NIST SP 800-171

La NIST Special Publication 800-171 establece cómo las organizaciones no federales —principalmente contratistas y subcontratistas del Gobierno de EE. UU.— deben proteger la Información No Clasificada Controlada (CUI) en sus sistemas. La Revisión 3 actual define alrededor de cien requisitos de seguridad agrupados en 17 familias derivadas de NIST SP 800-53, cubriendo control de acceso, auditoría, gestión de configuración, respuesta a incidentes, etc. Su cumplimiento es obligatorio para los contratistas de defensa estadounidenses bajo DFARS 7012 y constituye la base técnica del nivel 2 de CMMC. Las organizaciones documentan un Plan de Seguridad del Sistema (SSP) y un Plan de Acción e Hitos (POA&M) para evidenciar conformidad.