Pular para o conteúdo
Governança e Conformidade

O que é o CMMC (certificação de segurança da defesa dos EUA)?

O CMMC (Cybersecurity Maturity Model Certification) é o programa do Departamento de Defesa dos Estados Unidos que exige um nível comprovado de cibersegurança de quem quer fornecer para a defesa americana. Ele protege duas classes de informação do governo, a FCI e a CUI, e organiza a exigência em três níveis, do mais básico ao mais rigoroso. Não é só para empresa americana: qualquer fornecedor da cadeia de defesa, incluindo subcontratados fora dos EUA, precisa atingir o nível exigido no contrato. A regra final entrou em vigor em dezembro de 2024 e passou a valer nos contratos a partir de novembro de 2025.

Zamak TechnologiesAtualizado em 10 de julho de 2026

Como o CMMC funciona na prática

O CMMC amarra o direito de fechar um contrato de defesa a uma prova de cibersegurança. O fornecedor não escolhe o nível: ele vem do tipo de informação que o contrato envolve. O ciclo tem quatro passos.

1

Descobrir o nível exigido pelo contrato

Se o trabalho envolve só informação de contrato (FCI), o Nível 1 basta; se envolve informação controlada não classificada (CUI), o Nível 2 ou 3 entra em cena.

2

Implementar os controles do nível

O Nível 2 se apoia nos 110 controles do NIST SP 800-171; o Nível 3 acrescenta controles do NIST SP 800-172 para os programas mais críticos.

3

Ser avaliado no rigor certo

O Nível 1 admite autoavaliação; o Nível 2 costuma exigir avaliação por um terceiro credenciado (C3PAO); o Nível 3 é avaliado pelo próprio governo.

4

Afirmar e manter

A conformidade é reafirmada periodicamente e registrada. Perder o nível no meio do contrato coloca o próprio contrato em risco.

Fonte: U.S. Department of Defense, regra final do CMMC (32 CFR Parte 170) e NIST SP 800-171 / 800-172.

Os três níveis do CMMC

  • Nível 1 (Fundamental) Protege a informação de contrato (FCI) com 15 requisitos básicos de proteção. Admite autoavaliação anual.
  • Nível 2 (Avançado) Protege a informação controlada não classificada (CUI) com os 110 controles do NIST SP 800-171. Costuma exigir avaliação por um terceiro credenciado.
  • Nível 3 (Especialista) Para os programas mais críticos, soma controles do NIST SP 800-172 aos 110 do Nível 2, com avaliação conduzida pelo governo.

Por que o CMMC virou porta de entrada, não item opcional

220 mil+
empresas na base industrial de defesa dos EUA estão no alcance do CMMC (estimativa do DoD)
~80 mil
dessas precisarão da certificação de Nível 2 por avaliação independente (estimativa inicial do DoD)
110
controles do NIST SP 800-171 formam a base do Nível 2 do CMMC (DoD, 32 CFR 170)

O CMMC transformou cibersegurança em pré-requisito de negócio: sem o nível exigido, o fornecedor simplesmente não pode fechar o contrato de defesa. O alcance é grande, o Departamento de Defesa estima entre 220 mil e 300 mil empresas na sua cadeia de fornecimento, das quais cerca de 80 mil precisarão da certificação de Nível 2 por avaliação independente. E a cadeia é global: uma empresa de tecnologia, engenharia ou logística fora dos EUA que atenda um contratante de defesa entra na mesma exigência. Como o nível se propaga pela cadeia, o contratante principal cobra o CMMC dos seus subcontratados, o que empurra a exigência para empresas que nem lidam diretamente com o governo.

Como uma empresa se prepara para o CMMC

Preparação para o CMMC é menos sobre um certificado de última hora e mais sobre operar os controles de base antes de o contrato exigir. O caminho mais direto:

  1. Saiba se você toca FCI ou CUIÉ isso que define o nível. Muitos fornecedores subestimam e descobrem tarde que lidam com CUI, o que exige o Nível 2.
  2. Implemente os 110 controles do NIST 800-171São a espinha do Nível 2: controle de acesso, resposta a incidente, proteção de mídia e outros domínios que também elevam a segurança geral da empresa.
  3. Feche as lacunas com um plano registradoO que ainda não está pronto entra num plano de ação com prazo. O avaliador quer ver a lacuna sendo tratada, não escondida.
  4. Trate como postura contínuaO nível precisa se sustentar durante todo o contrato, com evidência coletada de forma contínua, não montada às pressas na véspera da avaliação.

Na prática

A pergunta que revela o risco real: a empresa sabe hoje se algum contrato que ela atende envolve CUI, ou descobriria isso só quando o contratante principal pedisse o certificado de Nível 2?

Como a Zamak trata a conformidade com o CMMC

A Zamak Technologies apoia a jornada de CMMC e do NIST SP 800-171 como parte da Governança e Conformidade do Método Zamak: mapeamento dos 110 controles, coleta contínua de evidência e trilha de auditoria sobre uma plataforma de conformidade. Um bom ponto de partida é o Compliance Audit Express, que mostra em minutos onde a empresa está mais exposta.

Perguntas frequentes sobre o CMMC

O CMMC vale só para empresa dos EUA?
Não. Ele vale para qualquer empresa que queira fornecer para a defesa americana, incluindo subcontratados fora dos EUA. Se o contrato exige um nível de CMMC, o fornecedor precisa atingi-lo, esteja onde estiver.
Qual a diferença entre FCI e CUI?
FCI (Federal Contract Information) é a informação de contrato não pública; CUI (Controlled Unclassified Information) é a informação controlada mais sensível, sem ser classificada. Tocar CUI exige um nível mais alto de CMMC.
Qual a relação entre CMMC e NIST SP 800-171?
O Nível 2 do CMMC é, na prática, a implementação dos 110 controles do NIST SP 800-171, com uma avaliação formal por cima. Quem já segue o 800-171 tem grande parte do caminho andado.
Preciso de avaliação de terceiro ou posso me autoavaliar?
Depende do nível. O Nível 1 admite autoavaliação; o Nível 2 costuma exigir um avaliador terceirizado credenciado (C3PAO); o Nível 3 é avaliado pelo governo.
Empresa pequena também precisa de CMMC?
Sim, se estiver na cadeia de defesa. O nível exigido depende da informação que a empresa toca, não do seu tamanho. Pequenos subcontratados que lidam com FCI precisam ao menos do Nível 1.
O CMMC é a mesma coisa que o NIST CSF?
Não. O NIST CSF é um guia voluntário de gestão de risco cibernético; o CMMC é uma exigência contratual específica da defesa dos EUA, com avaliação formal e certificação. Eles se complementam, mas cumprem papéis diferentes.

Termos relacionados

Continue explorando

Ver o índice completo →
Endpoint e Identidade
MFAPAM (acesso privilegiado)SSO (login único)
Detecção e Resposta
EDRMDRXDRMITRE ATT&CKSIEMSOC (centro de operações)
Rede e Acesso
ZTNAFirewallVPNSASE
Governança e Conformidade
LGPDISO 27001SOC 2NIST CSFShadow ITAvaliação de maturidade cibernéticaHIPAAPCI DSSGDPRCMMCCIS ControlsISO 42001 (gestão de IA)NIST AI RMFNIST 800-171FTC SafeguardsISO 27701 (privacidade)FedRAMPGRC (governança, risco, conformidade)vCIOvCISO
Conceitos e Fundamentos
Deep webZero TrustDefesa em profundidadeSuperfície de ataqueEndpointMenor privilégio
IA e Segurança
Shadow AIGovernança de IAInjeção de promptOWASP LLM Top 10Deepfake