O NIST Cybersecurity Framework 2.0, publicado em fevereiro de 2024, é o padrão de referência mais adotado globalmente para avaliar, estruturar e comunicar a postura de cibersegurança de uma organização. Nesta página você encontra uma explicação técnica completa do framework, as diferenças em relação à versão anterior, as seis funções centrais e orientações práticas para aplicação em empresas brasileiras.

O que é o NIST Cybersecurity Framework

O National Institute of Standards and Technology (NIST), agência do Departamento de Comércio dos EUA, publicou a primeira versão do Cybersecurity Framework em 2014 a pedido do governo americano para proteger infraestruturas críticas. Desde então, o framework foi adotado por organizações em mais de 180 países, incluindo governos, bancos, operadoras de saúde e startups de tecnologia.

O CSF não é uma lista de conformidade com caixas para marcar. É uma linguagem comum que permite a gestores técnicos, executivos e conselhos de administração discutir risco cibernético com a mesma precisão com que discutem risco financeiro. Isso é relevante no Brasil porque a LGPD (Lei Geral de Proteção de Dados, Lei 13.709/2018) exige medidas técnicas e administrativas adequadas, mas não especifica quais são essas medidas — o NIST CSF preenche exatamente esse espaço.

O que mudou do CSF 1.1 para o CSF 2.0

A versão 2.0 traz três mudanças estruturais em relação à 1.1, publicada em 2018.

A mais significativa é a criação da função GOVERN, que passa a encabeçar o framework. No CSF 1.1, temas como política de cibersegurança, definição de apetite de risco, gestão de risco de terceiros e responsabilidade executiva estavam distribuídos de forma fragmentada. A versão 2.0 os consolida em uma função própria, sinalizando que cibersegurança é uma disciplina de governança corporativa, não apenas um problema de TI.

A segunda mudança é a ampliação do público-alvo. O CSF 1.1 era voltado explicitamente a setores de infraestrutura crítica; o CSF 2.0 se posiciona como framework universal, aplicável a organizações de qualquer porte e setor — do MEI que processa pagamentos online à multinacional com operações em múltiplos países.

A terceira mudança é a ênfase em gestão de risco de cadeia de fornecimento (C-SCRM). A função GOVERN dedica uma categoria inteira ao tema, reconhecendo que vulnerabilidades em fornecedores e prestadores de serviços de tecnologia representam um vetor de ataque tão crítico quanto falhas internas — como demonstram os incidentes envolvendo SolarWinds, Kaseya e MOVEit.

As seis funções do NIST CSF 2.0

O framework organiza as atividades de cibersegurança em seis funções de alto nível. Cada função subdivide-se em categorias (resultados esperados) e subcategorias (controles específicos), totalizando 22 categorias e 106 subcategorias.

Função Sigla Objetivo central Categorias
GOVERN GV Estabelecer e monitorar a estratégia, expectativas e políticas de gestão de risco cibernético 6
IDENTIFY ID Compreender o contexto organizacional, ativos, riscos e dependências 3
PROTECT PR Implementar salvaguardas para garantir a prestação de serviços críticos 5
DETECT DE Identificar a ocorrência de eventos de cibersegurança em tempo hábil 3
RESPOND RS Tomar ações contra eventos detectados para conter o impacto 4
RECOVER RC Restaurar capacidades e serviços afetados por um incidente de cibersegurança 3

GOVERN — a nova função de governança

GOVERN é a função mais nova e, em muitos aspectos, a mais importante do CSF 2.0. Ela trata da definição de contexto organizacional, determinação de apetite e tolerância a risco, estabelecimento de política de cibersegurança, supervisão das atividades de segurança pela liderança executiva, gestão de risco de cadeia de fornecimento e integração de cibersegurança à estratégia e cultura organizacional.

Para empresas brasileiras, GOVERN é o ponto de partida para demonstrar aos acionistas, ao conselho de administração e à Autoridade Nacional de Proteção de Dados (ANPD) que existe governança formal sobre os riscos de segurança da informação — condição implícita do artigo 46 da LGPD.

IDENTIFY — conhecer antes de proteger

IDENTIFY abrange o inventário de ativos (hardware, software, dados, serviços), o mapeamento de riscos a esses ativos e a compreensão do ambiente de negócio e das obrigações legais e regulatórias. Organizações que pulam essa função tendem a proteger o que é visível, não o que é crítico.

PROTECT — controles preventivos

PROTECT cobre gestão de identidade e acesso, treinamento de conscientização, segurança de dados, processos e procedimentos de proteção da informação, manutenção de sistemas e tecnologia de proteção. É a função onde a maioria dos controles do CIS Controls v8 e do Anexo A da ISO 27001:2022 se encaixam.

DETECT — visibilidade em tempo real

DETECT trata de monitoramento contínuo de eventos de segurança, análise de anomalias e processos de detecção. Sem capacidade de detecção, o tempo médio para identificar uma violação — que segundo o relatório IBM Cost of a Data Breach 2024 é de 194 dias globalmente — permanece elevado, ampliando o impacto financeiro e reputacional.

RESPOND — resposta estruturada a incidentes

RESPOND define como a organização planeja, comunica, analisa, mitiga e melhora continuamente sua capacidade de resposta a incidentes. Um plano de resposta documentado e testado é exigência implícita da LGPD (artigo 48) e requisito formal de normas setoriais como a Resolução BCB 4.658 para instituições financeiras.

RECOVER — retorno à normalidade

RECOVER abrange planejamento de recuperação, estratégias de comunicação durante e após um incidente, e lições aprendidas para melhorar ciclos futuros. A função é diretamente relacionada ao conceito de resiliência operacional que reguladores financeiros (BCB, SUSEP) e de saúde (ANS) têm enfatizado desde 2020.

Tiers de maturidade: onde sua organização está

Os Tiers do NIST CSF 2.0 descrevem quatro níveis de sofisticação na gestão de risco cibernético. Eles não são um sistema de pontuação de conformidade, mas uma ferramenta de autodescoberta para comunicar internamente a maturidade atual e a aspirada.

Tier 1 — Parcial: práticas de gestão de risco cibernético são informais ou inexistentes. Respostas a incidentes são reativas. Não há consciência organizacional sobre o tema.

Tier 2 — Informado sobre risco: existe consciência de risco, mas práticas não são formalizadas nem aplicadas consistentemente. Colaboradores sabem que o tema é importante, mas não há processos padronizados.

Tier 3 — Repetível: políticas e processos de gestão de risco são formais, documentados e aplicados em toda a organização. A liderança sênior é engajada e o tema é integrado ao planejamento estratégico.

Tier 4 — Adaptativo: a organização adapta continuamente suas práticas com base em inteligência de ameaças, lições aprendidas e mudanças no ambiente de negócios. Cibersegurança é parte da cultura organizacional e da tomada de decisão em todos os níveis.

A maioria das PMEs brasileiras opera no Tier 1 ou 2. Empresas de médio porte com equipes de TI dedicadas geralmente alcançam o Tier 2 ou 3. O Tier 4 é típico de bancos, operadoras de telecomunicações e empresas de tecnologia com programas maduros de segurança.

Profiles: o mapa do gap de maturidade

Um Profile é um registro do estado de implementação de cada subcategoria do CSF 2.0 para uma organização específica. O framework recomenda construir dois profiles:

O Current Profile descreve como a organização gerencia risco de cibersegurança hoje, subcategoria por subcategoria. Construí-lo exige coletar evidências reais: políticas documentadas, logs de sistemas, resultados de testes de penetração, registros de treinamento.

O Target Profile descreve o estado desejado, determinado pelo apetite de risco da organização, seus objetivos de negócio, obrigações regulatórias e tolerância a interrupções. Em geral, o Target Profile é mais exigente nos ativos e processos críticos e mais permissivo nos periféricos.

O gap entre os dois profiles gera diretamente o roadmap de segurança: as subcategorias com maior distância entre estado atual e estado desejado são as que representam maior risco e devem ser priorizadas no plano de investimento.

Relação com ISO 27001, CIS Controls e LGPD

O NIST CSF 2.0 não é concorrente de outros frameworks — é complementar. O próprio NIST mantém tabelas de mapeamento públicas entre o CSF e a ISO/IEC 27001:2022, o CIS Controls v8, o NIST SP 800-53 Rev. 5 e outros padrões, disponíveis em nist.gov/cyberframework.

ISO 27001:2022: a ISO 27001 é uma norma certificável que define requisitos para um Sistema de Gestão de Segurança da Informação (SGSI). O NIST CSF é um framework orientado a resultados. Organizações que buscam certificação ISO 27001 podem usar o CSF como ferramenta de diagnóstico e priorização antes ou durante a implementação do SGSI.

CIS Controls v8: os 18 controles do CIS são prescritivos e técnicos — dizem exatamente o que implementar. O NIST CSF é mais abstrato e orientado a risco. Muitas organizações usam o CSF para definir prioridades e o CIS Controls para detalhar a implementação técnica.

LGPD: a Lei Geral de Proteção de Dados exige medidas de segurança, técnicas e administrativas, aptas a proteger dados pessoais. O CSF 2.0 fornece o arcabouço para demonstrar que essas medidas existem, são proporcionais ao risco e são revisadas continuamente — elementos avaliados pela ANPD em caso de investigação por incidente de segurança envolvendo dados pessoais.

Perguntas frequentes

O que é o NIST Cybersecurity Framework 2.0?
É um conjunto voluntário de diretrizes, práticas recomendadas e padrões publicado pelo National Institute of Standards and Technology (NIST) dos EUA em fevereiro de 2024. Ele fornece uma linguagem comum para que organizações de qualquer porte avaliem, comuniquem e melhorem sua postura de cibersegurança, independentemente do setor ou tamanho.
Qual é a principal diferença entre o NIST CSF 2.0 e o CSF 1.1?
A mudança central é a adição da função GOVERN, que formaliza requisitos de governança, cultura organizacional, gestão de risco de cadeia de fornecimento e supervisão executiva — temas que no CSF 1.1 estavam diluídos ou ausentes. O framework também passou de foco em infraestrutura crítica para orientação explícita a organizações de todos os portes e setores.
O NIST CSF 2.0 é obrigatório para empresas brasileiras?
Não é uma exigência legal no Brasil, mas é amplamente adotado como referência técnica. Ele complementa a LGPD ao detalhar controles operacionais que a lei não especifica, e é aceito por auditores, clientes enterprise e parceiros internacionais como evidência de maturidade em segurança da informação.
Quantos controles existem no NIST CSF 2.0?
O CSF 2.0 organiza-se em 6 funções, 22 categorias e 106 subcategorias (controles). Cada subcategoria descreve um resultado desejado de cibersegurança e pode ser mapeada para outros frameworks como ISO/IEC 27001:2022, CIS Controls v8 e NIST SP 800-53.
O que são Tiers e Profiles no NIST CSF 2.0?
Tiers (1 a 4) descrevem o nível de sofisticação com que a organização gerencia risco cibernético: do Tier 1 (Parcial, sem processos formais) ao Tier 4 (Adaptativo, com melhoria contínua e inteligência de ameaças integrada). Profiles registram o estado atual e o estado alvo da postura de segurança, permitindo identificar lacunas e priorizar investimentos.
Como começar a implementar o NIST CSF 2.0 em uma PME?
O ponto de entrada recomendado é construir um Current Profile por meio de uma avaliação das 106 subcategorias, atribuindo níveis de implementação a cada uma. Em seguida, define-se um Target Profile baseado em apetite de risco e requisitos de negócio. O gap entre os dois orienta o roadmap de controles a implementar, de forma priorizada e proporcional ao porte da empresa.

Referências

  • NIST Cybersecurity Framework 2.0 — nist.gov/cyberframework
  • NIST CSF 2.0 Quick Start Guides — nist.gov/cyberframework/getting-started
  • NIST SP 800-53 Rev. 5 — Security and Privacy Controls for Information Systems and Organizations
  • ISO/IEC 27001:2022 — Information Security Management Systems
  • CIS Controls v8 — Center for Internet Security
  • IBM Cost of a Data Breach Report 2024
  • LGPD — Lei 13.709/2018, artigos 46 e 48

Como a Decripte aplica o NIST CSF 2.0

A Decripte realiza avaliações de maturidade baseadas no NIST CSF 2.0 para empresas com 1 a mais de 100.000 colaboradores. O processo começa com a construção do Current Profile por meio de entrevistas estruturadas, análise de documentação e testes técnicos. Em seguida, produzimos o Target Profile adequado ao setor, porte e apetite de risco da organização e entregamos um roadmap priorizado de controles com estimativas de custo e impacto.

Para empresas que precisam ir além do diagnóstico, o plano de Gestão de Ameaças da Decripte inclui monitoramento contínuo de vulnerabilidades, inteligência de ameaças e suporte à implementação dos controles identificados como lacunas críticas — cobrindo as funções DETECT, RESPOND e RECOVER do CSF 2.0 de forma operacional.

Acesse o plano gratuito de Gestão de Ameaças para conhecer a postura de risco da sua organização sem compromisso, ou fale com nossos especialistas para uma avaliação de maturidade NIST CSF completa.