NIST SP 800-171

A NIST Special Publication 800-171 especifica como organizações não federais — sobretudo contratantes e subcontratantes do governo dos EUA — devem proteger Controlled Unclassified Information (CUI) nos seus sistemas. A Revisão 3 atual define cerca de cem requisitos de segurança em 17 famílias derivadas da SP 800-53, abrangendo controlo de acesso, auditoria, gestão de configuração, resposta a incidentes e mais. A conformidade é obrigatória para contratantes de defesa dos EUA sob o DFARS 7012 e constitui a base técnica do nível 2 do CMMC. As organizações documentam um System Security Plan (SSP) e um Plan of Action and Milestones (POA&M) para evidenciar conformidade.