Pular para o conteúdo
Governança e Conformidade

O que é o NIST 800-171?

O NIST 800-171 é um conjunto de requisitos de segurança que qualquer organização, dentro ou fora dos Estados Unidos, precisa cumprir quando trata informação sensível não classificada de um contrato do governo americano. Ele diz, de forma prática, como proteger esse tipo de dado: quem pode acessar, como registrar o uso, como responder a um incidente. É a base do programa CMMC e vale para toda a cadeia de fornecedores de defesa, incluindo subcontratados fora dos EUA.

Zamak TechnologiesAtualizado em 11 de julho de 2026

Como o NIST 800-171 funciona

O NIST 800-171 não é uma auditoria pontual; é um conjunto de requisitos organizados por tema, contra o qual a empresa se avalia e comprova o cumprimento. Ele existe para proteger a chamada informação não classificada controlada (CUI): dados que não são segredo de Estado, mas que, vazados, expõem programas, projetos e pessoas.

1

Mapeie onde vive o dado controlado

O primeiro passo é saber quais sistemas, e-mails e arquivos guardam informação de contrato do governo. Não dá para proteger o que não se sabe onde está.

2

Compare-se aos requisitos

A empresa se avalia contra os requisitos de segurança do padrão, organizados por família (controle de acesso, resposta a incidente, proteção de mídia e outras), e identifica cada lacuna.

3

Some a pontuação e registre o plano

O resultado vira uma pontuação registrada no sistema oficial do governo, e cada item ainda aberto entra num plano de ação com prazo, o POA&M.

4

Comprove e mantenha

As evidências de que cada requisito está atendido precisam existir e se manter no tempo, porque o padrão é a base da avaliação CMMC, que passa a exigir verificação por terceiro nos contratos de maior sensibilidade.

Fonte: NIST SP 800-171 Rev. 3 (csrc.nist.gov) e a cláusula DFARS 252.204-7012 do Departamento de Defesa dos EUA.

Quem precisa cumprir, e por que isso pega de surpresa

  • Não é só quem tem contrato direto com o governo. A exigência desce por toda a cadeia: se a sua empresa fornece para quem fornece à defesa, o dado controlado chega até você, e o requisito também.
  • Alcance internacional. O padrão acompanha o dado, não a fronteira: um fabricante, um escritório de engenharia ou uma software house fora dos EUA que toque informação de um contrato americano entra no escopo.
  • O prazo já venceu no papel. A cláusula que torna o padrão obrigatório vale desde 2017; muita empresa descobre a exigência só quando um cliente maior pede a pontuação, e aí o relógio já está correndo.
  • A pontuação pode ser negativa. A conta começa em 110 e desconta por requisito não atendido, então é comum uma primeira autoavaliação honesta dar um número abaixo de zero, o que assusta quem achava estar 'quase lá'.

As famílias de requisitos, em linguagem de negócio

  • Controle de acesso e identidade Quem entra, com qual credencial e até onde vai. É a base: menor privilégio, autenticação forte e o registro de quem acessou o quê.
  • Registro e resposta Guardar trilhas de auditoria e ter um plano para quando algo dá errado. Sem registro, um incidente vira um mistério sem provas.
  • Proteção do dado e da mídia Criptografia, controle de pen drives e descarte seguro. O dado controlado precisa ficar protegido em repouso, em trânsito e no fim da vida útil.
  • Configuração e manutenção Manter sistemas atualizados, endurecidos e sob mudança controlada. A Rev 3 reforçou a gestão de risco da cadeia de fornecedores como família própria.
  • Pessoas e continuidade Treinar quem opera e garantir que a proteção sobreviva a férias, saídas e incidentes. Segurança é rotina, não projeto com data de fim.

O que está em jogo para o negócio

97 / 17
requisitos e famílias na Rev 3 do NIST 800-171 (a Rev 2 tem 110 requisitos em 14 famílias)
2017
ano desde o qual a cláusula DFARS torna o padrão obrigatório para contratados de defesa
$ 4,44 mi
custo médio global de uma violação de dados, IBM Cost of a Data Breach 2025

O NIST 800-171 deixou de ser 'papel de conformidade' e virou condição para vender. A cláusula DFARS que o torna obrigatório vale desde 2017, e o CMMC, o programa que verifica esse cumprimento, entrou em vigor em novembro de 2025: em muitos contratos, sem a pontuação registrada e o plano de ação, a empresa nem chega à fase de proposta. A Rev 3 do padrão reorganizou os requisitos em 97 itens e 17 famílias (a Rev 2, com 110 requisitos em 14 famílias, segue sendo a base contratual durante a transição), o que significa que a régua não é estática: quem tratou o assunto como 'já resolvi uma vez' precisa reavaliar. E o custo de errar não é só perder o contrato: uma violação de dados ainda custa, em média, $ 4,44 milhões no mundo (IBM, 2025), fora o dano de expor informação de um cliente do porte de um governo.

Como uma empresa se prepara na prática

Cumprir o NIST 800-171 é um projeto com começo, mas sem fim: a preparação transforma um requisito assustador em uma rotina administrável.

  1. Delimite o escopo primeiroSepare os sistemas que tocam dado controlado do resto do ambiente. Reduzir a fronteira reduz o custo: nem tudo precisa entrar no escopo do padrão.
  2. Faça a autoavaliação honestaUma pontuação real, mesmo que negativa, é mais útil que um número inflado. É ela que orienta onde investir primeiro e o que colocar no plano de ação.
  3. Priorize acesso e respostaMenor privilégio, autenticação forte e um plano de resposta a incidente resolvem parte grande dos requisitos e reduzem o risco real, não só a nota.
  4. Documente enquanto fazA evidência precisa existir no momento em que o requisito é atendido. Reconstruir prova depois é caro e frágil; registrar na hora é barato.
  5. Trate como rotina contínuaA pontuação envelhece, os sistemas mudam e a régua evolui de revisão em revisão. Revisar periodicamente é o que mantém a empresa elegível ao próximo contrato.

Na prática

Se um cliente maior pedisse hoje a sua pontuação no sistema oficial, você teria um número para dar, ou descobriria a exigência na hora de perder o negócio? A resposta a essa pergunta costuma separar quem já está na cadeia de quem vai ficar de fora dela.

Como a Zamak apoia a jornada do NIST 800-171

A Zamak Technologies apoia a preparação para o NIST 800-171 ao lado da sua equipe: delimita o escopo do dado controlado, roda a autoavaliação, organiza o plano de ação e mantém a evidência viva, usando uma plataforma de conformidade como um dos roteiros. Vale um esclarecimento honesto: a governança documenta e comprova a conformidade; ela não substitui as defesas técnicas que protegem o dado, que continuam sendo uma camada à parte. Um bom ponto de partida é o autodiagnóstico de conformidade, e a preparação faz parte da Governança e Conformidade do Método Zamak.

Perguntas frequentes sobre o NIST 800-171

Qual a diferença entre o NIST 800-171 e o CMMC?
O NIST 800-171 é o conjunto de requisitos de segurança; o CMMC é o programa que verifica se a empresa cumpre esses requisitos. Em outras palavras: o 800-171 diz o que fazer, e o CMMC confere se foi feito, exigindo, nos níveis mais sensíveis, uma avaliação por terceiro em vez da autoavaliação.
Minha empresa fica fora dos EUA. O NIST 800-171 me afeta?
Pode afetar, sim. O requisito acompanha o dado, não a fronteira: se a sua empresa trata informação de um contrato do governo americano, mesmo como subcontratada, o padrão entra no escopo, esteja você onde estiver.
O que é CUI, a informação que o padrão protege?
CUI é a informação não classificada controlada: dados que não são segredo de Estado, mas cujo vazamento causa dano, como especificações técnicas, dados de pessoal ou detalhes de um programa. O 800-171 existe justamente para proteger esse tipo de dado fora dos sistemas do próprio governo.
Preciso da Rev 2 ou da Rev 3?
Depende do contrato. A Rev 3 é a edição mais nova (97 requisitos, 17 famílias), mas muitos contratos ainda exigem a Rev 2 (110 requisitos) durante a transição. Confirmar qual revisão o contrato pede é parte do trabalho, porque cumprir a versão errada não conta.
Preciso zerar todos os requisitos antes de fechar um contrato?
Nem sempre. Em muitos casos, vale ter a pontuação registrada e um plano de ação com prazo para as lacunas, o POA&M. O que não se aceita é não ter avaliação nenhuma: sem a nota e o plano, a empresa costuma nem entrar na disputa.
Empresa pequena consegue cumprir?
Sim, e o segredo é o escopo. Ao separar os poucos sistemas que realmente tocam dado controlado do resto do ambiente, uma empresa pequena reduz muito o esforço. Para a maioria, faz sentido conduzir a preparação como serviço, sem montar uma equipe de conformidade interna.

Termos relacionados

Continue explorando

Ver o índice completo →
Rede e Acesso
Conceitos e Fundamentos
Deep webZero TrustDefesa em profundidadeSuperfície de ataqueEndpointMenor privilégio
Segurança no Uso de IA
Shadow AIGovernança de IAInjeção de promptOWASP LLM Top 10Deepfake
Vulnerabilidades e Testes de Segurança
Gestão de vulnerabilidadesTeste de invasão (pentest)Varredura de vulnerabilidadesAtaque de força brutaSQL injectionCross-site scripting (XSS)SAST e DAST