O NIST propõe requisitos de segurança reforçados para determinados contratantes governamentais

O Instituto Nacional de Padrões e Tecnologia (NIST) anunciou alterações propostas à Publicação Especial (SP) 800-171 do NIST, Proteção de Informações Controladas Não Classificadas em Sistemas e Organizações Não Federais. As alterações propostas são duplas: (1) fazer pequenas alterações editoriais e esclarecimentos à SP 800-171 existente e (2) propor requisitos de segurança reforçados para programas críticos e ativos de alto valor para proteger contra ameaças persistentes avançadas (APT) numa nova publicação, a SP 800-171B. Essas propostas não afetarão apenas os contratados do governo que estão diretamente sujeitos aos requisitos por meio de seus acordos com o governo, mas também podem se estender ao setor privado. Essas propostas estão abertas para comentários públicos até 2 de agosto de 2019*.

Publicados originalmente em 2015, os controlos NIST SP 800-171 foram concebidos para definir padrões mínimos de segurança para contratantes governamentais que processam, armazenam ou transmitem informações controladas não classificadas (CUI). Os tipos de informações consideradas CUI estão listados no Registo CUI e incluem uma ampla gama de informações, desde informações fiscais federais até informações críticas de defesa. As revisões propostas para o SP 800-171, Revisão 2, são pequenas alterações editoriais; nenhuma alteração foi proposta para os requisitos básicos ou derivados de segurança. O NIST declarou que uma atualização abrangente do SP 800-171 será publicada na Revisão 3.

No entanto, o NIST propôs novos padrões de segurança rigorosos para sistemas e organizações não federais que suportam programas críticos ou fazem parte de ativos de alto valor — como sistemas de armas — em sua nova publicação, SP 800-171B. O SP 800-171B do NIST baseia-se nos requisitos de segurança estabelecidos no SP 800-171. Como os controlos do NIST SP 800-171 são frequentemente citados em acordos do setor privado como requisitos mínimos para fornecedores que processam, armazenam ou transmitem dados de organizações, os controlos propostos provavelmente se espalharão para outros setores e afetarão os fornecedores, independentemente de eles terem contratos com o governo.

O que implicam os novos requisitos da SP 800-171B?

Os novos requisitos da NIST 800-171B têm como objetivo complementar (em vez de substituir) a SP 800-171 e estabelecer um padrão substancialmente mais elevado para as práticas mínimas de segurança nas organizações aplicáveis, em comparação com a SP 800-171 de forma mais geral. Especificamente, a SP 800-171B adiciona 32 requisitos de segurança aprimorados aos 110 controlos de segurança listados na SP 800-171, com foco em três componentes principais: (1) uma arquitetura resistente à penetração; (2) operações de limitação de danos; e (3) projeto de sistemas para resiliência cibernética e capacidade de sobrevivência. Por exemplo, a NIST 800-171B adiciona os três requisitos seguintes aos controlos existentes relacionados com o acesso a CUI (limitando ainda mais os direitos de acesso): (1) empregar autorização dupla para executar operações críticas ou sensíveis do sistema e da organização; (2) restringir o acesso a sistemas e componentes do sistema apenas aos recursos de informação que são propriedade, fornecidos ou emitidos pela organização; e (3) empregar soluções seguras de transferência de informação para controlar os fluxos de informação entre domínios de segurança em sistemas conectados.

Para a maioria das empresas, os requisitos aprimorados provavelmente são mais onerosos do que os requisitos gerais da NIST SP 800-171. Um exemplo dispendioso de um novo requisito é que as organizações devem estabelecer e manter um centro de operações de segurança em tempo integral e uma equipa de resposta a incidentes que possa ser mobilizada para qualquer local em 24 horas. A proposta prevê que o NIST permitirá que as organizações contratem terceiros para cumprir essas novas normas, em vez de exigir que as organizações tenham a capacidade de cumprir as normas internamente.

Como a norma SP 800-171B afetará as organizações?

De acordo com a SP 800-171B, as organizações só terão de cumprir a SP 800-171B «quando exigido por uma agência federal num contrato, subvenção ou outro acordo». Assim, uma vez finalizada a SP 800-171B, as organizações devem rever os seus acordos para determinar se o cumprimento é necessário. Conforme mencionado acima, é provável que as organizações do setor privado exijam cada vez mais que os fornecedores cumpram os requisitos mais rigorosos para os dados da própria organização que esta considera altamente confidenciais — especialmente organizações com grandes volumes de dados confidenciais. Assim, e independentemente de quando a NIST SP 800-171B for emitida na sua forma final, as organizações que sabem que provavelmente estarão sujeitas a esses novos requisitos devem começar a pensar em como implementá-los. Alguns desses requisitos exigirão novas tecnologias, formações e funcionários, portanto, quanto mais cedo cada organização criar um plano e uma estratégia de implementação, mais suave e econômica será a implementação.

Como pode comentar estas propostas?

Os comentários devem ser enviados por e-mail para [email protected] ou em https://www.regulations.gov, processo NIST-2019-0002.

Para saber mais sobre as propostas ou para obter ajuda para enviar um comentário, entre em contacto com qualquer um dos autores para obter mais informações.

*Nota do editor: Data atualizada em 10 de julho de 2019.

Declaração de exoneração de responsabilidade

Este blogue é disponibilizado por Foley & Lardner LLP ("Foley" ou "a Firma") apenas para fins informativos. Não se destina a transmitir a posição jurídica da Sociedade em nome de qualquer cliente, nem a prestar aconselhamento jurídico específico. As opiniões expressas neste artigo não reflectem necessariamente a posição da Foley & Lardner LLP, dos seus sócios ou dos seus clientes. Por conseguinte, não actue de acordo com esta informação sem procurar aconselhamento junto de um advogado licenciado. Este blogue não se destina a criar, e a sua receção não constitui, uma relação advogado-cliente. A comunicação com a Foley através deste sítio Web, por correio eletrónico, publicação no blogue ou outro, não cria uma relação advogado-cliente para qualquer assunto jurídico. Por conseguinte, qualquer comunicação ou material que transmita a Foley através deste blogue, seja por correio eletrónico, publicação no blogue ou qualquer outra forma, não será tratado como confidencial ou proprietário. A informação neste blogue é publicada "COMO ESTÁ" e não se garante que seja completa, exacta ou actualizada. A Foley não faz representações ou garantias de qualquer tipo, expressas ou implícitas, quanto ao funcionamento ou conteúdo do sítio. A Foley renuncia expressamente a todas as outras garantias, garantias, condições e representações de qualquer tipo, expressas ou implícitas, quer surjam ao abrigo de qualquer estatuto, lei, utilização comercial ou de outra forma, incluindo garantias implícitas de comercialização, adequação a um determinado fim, título e não infração. Em nenhuma circunstância a Foley ou qualquer um dos seus parceiros, oficiais, funcionários, agentes ou afiliados serão responsáveis, direta ou indiretamente, sob qualquer teoria da lei (contrato, delito, negligência ou outra), perante si ou qualquer outra pessoa, por quaisquer reclamações, perdas ou danos, diretos, indirectos, especiais, incidentais, punitivos ou consequenciais, resultantes ou ocasionados pela criação, utilização ou confiança neste site (incluindo informações e outros conteúdos) ou quaisquer sites de terceiros ou as informações, recursos ou materiais acedidos através de tais sites. Em algumas jurisdições, o conteúdo deste blogue pode ser considerado publicidade de advogados. Se aplicável, tenha em atenção que resultados anteriores não garantem um resultado semelhante. As fotografias destinam-se apenas a fins de dramatização e podem incluir modelos. As imagens não implicam necessariamente o estatuto atual de cliente, parceiro ou empregado.

Uma mulher com cabelo louro comprido, vestindo um blazer preto, um top preto e um colar de pérolas em camadas, sorri num ambiente interior profissional - reflectindo a confiança polida frequentemente vista entre os advogados de Chicago e os especializados em direito de propriedade intelectual.

[email protected]

Milwaukee 414.297.5864

[email protected]

Madison 608.250.7420

Informações relacionadas

Ver todas as publicações

11 de dezembro de 2025 Perspetivas sobre tecnologias inovadoras

OCC emite outra carta interpretativa favorável às criptomoedas: permissibilidade de transações sem risco com ativos criptográficos principais

Em 9 de dezembro de 2025, o Gabinete do Controlador da Moeda (OCC) emitiu a Carta Interpretativa 1188 (IL 1188), confirmando que um banco nacional está autorizado, como parte da atividade bancária, a realizar transações de criptoativos sem risco.

10 de dezembro de 2025 Consultor da Indústria Transformadora

A guerra por talentos na indústria automóvel: vencendo a corrida por trabalhadores qualificados

Durante mais de um século, o setor automóvel foi definido pela engenharia mecânica, fabricação e domínio da linha de montagem. Mas hoje, a indústria está a passar por uma transformação tecnológica tão profunda que está a reescrever o ADN da fabricação de automóveis.

3 de dezembro de 2025 Consultor da Indústria Transformadora

Fabricado na China: O que a indústria automóvel deve saber sobre o surgimento global da fabricação chinesa de veículos conectados em meio às crescentes restrições dos EUA

A indústria automóvel chinesa tornou-se global, em grande parte devido aos avanços tecnológicos, às vantagens em termos de custos e ao investimento estrangeiro através de joint ventures, particularmente nas tecnologias de veículos elétricos («EV») e veículos conectados.