
Como as diretrizes atualizadas sobre a proteção de informações não classificadas controladas afetam as PMEs
Em maio, o Instituto Nacional de Padrões e Tecnologia (NIST) atualizou as suas diretrizes que ajudam as organizações do setor privado que fazem negócios com o governo federal a proteger dados sensíveis. O documento é conhecido como Publicação Especial 800-171 do NIST (SP 800-171), e a revisão final agora oferece orientações mais claras e diretas.
O que é o NIST?
NIST é uma agência não regulamentar do Departamento de Comércio dos EUA. A sua missão é promover a inovação tecnológica e a competitividade industrial, avançando a ciência da medição, normas e tecnologia para melhorar a segurança económica e a qualidade de vida. A agência desenvolve normas, medições e diretrizes que vão desde a segurança na construção até estruturas de cibersegurança.
Quem precisa de estar em conformidade com o NIST SP 800-171?
Qualquer organização que faça negócios com o governo federal e lide com informações não classificadas controladas (CUI) em nome do governo é contratualmente obrigada a cumprir as diretrizes do NIST SP 800-171. Os dados que se qualificam como CUI devem ser especificados no seu contrato governamental.
O que é informação não classificada controlada (CUI)?
CUI é informação governamental que é sensível, mas não cumpre os critérios para ser classified. Estes dados devem ter uma lei, regulamento ou política governamental associada. Exemplos de CUI podem incluir propriedade intelectual, informação técnica controlada, informação de saúde de funcionários, informação comercial proprietária, informação pessoal identificável e informação sensível para a aplicação da lei.
Nas suas diretrizes, o NIST delineia as melhores práticas para proteger estes dados contra acesso, divulgação e perda não autorizados. Isto é importante porque as organizações que processam, armazenam e transmitem CUI frequentemente apoiam programas governamentais que envolvem ativos críticos, como sistemas de armas e de comunicação.
O que mudou em relação às diretrizes anteriores?
Anteriormente, alguns dos termos nas diretrizes eram ambíguos e não correspondiam à linguagem do catálogo de controlos de segurança e privacidade utilizados por agências federais. As atualizações finais foram feitas para melhorar a consistência e a facilidade de uso, em parte com base no feedback dos utilizadores sobre versões anteriores.
Principais atualizações incluem:
- Requisitos de segurança reestruturados para alinhar com os controlos de segurança SP 800-53
- Parâmetros definidos pela organização (ODP) para personalizar certos controlos às necessidades específicas da sua organização
- Novos critérios de personalização mais claros
- Recategorização dos controlos com base nos novos critérios de personalização
- Orientações adicionais para apoiar melhor a implementação e melhorar os resultados
As diretrizes revistas são também mais tecnicamente compatíveis, disponíveis em formatos legíveis por máquina, como JSON e Excel, para que os desenvolvedores de ferramentas de cibersegurança possam importá-las para as suas aplicações.
Os procedimentos de avaliação de acompanhamento também foram atualizados. Estes têm como objetivo ajudar as organizações a avaliar se cumprem os requisitos de segurança.
Atualizações na documentação dos procedimentos de avaliação incluem:
- Parâmetros definidos pela organização (ODP) para melhor rastreabilidade e usabilidade
- Alterações na estrutura e sintaxe para maior consistência
- Orientações adicionais para a realização de avaliações de requisitos de segurança
Como é que as diretrizes do NIST impactam as PMEs?
As diretrizes NIST SP 800-171 têm impactos financeiros e operacionais para PMEs que lidam com CUI governamental.
- Impactos financeiros: PMEs que lidam com CUI governamental devem cumprir as diretrizes ou correm o risco de disputas contratuais ou penalidades. Mesmo as PMEs que não têm contratos governamentais, mas fazem parte das cadeias de fornecimento do governo, estão sujeitas aos requisitos. Cumprir as diretrizes significa investir em infraestrutura, pessoal e manutenção contínua. No entanto, a conformidade com a NIST SP 800-171 pode oferecer uma vantagem competitiva ao competir por contratos governamentais, e as seguradoras podem oferecer cobertura preferencial a organizações que atendem aos padrões.
- Impactos operacionais: Cumprir os padrões envolve a implementação de controlos de segurança abrangentes, incluindo tecnologia, processos e formação, para proteger o CUI. Isto inclui encriptação, controlos de acesso, sistemas de monitorização e capacidades de resposta a incidentes.
Como podem as PME garantir a conformidade com o NIST SP 800-171?
Navegar na conformidade é um desafio para as PMEs, especialmente para aquelas com recursos e conhecimentos de conformidade limitados. Se estiver a fazer isso sozinho, é essencial ler o seu contrato governamental e o quadro NIST SP 800-171 na íntegra e usar a avaliação complementar para verificar os seus controlos.
Muitas PME optam por procurar orientação de especialistas em cibersegurança e fornecedores de serviços de segurança geridos. Se seguir este caminho, assegure-se de que os seus consultores estão atualizados com a última revisão do NIST SP 800-171.

O Relatório de Perspetivas sobre Ransomware 2025
Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo
Subscreva o Blogue Barracuda.
Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil
Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar