/ GLOSSÁRIO · FRAMEWORK

NIST CSF 2.0 — O que é e como avaliar

Última atualização: 11 de maio de 2026

O NIST Cybersecurity Framework (CSF) 2.0, publicado pelo National Institute of Standards and Technology em fevereiro de 2024, é o framework de cibersegurança mais adotado globalmente para organizar riscos, controles e governance em uma linguagem comum entre time técnico e liderança executiva.

A versão 2.0 introduziu a função Govern como pilar transversal e ampliou a aplicabilidade do framework para organizações de todos os portes — não mais focada apenas em infraestrutura crítica como a versão 1.1.

As 6 funções do NIST CSF 2.0

O framework é estruturado em 6 funções de alto nível, cada uma desdobrada em categorias e subcategorias com outcomes mensuráveis. As funções não são fases sequenciais — operam em paralelo e de forma contínua.

1. Govern (GV)

Estabelece, comunica e monitora a estratégia, expectativas e política de cibersegurança da organização. Cobre cadeia de fornecedores, papéis e responsabilidades, gestão de risco e supervisão.

  • GV.OC — Contexto organizacional
  • GV.RM — Gestão de risco de cibersegurança
  • GV.RR — Papéis, responsabilidades e autoridades
  • GV.PO — Política
  • GV.OV — Supervisão
  • GV.SC — Gestão de risco de cadeia de fornecedores

2. Identify (ID)

Compreende o contexto da organização para gerenciar risco de cibersegurança em sistemas, pessoas, ativos, dados e capacidades. Inclui inventário de ativos, avaliação de risco e melhoria contínua.

  • ID.AM — Gestão de ativos
  • ID.RA — Avaliação de risco
  • ID.IM — Melhoria

3. Protect (PR)

Implementa salvaguardas apropriadas para garantir entrega de serviços críticos. Cobre gestão de identidade, controle de acesso, conscientização e treinamento, segurança de dados, segurança de plataforma e resiliência da infraestrutura.

  • PR.AA — Gestão de identidade, autenticação e controle de acesso
  • PR.AT — Conscientização e treinamento
  • PR.DS — Segurança de dados
  • PR.PS — Segurança de plataforma
  • PR.IR — Resiliência da infraestrutura tecnológica

4. Detect (DE)

Identifica a ocorrência de um evento de cibersegurança em tempo oportuno. Cobre monitoramento contínuo e análise de eventos anômalos.

  • DE.CM — Monitoramento contínuo
  • DE.AE — Análise de eventos adversos

5. Respond (RS)

Toma ação em resposta a um incidente de cibersegurança detectado para minimizar impacto. Cobre planejamento de resposta, gestão, análise, mitigação e comunicação.

  • RS.MA — Gestão de incidente
  • RS.AN — Análise de incidente
  • RS.CO — Comunicação durante o incidente
  • RS.MI — Mitigação do incidente

6. Recover (RC)

Restaura capacidades ou serviços afetados por um incidente. Cobre planejamento de recuperação e comunicação de recuperação.

  • RC.RP — Execução do plano de recuperação
  • RC.CO — Comunicação de recuperação

Como avaliar maturidade NIST CSF

Cada subcategoria do framework é avaliada em uma escala de maturidade (geralmente 1–5, conforme tier de implementação). A avaliação responde: o controle existe? Está documentado? Está implementado? É mensurado? Está sob melhoria contínua?

Uma avaliação de maturidade NIST CSF rigorosa exige evidência rastreável — política assinada, log de execução, métrica coletada, evidência de revisão. Sem evidência, o score reflete opinião, não estado real.

Próximo passo

A CyberAtlas avalia maturidade nas 6 funções do NIST CSF 2.0 com validação de evidência assistida por IA, gap analysis automático e plano de ação priorizado por risco — integrado com ASM para cross-checar controles contra exposição externa real.

Fale com nosso time para avaliar sua maturidade NIST CSF com a CyberAtlas, ou conheça os módulos da plataforma.