NIST SP 800-171

La NIST Special Publication 800-171 précise comment les organisations non fédérales — principalement les contractants et sous-traitants du gouvernement américain — doivent protéger les Controlled Unclassified Information (CUI) sur leurs systèmes. La révision 3 actuelle définit une centaine d'exigences regroupées en 17 familles dérivées de SP 800-53, couvrant le contrôle d'accès, l'audit, la gestion de configuration, la réponse aux incidents, etc. La conformité est requise pour les contractants de la défense américaine au titre du DFARS 7012 et constitue la base technique du niveau 2 du CMMC. Les organisations documentent un System Security Plan (SSP) et un Plan of Action and Milestones (POA&M) pour démontrer leur conformité.