O que é o NIST 800-171?
O NIST 800-171 é um conjunto de requisitos de segurança que qualquer organização, dentro ou fora dos Estados Unidos, precisa cumprir quando trata informação sensível não classificada de um contrato do governo americano. Ele diz, de forma prática, como proteger esse tipo de dado: quem pode acessar, como registrar o uso, como responder a um incidente. É a base do programa CMMC e vale para toda a cadeia de fornecedores de defesa, incluindo subcontratados fora dos EUA.
Como o NIST 800-171 funciona
O NIST 800-171 não é uma auditoria pontual; é um conjunto de requisitos organizados por tema, contra o qual a empresa se avalia e comprova o cumprimento. Ele existe para proteger a chamada informação não classificada controlada (CUI): dados que não são segredo de Estado, mas que, vazados, expõem programas, projetos e pessoas.
Mapeie onde vive o dado controlado
O primeiro passo é saber quais sistemas, e-mails e arquivos guardam informação de contrato do governo. Não dá para proteger o que não se sabe onde está.
Compare-se aos requisitos
A empresa se avalia contra os requisitos de segurança do padrão, organizados por família (controle de acesso, resposta a incidente, proteção de mídia e outras), e identifica cada lacuna.
Some a pontuação e registre o plano
O resultado vira uma pontuação registrada no sistema oficial do governo, e cada item ainda aberto entra num plano de ação com prazo, o POA&M.
Comprove e mantenha
As evidências de que cada requisito está atendido precisam existir e se manter no tempo, porque o padrão é a base da avaliação CMMC, que passa a exigir verificação por terceiro nos contratos de maior sensibilidade.
Fonte: NIST SP 800-171 Rev. 3 (csrc.nist.gov) e a cláusula DFARS 252.204-7012 do Departamento de Defesa dos EUA.
Quem precisa cumprir, e por que isso pega de surpresa
- Não é só quem tem contrato direto com o governo. A exigência desce por toda a cadeia: se a sua empresa fornece para quem fornece à defesa, o dado controlado chega até você, e o requisito também.
- Alcance internacional. O padrão acompanha o dado, não a fronteira: um fabricante, um escritório de engenharia ou uma software house fora dos EUA que toque informação de um contrato americano entra no escopo.
- O prazo já venceu no papel. A cláusula que torna o padrão obrigatório vale desde 2017; muita empresa descobre a exigência só quando um cliente maior pede a pontuação, e aí o relógio já está correndo.
- A pontuação pode ser negativa. A conta começa em 110 e desconta por requisito não atendido, então é comum uma primeira autoavaliação honesta dar um número abaixo de zero, o que assusta quem achava estar 'quase lá'.
As famílias de requisitos, em linguagem de negócio
- Controle de acesso e identidade Quem entra, com qual credencial e até onde vai. É a base: menor privilégio, autenticação forte e o registro de quem acessou o quê.
- Registro e resposta Guardar trilhas de auditoria e ter um plano para quando algo dá errado. Sem registro, um incidente vira um mistério sem provas.
- Proteção do dado e da mídia Criptografia, controle de pen drives e descarte seguro. O dado controlado precisa ficar protegido em repouso, em trânsito e no fim da vida útil.
- Configuração e manutenção Manter sistemas atualizados, endurecidos e sob mudança controlada. A Rev 3 reforçou a gestão de risco da cadeia de fornecedores como família própria.
- Pessoas e continuidade Treinar quem opera e garantir que a proteção sobreviva a férias, saídas e incidentes. Segurança é rotina, não projeto com data de fim.
O que está em jogo para o negócio
O NIST 800-171 deixou de ser 'papel de conformidade' e virou condição para vender. A cláusula DFARS que o torna obrigatório vale desde 2017, e o CMMC, o programa que verifica esse cumprimento, entrou em vigor em novembro de 2025: em muitos contratos, sem a pontuação registrada e o plano de ação, a empresa nem chega à fase de proposta. A Rev 3 do padrão reorganizou os requisitos em 97 itens e 17 famílias (a Rev 2, com 110 requisitos em 14 famílias, segue sendo a base contratual durante a transição), o que significa que a régua não é estática: quem tratou o assunto como 'já resolvi uma vez' precisa reavaliar. E o custo de errar não é só perder o contrato: uma violação de dados ainda custa, em média, $ 4,44 milhões no mundo (IBM, 2025), fora o dano de expor informação de um cliente do porte de um governo.
Como uma empresa se prepara na prática
Cumprir o NIST 800-171 é um projeto com começo, mas sem fim: a preparação transforma um requisito assustador em uma rotina administrável.
- Delimite o escopo primeiroSepare os sistemas que tocam dado controlado do resto do ambiente. Reduzir a fronteira reduz o custo: nem tudo precisa entrar no escopo do padrão.
- Faça a autoavaliação honestaUma pontuação real, mesmo que negativa, é mais útil que um número inflado. É ela que orienta onde investir primeiro e o que colocar no plano de ação.
- Priorize acesso e respostaMenor privilégio, autenticação forte e um plano de resposta a incidente resolvem parte grande dos requisitos e reduzem o risco real, não só a nota.
- Documente enquanto fazA evidência precisa existir no momento em que o requisito é atendido. Reconstruir prova depois é caro e frágil; registrar na hora é barato.
- Trate como rotina contínuaA pontuação envelhece, os sistemas mudam e a régua evolui de revisão em revisão. Revisar periodicamente é o que mantém a empresa elegível ao próximo contrato.
Na prática
Se um cliente maior pedisse hoje a sua pontuação no sistema oficial, você teria um número para dar, ou descobriria a exigência na hora de perder o negócio? A resposta a essa pergunta costuma separar quem já está na cadeia de quem vai ficar de fora dela.
Como a Zamak apoia a jornada do NIST 800-171
A Zamak Technologies apoia a preparação para o NIST 800-171 ao lado da sua equipe: delimita o escopo do dado controlado, roda a autoavaliação, organiza o plano de ação e mantém a evidência viva, usando uma plataforma de conformidade como um dos roteiros. Vale um esclarecimento honesto: a governança documenta e comprova a conformidade; ela não substitui as defesas técnicas que protegem o dado, que continuam sendo uma camada à parte. Um bom ponto de partida é o autodiagnóstico de conformidade, e a preparação faz parte da Governança e Conformidade do Método Zamak.