Diretrizes NIST para Segurança Cibernética em Sistemas de IA

NIST Lança Rascunho do Framework de Cibersegurança para IA e Solicita Comentários Públicos: O Que as Organizações que Usam ou Implementam IA Devem Saber

O Instituto Nacional de Padrões e Tecnologia (NIST) recentemente lançou diretrizes preliminares para aplicar seu Framework de Cibersegurança a organizações que adotam inteligência artificial (IA). O NIST solicita comentários públicos sobre seu “Rascunho Preliminar Inicial” do Perfil de Cibersegurança para Inteligência Artificial (o “Perfil de IA Cibernética”) até a meia-noite de 30 de janeiro de 2026.

Embora não seja vinculativo, o Perfil de IA Cibernética é significativo, pois fornece às organizações diretrizes para gerenciar riscos de cibersegurança relacionados a sistemas de IA. Representa a primeira tentativa abrangente do NIST de integrar riscos e oportunidades específicos de IA diretamente no Framework de Cibersegurança 2.0 (CSF), o padrão amplamente utilizado para gerenciar riscos de cibersegurança. Organizações que desenvolvem, implantam, adquirem ou dependem de sistemas de IA devem ver o Perfil de IA Cibernética como um sinal inicial de como reguladores, auditores, demandantes e contrapartes podem avaliar práticas de cibersegurança e governança “razoáveis” para sistemas habilitados por IA.

Áreas de Impacto do Perfil de IA Cibernética

O Perfil de IA Cibernética aborda três áreas onde a interseção de IA e cibersegurança terá um impacto particular:

1. Segurança dos Componentes do Sistema de IA: Foca na identificação de desafios de cibersegurança ao integrar IA em ecossistemas e infraestrutura organizacional.
2. Defesa Cibernética Habilitada por IA: Concentra-se em identificar oportunidades para usar IA para aprimorar processos e atividades de cibersegurança.
3. Prevenção de Ataques Cibernéticos Habilitados por IA: Enfatiza a construção de resiliência para proteger contra novos vetores de ameaça habilitados por IA.

Principais Considerações

Este é um “Rascunho Preliminar Inicial” do Perfil de IA Cibernética. O rascunho visa transmitir o pensamento atual sobre a direção da governança de IA e os autores buscam feedback para informar iterações futuras. O prazo para comentários públicos é 30 de janeiro de 2026.

O Perfil de IA Cibernética não substitui frameworks existentes de cibersegurança ou governança de IA; em vez disso, adiciona prioridades e considerações específicas de IA ao CSF 2.0. O Perfil de IA Cibernética pode se tornar um benchmark de fato para reguladores, agências federais e demandantes que avaliam a diligência em cibersegurança envolvendo IA.

O Que é o Perfil de IA Cibernética?

O Perfil de IA Cibernética é um Perfil da Comunidade do Framework de Cibersegurança do NIST, projetado para ajudar as organizações a priorizar resultados de cibersegurança no contexto de sistemas de IA. Importante, o NIST evita definir “IA” de forma restrita, usando o termo “sistemas de IA” para se referir a qualquer sistema que utilize capacidades de IA, sejam sistemas de IA autônomos ou aplicações, infraestrutura e organizações que incorporam IA.

Em geral, o Perfil de IA Cibernética:

• Utiliza as Funções, Categorias e Subcategorias do CSF 2.0 (Governar, Identificar, Proteger, Detectar, Responder, Recuperar), que agrupam medidas de cibersegurança semelhantes que as organizações podem implementar;
• Adiciona considerações e prioridades específicas de IA para cada Subcategoria, como a incorporação de auditorias de IA para atender às necessidades específicas de IA (como explicabilidade);
• Reconhece que as organizações podem estar em estágios muito diferentes de adoção de IA, desde ferramentas de aprendizado de máquina limitadas até implantações totalmente autônomas ou generativas de IA.

Aplicação e Iniciativas Relacionadas

O Perfil de IA Cibernética é destinado a uma ampla gama de organizações, incluindo aquelas que desenvolvem ou usam tecnologias de IA, sejam sistemas de IA autônomos ou capacidades habilitadas por IA integradas a outros sistemas. Também abrange aquelas que desejam entender e capitalizar as capacidades de cibersegurança que a IA pode fornecer ou compreender e se defender melhor contra ataques cibernéticos habilitados por IA.

Para complementar o Perfil de IA Cibernética e apoiar a adoção de seu separado Framework de Gestão de Risco de IA, o NIST está desenvolvendo uma série de Sobreposições de Controle para a Segurança de Sistemas de IA (COSAiS) usando os controles da Publicação Especial (SP) 800-53 do NIST. Esse esforço deve permitir que as organizações adaptem suas medidas de segurança básicas ou “controles” para seu contexto e necessidades específicas.

Simultaneamente, o NIST anunciou um Pedido de Informação sobre como medir e melhorar o desenvolvimento e a implantação segura de sistemas de IA autônomos, preparando o terreno para orientações mais detalhadas que virão.

Separadamente, a Lei de Autorização de Defesa Nacional do Exercício de 2026 direcionou o Pentágono a criar e implementar um framework de avaliação de segurança para as tecnologias de IA que adquire. Dada a frequência com que o Pentágono manda cumprir os padrões de cibersegurança do NIST, é provável que considere a lista crescente de orientações de IA do NIST, incluindo o desenvolvimento do Perfil de IA Cibernética, ao elaborar esta nova exigência de segurança em IA.

Conclusão

O Perfil de IA Cibernética do NIST sinaliza uma mensagem clara: a IA é uma questão de governança em cibersegurança. Organizações que aguardam regulamentação vinculativa antes de adaptar seus programas podem se encontrar atrás das expectativas emergentes.