Unclassified Information en nombre del gobierno de EE. UU., incluidos contratistas, subcontratistas, universidades e instituciones de investigación. La obligación queda escrita en el contrato o la subvención.

02¿Cuál es la diferencia entre NIST SP 800-171 y CMMC?

NIST SP 800-171 es el catálogo de requisitos de seguridad para proteger los CUI. CMMC es el programa de certificación del Department of Defense de EE. UU. que verifica que esos requisitos están realmente implementados. CMMC Level 2 se construye directamente sobre el 800-171 y añade una evaluación independiente.

03¿Qué es la Controlled Unclassified Information (CUI)?

Los CUI son información gubernamental que requiere salvaguarda en virtud de una ley, un reglamento o una política de alcance gubernamental, pero que no está clasificada. Incluye categorías como datos técnicos, información sujeta a control de exportación e información de identificación personal conservada para una agencia. NIST SP 800-171 solo se aplica a los sistemas que la manejan.

04¿Cómo se relaciona NIST SP 800-171 con NIST SP 800-53?

Los requisitos del 800-171 se derivan del catálogo de controles más amplio 800-53 utilizado dentro de los sistemas de información federales, pero adaptados a organizaciones no federales. El 800-53 protege directamente los sistemas federales; el 800-171 es el conjunto moderado aplicado a los contratistas que manejan CUI.

05¿Se aplica NIST SP 800-171 a las organizaciones europeas?

Solo cuando manejan CUI en la cadena de suministro del gobierno de EE. UU., por ejemplo como subcontratista de un prime estadounidense o como procesador de CUI para un programa del DoD. Para un negocio puramente europeo es informativo más que obligatorio.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.