Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > CPCSC-Zertifizierung: Sind kanadische Verteidigungslieferanten bereit für 2026?

CPCSC-Zertifizierung: Sind kanadische Verteidigungslieferanten bereit für 2026?

von Fraser Hudgin updated April 22, 2026 Regulatorische Compliance
Lesezeit: 9 Minuten

Am 14. April 2026 hat die kanadische Regierung offiziell Level 1 des Canadian Program for Cyber Security Certification (CPCSC) eingeführt – Kanadas erste verpflichtende Cybersecurity-Zertifizierung für Verteidigungszulieferer. Verkündet von dem ehrenwerten Joël Lightbound, Minister für Government Transformation, Public Works und Procurement, wird Level 1 ab Sommer 2026 in ausgewählten Verteidigungsverträgen verpflichtend.

Wichtige Erkenntnisse

  1. CPCSC ist jetzt ein Vertragsfilter. Kanadas verpflichtende Cybersecurity-Zertifizierung für Verteidigungszulieferer startete Level 1 am 14. April 2026. Ab Sommer 2026 kommen Level-2-Prüfungen durch Dritte in Verträge. Ohne Zertifizierung keine Vertragsberechtigung.
  2. Der zugrunde liegende Standard ist technisch identisch mit NIST SP 800-171. ITSP.10.171, entwickelt vom Canadian Centre for Cyber Security, übernimmt dieselben Controls wie das US-amerikanische CMMC – jede US-Readiness-Studie ist direkt auf kanadische Zulieferer übertragbar.
  3. Nur 46 % der Verteidigungszulieferer halten sich für vorbereitet. US-DIB-Daten zeigen: 57 % haben keine Gap-Analyse durchgeführt, 62 % fehlt es an ausreichenden Governance-Controls, und nur 1 % fühlt sich vollständig auditbereit. Kanadische Zulieferer stehen vor denselben Anforderungen – mit weniger Vorlaufzeit.
  4. Governance – nicht Verschlüsselung – ist die Schwachstelle. Für technische Controls gibt es Budgets. Doch dokumentierte Richtlinien, durchgesetzte Verfahren und Funktionstrennung sind die schwächsten Bereiche – und stehen im Fokus der Auditoren.
  5. Kanadische Zulieferer stehen vor einer Souveränitätsdimension, die die USA nicht verlangen. Bestimmte Informationen müssen unter kanadischer Hoheit bleiben. 40 % der kanadischen Unternehmen nennen Änderungen beim US-Datenaustausch als größte regulatorische Sorge. Architektur, nicht Verträge, löst dieses Problem.

CPCSC ist in drei Zertifizierungslevel gegliedert. Level 1 verlangt eine jährliche Selbsteinschätzung zu 13 grundlegenden Controls. Level 2 erfordert eine Drittanbieter-Prüfung durch akkreditierte Zertifizierungsstellen zu 98 Controls. Level 3 wird durch das Verteidigungsministerium anhand von 200 Controls geprüft. Die Regierung setzt auf eine gestufte Einführung – aber der Kurs ist klar: Die Zertifizierung ist bei Vertragsvergabe Pflicht, und der Umfang der betroffenen Verträge wächst stetig.

Der Standard hinter CPCSC ist ITSP.10.171, eine kanadische Adaption von NIST SP 800-171, entwickelt vom Canadian Centre for Cyber Security. Die Regierung stellt klar: Es gibt keine wesentlichen technischen Unterschiede zwischen den beiden Standards. Die Anpassungen spiegeln Kanadas regulatorische Landschaft wider – andere Begriffe („specified information“ statt „controlled unclassified information“), andere Aufsichtsbehörden (Treasury Board Secretariat Policies) und andere Datenschutzrahmen (PIPEDA). Die Controls selbst sind identisch.

Diese Angleichung ist beabsichtigt. CPCSC soll die Interoperabilität mit Five-Eyes-Partnern unterstützen, insbesondere den USA, wo das entsprechende CMMC-Programm für Verteidigungsverträge die Zertifizierung nach denselben NIST 800-171-Controls verlangt.

Die US-CMMC-Readiness-Krise – und was sie kanadischen Zulieferern zeigt

Da ITSP.10.171 und NIST SP 800-171 technisch gleichwertig sind, sind die Readiness-Daten der US Defence Industrial Base der beste Indikator für die Vorbereitung kanadischer Unternehmen. Diese Daten sollten jeden CISO und Compliance-Verantwortlichen in Kanadas Verteidigungslieferkette alarmieren.

Eine Kiteworks- und Coalfire-Umfrage unter 209 DIB-Organisationen ergab, dass sich nur 46 % für die CMMC-Level-2-Zertifizierung vorbereitet halten – derselbe Kontrollumfang wie CPCSC Level 2. 57 % haben keine NIST-800-171-Gap-Analyse durchgeführt, den grundlegenden Schritt zur Zertifizierungsbereitschaft. Eine separate Kiteworks-Studie mit 104 Organisationen, die CMMC anstreben, ergab, dass 62 % keine ausreichenden Governance-Controls haben, obwohl sich die Verschlüsselungsmaßnahmen verbessern.

CyberSheaths 2025 State of the Defense Industrial Base Report liefert die deutlichste Zahl: Nur 1 % der Auftragnehmer fühlt sich vollständig auditbereit, mit einem mittleren Selbsteinschätzungswert von 60 statt der geforderten 110.

Kanadische Zulieferer stehen denselben 98 Controls gegenüber – mit weniger etablierten Prüfressourcen und kürzerem Zeitrahmen. Der Standards Council of Canada baut sein Ökosystem akkreditierter Third-Party Assessment Organizations noch auf. Das Zeitfenster zwischen „Zertifizierung verfügbar“ und „Zertifizierung erforderlich“ beträgt Monate, nicht Jahre.

Die Gap-Analyse ist der stärkste Erfolgsfaktor für die Zertifizierung

Die US-Daten zeigen ein Muster, das jede Zertifizierungsstrategie kanadischer Zulieferer prägen sollte: Organisationen, die eine strukturierte Gap-Analyse abgeschlossen haben, weisen in allen Kontrollbereichen eine deutlich höhere Reife auf.

Unter den Unternehmen mit abgeschlossener Gap-Analyse befolgen 77 % dokumentierte Verschlüsselungs-Best Practices mit Verifizierung – verglichen mit 42 % ohne. 73 % verfügen über vollständig dokumentierte Cybersecurity-Richtlinien, gegenüber 28 %. 71 % haben detaillierte POA&Ms, gegenüber 33 %. Und 62 % nutzen erfahrene Partner, während es bei denen ohne Gap-Analyse nur 21 % sind, laut Kiteworks/Coalfire-Studie.

Das ist kein marginaler Unterschied. Organisationen mit Gap-Analyse verfügen zwei- bis dreimal häufiger über die Dokumentation, technischen Controls und Maßnahmenpläne, die akkreditierte Zertifizierungsstellen verlangen. Die Gap-Analyse ist keine bürokratische Pflichtübung – sie ist die entscheidende Maßnahme, die erfolgreiche von erfolglosen Organisationen trennt.

Für kanadische Verteidigungszulieferer heißt das: Starten Sie die ITSP.10.171-Gap-Analyse jetzt, bevor Level-2-Verträge kommen. Jeder Monat Verzögerung verkürzt das Zeitfenster für die Umsetzung.

Governance ist die Schwachstelle – nicht Verschlüsselung

Die vielleicht überraschendste Erkenntnis aus den CMMC-Readiness-Daten: Technische Controls sind nicht das Hauptproblem. Die Verschlüsselungsmaßnahmen werden besser. Die Einführung von Multi-Faktor-Authentifizierung nimmt zu. Firewall- und Intrusion-Detection-Lösungen reifen.

Governance ist der Bereich, in dem Organisationen scheitern.

Die 62%ige Governance-Ausfallquote aus der Kiteworks-CMMC-Studie spiegelt ein Managementproblem wider, kein Technologieproblem. Dokumentierte Richtlinien, durchgesetzte Verfahren, regelmäßige Überprüfungen, Funktionstrennung und kontinuierliches Monitoring erfordern nachhaltiges organisatorisches Engagement – das kann kein Produkt ersetzen. Die 17 Anforderungsfamilien von ITSP.10.171 gehen weit über Technik hinaus: Planung (03.15), Personalsicherheit (03.09), Risikobewertung (03.11) und Lieferkettenrisikomanagement (03.17).

Die akkreditierte Zertifizierungsstelle, die zur CPCSC-Level-2-Prüfung kommt, prüft nicht, ob das Unternehmen die richtigen Tools gekauft hat. Sie prüft, ob diese Tools in einem dokumentierten, überwachten Governance-Rahmen betrieben werden. Der Thales Data Threat Report 2026 zeigt: Nur 33 % der Unternehmen wissen genau, wo ihre Daten gespeichert sind. Ohne Kenntnis des Speicherorts der „specified information“ ist Governance unmöglich – egal, welche Verschlüsselungs- oder Zugriffskontrollen eingesetzt werden.

Der Audit-Trail: Hier entscheidet sich die CPCSC-Prüfung

ITSP.10.171 widmet eine ganze Anforderungsfamilie – Audit und Accountability (03.03) – dem Event Logging, den Inhalten von Audit-Protokollen, Zeitstempeln, dem Schutz von Audit-Informationen und der Überprüfung von Audit-Protokollen. Acht Controls, alle verlangen operative Nachweise.

Die meisten Verteidigungszulieferer tauschen „specified information“ über mehrere Kanäle aus: sichere E-Mail, Filesharing, SFTP, Managed File Transfer, Web-Formulare. Jeder Kanal läuft meist auf einer eigenen Plattform mit eigenem Logging, eigenen Zugriffskontrollen und eigenen Aufbewahrungsrichtlinien. Wenn ein Auditor die vollständige Historie einer Datei verlangt, muss der Zulieferer Logs aus fünf oder sechs Systemen zusammenführen. Zeitstempel haben unterschiedliche Formate. Nutzerkennungen stimmen nicht überein. Manche Systeme drosseln Logs bei hoher Auslastung oder verzögern Einträge um Stunden.

Der Black Kite Third-Party Breach Report 2026 dokumentiert eine mittlere Offenlegungsverzögerung von 73 Tagen für Drittanbieter-Vorfälle – ein Symptom für fragmentierte Transparenz bei Datenbewegungen. Der DTEX/Ponemon Insider Threat Report 2026 ergänzt: Shadow AI ist inzwischen Haupttreiber fahrlässiger Insider-Vorfälle. 92 % der Unternehmen sagen, generative KI habe das Informationsverhalten verändert, aber nur 13 % integrieren KI in ihre Sicherheitsstrategie. KI-Agents, die auf „specified information“ zugreifen, schaffen Audit-Lücken, die klassische Logging-Infrastruktur nicht abdeckt.

Organisationen, die ihre Datenbewegungen unter einer einheitlichen Logging-Architektur bündeln – jeden Zugriff, jede Übertragung und jede Richtlinienentscheidung kanalübergreifend in Echtzeit mit manipulationssicherer Integrität erfassen – liefern die Nachweise, die Zertifizierungsstellen verlangen. Wer fragmentierte Audit-Infrastruktur hat, entdeckt die Lücke erst im Audit – wenn es zu spät ist.

Die kanadische Souveränitätsdimension: Architektur statt Verträge

Kanadische Verteidigungszulieferer stehen vor einer Anforderung, die das US-CMMC-Programm nicht stellt: Datensouveränität. ITSP.10.171 schützt „specified information“ – alle Daten, die eine kanadische Behörde im Vertrag als besonders schützenswert ausweist. Diese Informationen müssen unter kanadischer Hoheit bleiben.

Die Kiteworks Data Security and Compliance Risk Forecast – Canada 2026 zeigt: 40 % der kanadischen Befragten sehen Änderungen beim Kanada–USA-Datenaustausch als größte regulatorische Sorge, 21 % nennen den US CLOUD Act als direkte Bedrohung. 23 % der kanadischen Unternehmen migrieren aktiv weg von US-Cloud-Anbietern.

Das ist kein hypothetisches Risiko. Liegt „specified information“ auf einer US-basierten Multi-Tenant-Cloud, kann diese Daten US-Behörden zugänglich gemacht werden – unabhängig vom physischen Speicherort. Kein Vertragszusatz schließt diese Lücke. Souveränität erfordert Architektur: Deployment-Entscheidungen, die „specified information“ in kanadischer Hoheit halten, Verschlüsselungsschlüssel in eigener Kontrolle und Zugriffskontrollen, die Hoheitsgrenzen auf Infrastrukturebene durchsetzen.

Verteidigungszulieferer, die ihre Dateninfrastruktur für die CPCSC-Zertifizierung bewerten, sollten sich eine Ja/Nein-Frage stellen: Kann eine ausländische Regierung Zugriff auf unsere „specified information“ erzwingen? Ist die Antwort nicht „Nein, weil die Architektur es technisch unmöglich macht“, ist die Souveränitätsanforderung nicht erfüllt.

Wie Kiteworks die CPCSC-Zertifizierung entlang der ITSP.10.171-Controls unterstützt

Kiteworks begegnet der CPCSC-Herausforderung, indem sichere E-Mail, Filesharing, Managed File Transfer, SFTP, Web-Formulare, APIs und KI-Integrationen unter einer einheitlichen Governance-Architektur zusammengeführt werden – eine Policy Engine, ein Audit-Log, ein Sicherheitsstatus für alle Kanäle, über die „specified information“ läuft. Von den 98 ITSP.10.171-Level-2-Controls deckt Kiteworks 46 vollständig und 31 teilweise ab – und bietet technische Umsetzung genau in den Control-Familien, in denen Verteidigungszulieferer am häufigsten scheitern.

Die Kiteworks Data Policy Engine erzwingt rollenbasierte (RBAC) und attributbasierte (ABAC) Zugriffskontrollen für alle Datenbewegungen – und adressiert damit direkt die Control-Familien Access Control sowie Identification and Authentication. Zero-Throttle-Audit-Logging erfasst jedes Ereignis in Echtzeit mit manipulationssicherer Integrität – und deckt alle acht Audit- und Accountability-Controls vollständig ab. FIPS-140-3-validierte AES-256-Doppelverschlüsselung mit kundeneigenen Schlüsseln erfüllt die Anforderungen an Vertraulichkeit bei Übertragung und Speicherung. Eine gehärtete virtuelle Appliance mit integriertem Firewall, WAF und Intrusion Detection sorgt für System- und Kommunikationsschutz als Produktfunktion.

Für die Souveränitätsanforderung bietet Kiteworks On-Premises, Private Cloud in kanadischen Rechenzentren oder hybride Bereitstellung mit Single-Tenant-Isolierung. Kundeneigene Verschlüsselungsschlüssel bedeuten: Weder Kiteworks noch Regierungen können „specified information“ entschlüsseln. Dasselbe Deployment unterstützt CPCSC- und CMMC-Zertifizierung – Kiteworks ist FedRAMP Authorized mit vorgefertigten NIST-800-171-Controls und liefert CMMC-2.0-Compliance-Berichte für alle 110 Practices.

Was kanadische Verteidigungszulieferer in den nächsten 90 Tagen tun sollten

Erstens: Führen Sie sofort eine ITSP.10.171-Gap-Analyse durch. Alle US-CMMC-Erfahrungswerte zeigen: Das ist der stärkste Erfolgsfaktor für die Zertifizierung. Organisationen mit abgeschlossener Gap-Analyse verfügen zwei- bis dreimal häufiger über dokumentierte Richtlinien, Verschlüsselungsstandards und Maßnahmenpläne.

Zweitens: Kümmern Sie sich zuerst um Governance, dann um Technik. Dokumentieren Sie Ihre Richtlinien. Formalisieren Sie Ihre Verfahren. Weisen Sie Rollen zu und legen Sie Überprüfungszyklen fest. Die 62%ige Governance-Ausfallquote in der US-Verteidigungsindustrie ist kein Technikproblem – es ist ein Problem der organisatorischen Disziplin, das Zertifizierungsstellen sofort erkennen.

Drittens: Vereinheitlichen Sie Ihre Datenbewegungskanäle. Fragmentierte Tools führen zu fragmentierten Audit-Nachweisen. Wenn Ihre „specified information“ über E-Mail, Filesharing, SFTP und MFT auf separaten Plattformen läuft, hat Ihr Audit-Trail Lücken, die die Zertifizierungsstelle findet. Konsolidieren Sie unter einer einheitlichen Governance-Architektur.

Viertens: Lösen Sie die Souveränitätsfrage architektonisch. Ist „specified information“ außerhalb kanadischer Hoheit zugänglich – etwa durch US-CLOUD-Act-Zugriff auf US-basierte Cloud-Anbieter – besteht ein Zertifizierungsrisiko, das keine Policy schließt. Setzen Sie auf kanadische Infrastruktur mit eigenem Schlüsselmanagement.

Fünftens: Planen Sie für eine Dual-Framework-Zertifizierung. Wer sowohl auf US-DoW-Verträge als auch auf kanadische Verteidigungsaufträge bietet, profitiert von der Gleichwertigkeit von ITSP.10.171 und NIST SP 800-171 – eine Investition reicht für CPCSC und CMMC. Controls doppelt umzusetzen, ist Ressourcenverschwendung, die sich kanadische Zulieferer nicht leisten können.

Wer in den nächsten 90 Tagen handelt, ist bereit, wenn Level-2-Verträge kommen. Wer wartet, erlebt, was US-Verteidigungszulieferer bereits gelernt haben: Die Zertifizierungsfrist ist immer kürzer als gedacht.

Häufig gestellte Fragen

Das Canadian Program for Cyber Security Certification (CPCSC) ist Kanadas verpflichtende Cybersecurity-Zertifizierung für Verteidigungszulieferer, die sensible, nicht klassifizierte Regierungsinformationen verarbeiten. Level 1, das eine Selbsteinschätzung zu 13 Controls verlangt, wurde am 14. April 2026 eingeführt und ist ab Sommer 2026 in ausgewählten Verteidigungsverträgen Pflicht. Level 2, mit Drittanbieter-Prüfung zu 98 Controls, folgt nach Level 1 in ausgewählten Verträgen. Level 3 (200 Controls, geprüft vom Verteidigungsministerium) folgt 2027. Die Zertifizierung ist ein Vertragsfilter – Zulieferer ohne Nachweis auf dem geforderten Level sind von der Vergabe ausgeschlossen.

ITSP.10.171 ist der kanadische industrielle Cybersecurity-Standard, entwickelt vom Canadian Centre for Cyber Security. Es handelt sich um eine direkte Adaption von NIST SP 800-171 ohne wesentliche technische Änderungen – nur Anpassungen an Kanadas regulatorische Landschaft (andere Begriffe, Aufsichtsbehörden und Datenschutzrahmen). Da CMMC Level 2 ebenfalls NIST SP 800-171-Compliance verlangt, erfüllen Organisationen mit CPCSC-Level-2-Zertifizierung im Wesentlichen auch die CMMC-Anforderungen und können so beide Frameworks mit einer Control-Implementierung abdecken.

Eine groß angelegte kanadische Readiness-Studie gibt es noch nicht, aber die US-Daten zum identischen NIST-SP-800-171-Controlsatz sind direkt übertragbar. Die Kiteworks/Coalfire-Umfrage ergab: Nur 46 % halten sich für vorbereitet, 57 % haben keine Gap-Analyse durchgeführt, und eine separate Kiteworks-Governance-Studie fand heraus, dass 62 % keine ausreichenden Governance-Controls haben. CyberSheath fand: Nur 1 % fühlt sich vollständig auditbereit. Kanadische Zulieferer stehen denselben Controls gegenüber – mit weniger etablierten Prüfressourcen.

ITSP.10.171 schützt „specified information“, die unter kanadischer Hoheit bleiben muss. Verteidigungszulieferer, die US-basierte Cloud-Services nutzen, haben eine Souveränitätslücke, da diese Daten dem US CLOUD Act unterliegen können – unabhängig vom physischen Speicherort. Die Kiteworks Canada Forecast 2026 zeigt: 40 % der kanadischen Befragten nennen Änderungen beim US-Datenaustausch als größte Sorge, 21 % benennen den CLOUD Act direkt. Die Erfüllung dieser Anforderung verlangt architekturbezogene Maßnahmen – kanadisches Hosting, Schlüsselverwaltung und Geofencing – nicht vertragliche Zusicherungen.

Der Kiteworks Guide to CPCSC bietet ein vollständiges Mapping aller 98 ITSP.10.171-Level-2-Controls auf die Funktionen der Kiteworks-Plattform – inklusive Abdeckungsgrad (vollständig, teilweise, nicht abgedeckt), spezifischer Produktfeatures und Implementierungshinweise zu jedem Control. Laden Sie den Kiteworks Guide to CPCSC herunter, um Ihre Gap-Analyse zu beschleunigen und zu sehen, wo vorgefertigte Controls Ihre Zertifizierungsdauer verkürzen können.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks