Beancount.io LogoBeancount.io

CMMC 2.0 e NIST 800-171 em 2026: Um Roteiro de Certificação para Pequenos Empreiteiros de Defesa

15 min para lerMike ThriftMike Thrift
CMMC 2.0 e NIST 800-171 em 2026: Um Roteiro de Certificação para Pequenos Empreiteiros de Defesa

Se você fornece qualquer coisa para o Departamento de Defesa — desde peças usinadas até software, de serviços de logística a desenhos de engenharia — há um cronômetro rodando para o seu negócio. O programa de Certificação de Maturidade em Cibersegurança (CMMC) entrou oficialmente nos contratos do DoD em 10 de novembro de 2025, e a fase de certificação por terceiros que se segue em 10 de novembro de 2026 desqualificará silenciosamente milhares de pequenos subempreiteiros que presumiram ter mais tempo.

O fato mais desconfortável sobre o CMMC é que ele não é realmente um novo livro de regras. É um mecanismo de verificação para requisitos de cibersegurança que estão incorporados no Suplemento do Regulamento de Aquisição Federal de Defesa (DFARS) desde 2017. Pesquisas do setor ainda mostram que menos de 15 por cento dos empreiteiros de defesa implementaram totalmente esses controles subjacentes do NIST SP 800-171. Essa é a lacuna que o CMMC foi projetado para expor — e a lacuna que agora é contratualmente relevante para você ganhar ou perder uma licitação.

Este guia é para proprietários, COOs e líderes de TI de pequenas empresas que, de repente, se veem precisando traduzir uma estrutura de 110 controles, um guia de avaliação de 320 objetivos e um modelo de certificação de três níveis em algo que possam orçar, planejar e entregar antes do fechamento da próxima solicitação.

Os Três Níveis em Linguagem Simples

O CMMC 2.0 reduz o modelo original de cinco níveis para três. O nível necessário é determinado pelo tipo de informação governamental que você manipula, não pelo tamanho da sua empresa ou pelo valor monetário do seu contrato.

Nível 1 (Fundamental) aplica-se se a sua única informação relacionada ao DoD for a Informação de Contrato Federal (FCI) — a informação não pública gerada sob ou para um contrato que o governo não designou para divulgação pública. Pense em ordens de compra, cronogramas de entrega, dados básicos de declaração de trabalho. O Nível 1 mapeia os 17 controles básicos de salvaguarda na cláusula FAR 52.204-21 e é satisfeito por meio de autoavaliação anual com a afirmação de um funcionário sênior no Sistema de Risco de Desempenho do Fornecedor (SPRS) do DoD.

Nível 2 (Avançado) aplica-se no momento em que qualquer Informação Não Classificada Controlada (CUI) toca o seu ambiente. CUI é uma categoria mais ampla que inclui dados técnicos controlados por exportação, informações técnicas controladas, informações de propulsão nuclear naval, certos tipos de informações de identificação pessoal e outras categorias definidas no Registro CUI. O Nível 2 exige a implementação de todos os 110 controles da Revisão 2 do NIST SP 800-171, avaliados em relação aos 320 objetivos de avaliação no NIST SP 800-171A. A maioria dos contratos de Nível 2 exige uma avaliação trienal por uma Organização de Assessoria de Terceiros Certificada (C3PAO). Uma pequena fatia de contratos de "CUI não crítica" pode permitir a autoavaliação anual, mas você não deve presumir que o seu contrato se qualifica, a menos que o oficial de contratação o diga explicitamente.

Nível 3 (Especialista) é reservado para empreiteiros que lidam com CUI associada aos programas de maior prioridade do DoD. Ele adiciona 24 controles do NIST SP 800-172 sobre os 110 do 800-171 e é avaliado pelo Centro de Avaliação de Cibersegurança da Base Industrial de Defesa (DIBCAC). Se você ainda não sabe que é Nível 3, quase certamente não é.

A implicação prática: se a sua empresa alguma vez receber desenhos técnicos, especificações marcadas como CUI, dados controlados pelo ITAR ou qualquer coisa que o empreiteiro principal descreva como "controlada", você é uma empresa de Nível 2 e precisa orçar adequadamente.

O Que Mudou na Regra Final

A emenda do DFARS que codifica o CMMC entrou em vigor em 10 de novembro de 2025, com uma implementação faseada de quatro anos. Duas partes da regra merecem atenção porque são comumente mal interpretadas.

Primeiro, a cláusula DFARS 252.204-7019 — a exigência independente de realizar uma autoavaliação Básica do NIST SP 800-171 e postar uma pontuação no SPRS — foi incorporada às cláusulas do CMMC e não existe mais como uma disposição separada. Muitas pequenas empresas ainda operam sob o pressuposto de que postar uma pontuação de autoavaliação é o fim da sua obrigação de conformidade. Após 10 de novembro de 2025, é o mínimo necessário para licitar, e após 10 de novembro de 2026, não será mais suficiente para a maioria dos contratos de CUI.

Segundo, a DFARS 252.204-7021 torna a certificação CMMC uma condição para a adjudicação do contrato e exige que o empreiteiro mantenha essa certificação durante todo o período de execução. Isso significa que sua certificação não pode expirar silenciosamente no meio do contrato; se isso acontecer, você terá um problema de conformidade que sobe na cadeia de suprimentos até o empreiteiro principal.

Terceiro, a DFARS 252.204-7012 — a cláusula de notificação de incidentes que está em vigor desde 2017 — permanece intacta. Você ainda tem 72 horas para relatar um incidente cibernético que afete informações de defesa cobertas e ainda precisa fornecer mídia para análise forense mediante solicitação.

As 14 Famílias de Controle, Desmistificadas

Os 110 controles do Nível 2 estão organizados em 14 famílias que espelham a estrutura do NIST SP 800-171. Lê-los em linguagem clara ajuda a entender onde o trabalho realmente reside.

Controle de Acesso (22 controles) rege quem pode fazer login, o que podem ver e o que podem fazer uma vez lá dentro. Espere inventariar cada usuário, função e conta compartilhada em seu ambiente.

Conscientização e Treinamento (3 controles) exige treinamento documentado de conscientização de segurança para todos os usuários e treinamento baseado em funções para usuários privilegiados. Módulos genéricos de phishing não são suficientes por si só.

Auditoria e Responsabilização (9 controles) exige que seus sistemas produzam, protejam e revisem logs suficientes para reconstruir o que aconteceu durante um incidente. Muitas pequenas empresas falham aqui não porque não conseguem gerar logs, mas porque ninguém os está revisando.

Gestão de Configuração (9 controles) solicita que você estabeleça linhas de base (baselines) para cada sistema que manipula CUI e gerencie as alterações nessas linhas de base. É aqui que softwares não autorizados e a "shadow IT" se tornam uma descoberta de auditoria.

Identificação e Autenticação (11 controles) é a família da autenticação multifator. MFA em contas privilegiadas é inegociável. MFA em todas as contas que acessam CUI é a interpretação prática que os auditores aplicam.

Resposta a Incidentes (3 controles) requer uma capacidade testada de resposta a incidentes com procedimentos documentados, treinamento e relatórios. O cronograma de 72 horas do DFARS 7012 torna isso concreto.

Manutenção (6 controles) controla como você realiza a manutenção em sistemas que manipulam CUI, incluindo manutenção remota e a supervisão de fornecedores que tocam seu ambiente.

Proteção de Mídia (9 controles) abrange rotulagem, transporte, sanitização e destruição de mídia contendo CUI — sim, incluindo a unidade USB que contém cópias de backup de dados de engenharia.

Segurança de Pessoal (2 controles) exige triagem antes de conceder acesso a CUI e garante que o acesso seja encerrado quando o emprego termina.

Proteção Física (6 controles) rege o acesso físico às instalações onde a CUI é processada, incluindo registros de visitantes e salvaguardas de equipamentos.

Avaliação de Risco (3 controles) exige avaliações de risco periódicas e varreduras de vulnerabilidade em seus sistemas que estão no escopo.

Avaliação de Segurança (4 controles) exige um Plano de Segurança do Sistema (SSP) documentado e um Plano de Ação e Marcos (POA&M) — os dois artefatos que todo assessor abre primeiro.

Proteção de Sistemas e Comunicações (16 controles) abrange proteção de perímetro, criptografia em trânsito, criptografia em repouso e separação arquitetônica da CUI de outros dados.

Integridade de Sistemas e Informação (7 controles) abrange a remediação de falhas, proteção contra códigos maliciosos e monitoramento.

Os 110 controles se expandem em 320 objetivos de avaliação no NIST SP 800-171A. Cada objetivo é uma pergunta discreta de "sim ou não" que o assessor fará, e cada uma exige evidências — uma política, uma captura de tela de configuração, uma amostra de log, um termo de ciência assinado. Desenvolvedores de repositórios de evidências de conformidade estimam tipicamente entre 600 a 1.200 evidências individuais para uma avaliação limpa de Nível 2.

O Que Isso Realmente Custa para uma Pequena Empresa

A própria análise de impacto regulatório do DoD estima que aproximadamente 229.818 das 337.968 entidades afetadas são pequenas empresas. A realidade dos custos varia mais do que qualquer apresentação de vendas de fornecedores admitirá.

Avaliações de lacunas (Gap assessments) de consultores independentes variam de aproximadamente US3.500nolimiteinferioraUS 3.500 no limite inferior a US 20.000 para uma revisão completa da Rev. 2, incluindo um rascunho do SSP. Este é o melhor dinheiro que você pode gastar antes de se comprometer com a remediação, porque ele informa o tamanho real do projeto.

Custos de remediação para pequenas empresas geralmente ficam entre US35.000eUS 35.000 e US 115.000, dependendo da lacuna. Os itens caros costumam ser: um ambiente Microsoft 365 GCC High em conformidade (ou equivalente), detecção e resposta de endpoint (EDR), autenticação multifator em todos os lugares, um serviço gerenciado de gestão de informações e eventos de segurança (SIEM) e a mão de obra para redigir e operar as políticas exigidas.

Taxas de avaliação C3PAO para certificação de Nível 2 normalmente variam de US20.000aUS 20.000 a US 75.000 para um ambiente pequeno, com ambientes maiores ou mais complexos custando mais caro. Os prazos de espera atuais são de 3 a 6 meses e estão aumentando — existem menos de 100 C3PAOs autorizados atendendo a uma estimativa de 80.000 contratados de Nível 2, e o pipeline ainda não está acompanhando a demanda.

Custos operacionais contínuos — serviços gerenciados, treinamento, ferramentas, tempo de pessoal interno — normalmente adicionam de US10.000aUS 10.000 a US 20.000 por ano para uma pequena empresa, todos os anos, indefinidamente.

O custo total de propriedade para uma pequena empresa de Nível 2, incluindo o primeiro ciclo de certificação, geralmente fica entre US80.000eUS 80.000 e US 250.000 ao longo de três anos. O Nível 1 é drasticamente mais barato, muitas vezes alcançável por menos de US$ 10.000 se o seu ambiente já for moderadamente bem gerenciado.

Esses números são desconfortáveis. Eles também são passíveis de inclusão em propostas. Se os seus contratos não podem absorvê-los, essa é uma questão estratégica que vale a pena responder antes de passar mais um trimestre buscando contratos com o DoD.

A Brecha do Plano de Ação e Marcos (POA&M)

A regra final preserva um mecanismo limitado de POA&M para o Nível 2. Você pode obter uma certificação condicional com itens em aberto, desde que:

  • Sua pontuação geral no SPRS seja igual ou superior a 88 (de um total de 110).
  • Os itens em aberto não estejam na lista de controles de alto valor que devem ser totalmente atendidos no momento da avaliação (autenticação de múltiplos fatores, criptografia validada pelo FIPS, monitoramento contínuo de segurança e alguns outros).
  • Você encerre todos os itens em aberto em até 180 dias, momento em que uma avaliação de encerramento converte seu status condicional em final.

Os POA&Ms são úteis, mas não substituem a preparação. Uma certificação condicional com uma falha no encerramento de 180 dias é materialmente pior do que uma avaliação inicial atrasada, pois pode resultar na perda da certificação no meio do contrato.

Um Caminho de 90 Dias para um Pequeno Fornecedor Começando Agora

Se você estiver lendo isto em meados de 2026 e ainda não começou, aqui está um cronograma compactado realista. Ele assume que o Nível 2 é o seu objetivo e que seu ambiente é representativo de uma pequena empresa com 10 a 50 funcionários.

Dias 1 a 14: Escopo e Inventário. Identifique cada sistema, conta de usuário e fluxo de dados que toca em CUI (Informações Não Sigilosas Controladas). A maioria das pequenas empresas superestima dramaticamente o escopo de CUI em seu ambiente; o objetivo é o menor enclave defensável que ainda atenda às obrigações contratuais. Decida se usará um enclave de CUI dedicado (um locatário/tenant separado do Microsoft 365 GCC High ou equivalente) ou se tentará a conformidade em toda a empresa. Enclaves são quase sempre mais baratos para pequenas operações.

Dias 15 a 30: Avaliação de Lacunas (Gap Assessment). Contrate uma organização de profissionais registrados (RPO) ou um consultor qualificado para realizar uma avaliação de lacunas do NIST SP 800-171 Rev. 2 em relação aos 110 controles e 320 objetivos. Insista em um relatório por escrito com descobertas controle por controle, remediação recomendada e um rascunho do SSP (Plano de Segurança do Sistema).

Dias 31 a 60: Sprints de Remediação. Ataque os controles de alto valor primeiro, pois eles não podem constar em um POA&M. Implemente MFA em cada conta que toca em CUI. Migre as cargas de trabalho de CUI para um tenant em conformidade. Implante EDR. Estabeleça a coleta centralizada de logs. Escreva ou compre os 14 documentos de política que o guia de avaliação exige.

Dias 61 a 75: Documentação e Treinamento. Finalize o SSP, complete o treinamento de segurança baseado em funções, realize seu primeiro exercício de simulação (tabletop) de resposta a incidentes e atualize sua pontuação no SPRS. Construa o repositório de evidências que o avaliador solicitará.

Dias 76 a 90: Pré-avaliação e Agendamento. Realize uma simulação de avaliação interna usando o NIST SP 800-171A como rubrica. Feche quaisquer lacunas restantes. Envie uma solicitação para agendamento de C3PAO — e aceite que a avaliação real pode ocorrer de 90 a 180 dias após a data da solicitação. Use o tempo de espera para operar os controles; os avaliadores buscam evidências de operação sustentada, não políticas recém-criadas.

Isso é agressivo. É alcançável para uma organização com comprometimento executivo, um escopo honesto e disposição para investir. Organizações que tentam adaptar a conformidade a um ambiente amplo e não documentado rotineiramente levam de 9 a 12 meses.

Contabilidade para o Projeto de Conformidade

Dois erros de gestão financeira complicam rotineiramente os projetos de CMMC em pequenas empresas.

O primeiro é tratar os gastos de conformidade como um balde único. Um plano de contas limpo separa os custos de remediação pontuais (capitalizáveis em muitos casos), assinaturas de software recorrentes (despesas operacionais - OpEx), mão de obra da equipe interna (frequentemente alocável em vários programas) e taxas de avaliação (um custo de nível de contrato que pode ser aceitável sob taxas de custos indiretos para trabalhos reembolsáveis por custos). Empreiteiras de defesa com sistemas de contabilidade relevantes para a DCAA precisam, particularmente, rastrear essas categorias com precisão; a classificação incorreta pode aparecer anos depois como custos questionados.

O segundo é não rastrear os custos do CMMC por contrato. Se o seu investimento em conformidade foi impulsionado por um requisito contratual específico, você poderá recuperar uma parte por meio de custos permitidos ou precificação em premiações subsequentes. Se você não puder indicar qual contrato um determinado dólar apoiou, não poderá sustentar o argumento.

A contabilidade em texto simples com controle de versão se adapta bem a este ambiente justamente por deixar uma trilha auditável. Cada transação é legível por humanos, cada alteração está no controle de versão e os próprios livros podem ser revisados por um auditor da DCAA sem ferramentas proprietárias de fornecedores. Vários controles no NIST SP 800-171 — especialmente nas famílias de Auditoria e Responsabilidade e Gestão de Configuração — exigem propriedades semelhantes em sistemas de TI, e há uma elegância discreta em ter os registros financeiros atendendo ao mesmo padrão.

Modos de Falha Comuns a Evitar

Alguns padrões se repetem entre pequenos fornecedores que falham em sua primeira avaliação.

Tratar MFA como opcional. A autenticação de múltiplos fatores em contas privilegiadas é a falha de controle mais comum. É também a mais barata de corrigir. Resolva isso na primeira semana.

Classificação incorreta de CUI. Seja marcando demais como CUI (expandindo o escopo e o custo desnecessariamente) ou marcando de menos (criando exposição real). Pressione seu oficial de contratação para obter clareza sobre as categorias de CUI antes de definir o escopo do projeto.

Confundir segurança de TI com conformidade de segurança cibernética. Um provedor de serviços gerenciados (MSP) que mantém seus laptops atualizados não é a mesma coisa que uma RPO ou C3PAO. As habilidades se sobrepõem, mas o trabalho de documentação, evidências e prontidão para avaliação é uma disciplina diferente.

Subestimar a documentação. Os avaliadores não dão crédito a explicações verbais. Cada controle precisa de evidências que existam hoje, não evidências que a empresa poderia produzir se solicitada. Construa o repositório de evidências à medida que realiza a remediação.

Acreditar que a contratante principal (Prime) resolverá o problema. As empresas principais repassam seus requisitos de conformidade por meio de subcontratos. Elas não são seu avaliador nem seu auditor, mas certamente se afastarão de um subcontratado que coloque a certificação delas em risco.

Mantenha seus custos de conformidade visíveis e auditáveis

A conformidade com a cibersegurança é agora uma rubrica que todo contratado da defesa carregará pelo resto da vida do programa. Rastrear esses custos de forma clara — por contrato, por família de controle, por remediação versus despesa operacional — é a diferença entre um projeto que você pode defender em uma auditoria da DCAA e um projeto que silenciosamente corrói sua margem. Beancount.io oferece contabilidade em texto simples que lhe proporciona transparência total e controle de versão sobre cada registro financeiro, sem aprisionamento tecnológico (vendor lock-in) e sem relatórios de caixa-preta. Comece gratuitamente e traga para seus livros a mesma prontidão para auditoria que o CMMC exige do seu ambiente de TI.