NIST SP 800-171

Die NIST Special Publication 800-171 definiert, wie nicht-bundesbehördliche Organisationen — vor allem Auftragnehmer und Unterauftragnehmer der US-Regierung — Controlled Unclassified Information (CUI) auf ihren Systemen schützen müssen. Die aktuelle Revision 3 enthält rund 100 Anforderungen in 17 Familien, abgeleitet aus NIST SP 800-53, mit Themen wie Zugriffskontrolle, Audit, Konfigurations-Management und Incident Response. Die Einhaltung ist für US-Verteidigungsauftragnehmer gemäß DFARS 7012 verpflichtend und bildet die technische Grundlage von CMMC Level 2. Umsetzende Organisationen dokumentieren einen System Security Plan (SSP) und einen Plan of Action and Milestones (POA&M) als Konformitätsnachweis.