A perspetiva da Cyber Academy
NIST SP 800-171 é a norma americana que define os requisitos de segurança para a proteção de informação não classificada controlada em sistemas não federais. É a base técnica do CMMC para contratantes de defesa. A Revisão 3 (2024) reforçou os controlos. Se vender ao DoD americano, é obrigatório; se operar apenas na Europa, tem valor informativo.
O que a NIST SP 800-171 realmente exige
Quando o governo dos EUA partilha dados sensíveis mas não classificados com um contratante, uma universidade ou um prestador de serviços, precisa da garantia de que os dados serão protegidos mesmo que passem a residir fora dos sistemas federais. A NIST SP 800-171 é o catálogo de requisitos de segurança que responde a essa necessidade.
Indica a qualquer organização não federal que trate Controlled Unclassified Information como protegê-la: através do controlo de acesso, da sensibilização e formação, da auditoria e responsabilização, da gestão de configuração, da identificação e autenticação, da resposta a incidentes, da manutenção, da proteção de suportes, da proteção física, da segurança do pessoal, da avaliação de riscos, da avaliação de segurança, da proteção de sistemas e comunicações, e da integridade dos sistemas e da informação. O objetivo é a uniformidade. Em vez de cada agência inventar as suas próprias cláusulas, os contratantes cumprem uma única base coerente.
Os requisitos derivam do catálogo de controlos muito mais amplo NIST SP 800-53 utilizado dentro dos sistemas federais, mas adaptados à realidade de uma organização privada. São formulados como resultados que tem de alcançar, e não como um único produto ou arquitetura prescritos, o que dá a uma organização margem para implementá-los de uma forma que se adeque aos seus próprios sistemas. Aquilo que não tem é discricionariedade sobre se deve cumpri-los. Quando o requisito consta do seu contrato, implementá-lo é uma condição para manter esse contrato.
Os CUI e por que a questão do âmbito é a que mais importa
Tudo na NIST SP 800-171 depende de uma questão prévia: onde residem realmente os Controlled Unclassified Information no seu ambiente? Os CUI são informação que o governo cria ou possui, ou que uma organização cria para o governo, que requer salvaguarda ao abrigo de uma lei, de um regulamento ou de uma política de âmbito governamental, mas que não é classificada. Abrange categorias como desenhos técnicos, dados sujeitos a controlo de exportação, informação de identificação pessoal mantida em nome de uma agência e material sensível semelhante. A norma só se aplica aos sistemas que armazenam, processam ou transmitem esses dados.
É por isso que a definição do âmbito é o trabalho que determina tudo o resto. Defina a fronteira de forma demasiado ampla e imporá controlos de nível federal a toda a sua rede com um custo enorme. Defina-a de forma demasiado estreita e deixará CUI expostos num sistema que se esqueceu de contabilizar. A maior parte de um programa 800-171 credível é dedicada a identificar os CUI, isolar os sistemas que lhes tocam e reduzir essa fronteira para que os controlos incidam onde são realmente necessários e não em todo o lado.
Onde termina a 800-171 e onde começa a CMMC
A NIST SP 800-171 é o catálogo de controlos. A Cybersecurity Maturity Model Certification (CMMC) é o mecanismo de verificação que o Department of Defense dos EUA construiu sobre ela. Durante anos, os contratantes autodeclaravam que cumpriam a 800-171, e a diferença entre a declaração e a realidade só vinha à tona após um incidente. A CMMC Level 2 corresponde diretamente à NIST SP 800-171, mas acrescenta uma avaliação independente, pelo que uma assinatura já não basta. Se implementar genuinamente a 800-171, terá feito a maior parte do trabalho substantivo para a CMMC Level 2; o que resta é produzir evidências e sobreviver a uma avaliação conduzida por alguém que não é você.
A Revision 3, publicada em 2024, reestruturou e apertou os requisitos, reorganizou as famílias de controlos e moveu alguns aspetos específicos para uma publicação de avaliação complementar. Para um fornecedor europeu, a relevância é inteiramente contratual. Se subcontratar para um prime dos EUA, fabricar componentes de defesa ou processar CUI para um programa do DoD, a 800-171 vincula-o da mesma forma que vincula uma empresa americana. Se o seu mercado for puramente europeu, é um contexto informativo que o ajuda a ler a CMMC e os requisitos de contratação pública dos EUA, e combina-se naturalmente com a disciplina baseada no risco do NIST Cybersecurity Framework em vez de a substituir.
Frequently asked questions
01Quem tem de cumprir a NIST SP 800-171?
Qualquer organização não federal que armazene, processe ou transmita Controlled Unclassified Information em nome do governo dos EUA, incluindo contratantes, subcontratantes, universidades e instituições de investigação. A obrigação está escrita no contrato ou na subvenção.
02Qual é a diferença entre a NIST SP 800-171 e a CMMC?
A NIST SP 800-171 é o catálogo de requisitos de segurança para proteger os CUI. A CMMC é o programa de certificação do Department of Defense dos EUA que verifica se esses requisitos estão efetivamente implementados. A CMMC Level 2 baseia-se diretamente na 800-171 e acrescenta uma avaliação independente.
03O que é a Controlled Unclassified Information (CUI)?
Os CUI são informação governamental que requer salvaguarda ao abrigo de uma lei, de um regulamento ou de uma política de âmbito governamental, mas que não é classificada. Inclui categorias como dados técnicos, informação sujeita a controlo de exportação e informação de identificação pessoal mantida para uma agência. A NIST SP 800-171 só se aplica aos sistemas que a tratam.
04Como se relaciona a NIST SP 800-171 com a NIST SP 800-53?
Os requisitos da 800-171 derivam do catálogo de controlos mais amplo 800-53 utilizado dentro dos sistemas de informação federais, mas adaptados a organizações não federais. A 800-53 protege diretamente os sistemas federais; a 800-171 é o conjunto moderado aplicado aos contratantes que tratam CUI.
05A NIST SP 800-171 aplica-se a organizações europeias?
Apenas quando tratam CUI na cadeia de fornecimento do governo dos EUA, por exemplo como subcontratante de um prime dos EUA ou como processador de CUI para um programa do DoD. Para um negócio puramente europeu é informativo em vez de obrigatório.