Pressemitteilung

Plattform unterstützt 79 von 98 ITSP.10.171 Level-2-Kontrollen und bietet kanadische Bereitstellungsoptionen für Datensouveränität sowie Dual-Framework-Support für CPCSC- und US-CMMC-Zertifizierung

Kiteworks, das Unternehmen, das Organisationen ermöglicht, Risiken bei jedem Senden, Teilen, Empfangen und Nutzen vertraulicher Daten effektiv zu steuern, kündigt heute umfassende Plattformunterstützung für das Canadian Program for Cyber Security Certification (CPCSC) an – Kanadas verpflichtendes Cybersecurity-Zertifizierungsprogramm für Rüstungszulieferer. Mit Inkrafttreten der Level-1-Selbsteinschätzung in ausgewählten Verteidigungsverträgen ab Sommer 2026 und der Entwicklung von Level 2 und 3 für eine gestaffelte Einführung beschleunigen die vorab zugeordneten ITSP.10.171-Kontrollen von Kiteworks, kanadische Bereitstellungsoptionen und auditfähige Nachweisgenerierung die Zertifizierung und sichern die Vertragsfähigkeit von Rüstungszulieferern.

Das CPCSC, verwaltet von Public Services and Procurement Canada in Zusammenarbeit mit dem Department of National Defence, dem Standards Council of Canada und dem Canadian Centre for Cyber Security, verpflichtet Rüstungszulieferer, die bestimmte Informationen – sensible, nicht klassifizierte Regierungsdaten Kanadas – verarbeiten, zur Zertifizierung nach ITSP.10.171, einer kanadischen Anpassung von NIST SP 800-171.

Das Programm definiert drei aufeinander aufbauende Zertifizierungsstufen:

• Level 1 erfordert eine jährliche Selbsteinschätzung zu 13 grundlegenden Kontrollen
• Level 2 sieht alle drei Jahre eine Drittanbieterprüfung durch akkreditierte Zertifizierungsstellen für 98 Kontrollen sowie eine jährliche Bestätigung vor
• Level 3 umfasst 200 Kontrollen, die alle drei Jahre von der kanadischen Regierung geprüft werden

Zulieferer, die sich nicht zertifizieren lassen, werden von der Rüstungsbeschaffung ausgeschlossen. US-Daten zur Einsatzbereitschaft mit dem identischen NIST 800-171-Kontrollsatz verdeutlichen die Herausforderung: Nur 46 % der Rüstungsunternehmen halten sich für Level 2 vorbereitet, 57 % haben keine Lückenanalyse durchgeführt und 62 % verfügen nicht über ausreichende Governance-Kontrollen.

Die bewusste Ausrichtung des CPCSC an NIST SP 800-171 fördert die Interoperabilität mit Kanadas Five-Eyes-Partnern und ermöglicht es kanadischen Rüstungszulieferern, ein gleichwertiges Sicherheitsniveau wie CMMC-zertifizierte US-Unternehmen nachzuweisen. Für Zulieferer, die sich um kanadische und US-Verteidigungsaufträge bewerben, gilt: Beide Programme basieren auf denselben grundlegenden Kontrollen – Investitionen in eines beschleunigen die Zertifizierung für das andere.

„Kanadische Rüstungszulieferer stehen denselben NIST-800-171-Kontrollanforderungen gegenüber, die US-Unternehmen seit Jahren herausfordern – jedoch mit der zusätzlichen Komplexität kanadischer Datensouveränitäts-Vorgaben und der Tatsache, dass Level 2 und 3 noch in Entwicklung sind“, sagt Frank Balonis, CISO und SVP Operations bei Kiteworks. „Kiteworks unterstützt Rüstungsunternehmen seit Beginn des CMMC-Programms. CPCSC basiert auf demselben Standard, sodass unsere vorab zugeordneten Kontrollen, unsere FedRAMP-validierte Sicherheitsarchitektur und unsere Compliance-Nachweisgenerierung für beide Programme aus einer einzigen Bereitstellung heraus funktionieren. Kanadische Zulieferer müssen nicht bei null anfangen – sie brauchen eine Plattform, die sich bereits bei genau diesen Anforderungen bewährt hat.“

Wichtige Kiteworks-Funktionen zur Unterstützung der CPCSC-Zertifizierung:

• Vorgefertigte ITSP.10.171-Kontrollen: Kiteworks unterstützt 79 der 98 Level-2-Kontrollen (80 % Abdeckung) und deckt damit die für die Governance des Datenaustauschs wichtigsten ITSP.10.171-Sicherheitsanforderungsfamilien ab – darunter Zugriffskontrolle, Audit und Verantwortlichkeit, Identifikation und Authentifizierung, Mediensicherheit, System- und Kommunikationsschutz, System- und Informationsintegrität sowie Supply Chain Risk Management. Die 19 von Kiteworks nicht abgedeckten Kontrollen betreffen Organisation, physische Sicherheit oder Prozesse – etwa Schulungen, Personalscreening, physischen Zugang und Richtliniendokumentation – und erfordern zwingend menschliche Steuerung.
• Zero-Throttle-Audit-Nachweise: Vollständige Audit-Protokollierung erfasst jeden Datei-Zugriff, Transfer und jede Richtlinienentscheidung in Echtzeit – ohne Drosselung, Verzögerung oder Premium-Lizenz. SIEM-Integration via Syslog und nativer Splunk Forwarder liefern Nachweise an die Security Operations. Bei Ankunft akkreditierter Zertifizierungsstellen sind die Nachweise innerhalb weniger Stunden verfügbar.
• Kanadische Datensouveränität: On-Premises, Private Cloud in kanadischen Rechenzentren oder hybride Bereitstellung – kombiniert mit Single-Tenant-Isolierung, kundeneigenen Verschlüsselungsschlüsseln und Geofencing – stellt sicher, dass spezifizierte Informationen niemals kanadische Hoheitsgebiete verlassen. Dies adressiert die 40 % der kanadischen Unternehmen, die Änderungen an den kanadisch-US-amerikanischen Datenfreigaberegelungen als größte regulatorische Herausforderung sehen, sowie die 21 %, die den US CLOUD Act als direkte Bedrohung der Souveränität einstufen.
• FIPS 140-3-validierte Verschlüsselung: Nutzt AES-256–Doppelverschlüsselung im ruhenden Zustand und TLS 1.3 während der Übertragung, mit validierten kryptographischen Modulen, die die ITSP.10.171-Anforderungen an Übertragungs- und Speichervertraulichkeit erfüllen.
• Duale CPCSC-CMMC-Zertifizierung: Da ITSP.10.171 und NIST SP 800-171 technisch identisch sind, unterstützt dieselbe Kiteworks-Bereitstellung die Zertifizierung sowohl für CPCSC bei kanadischen Verträgen als auch für CMMC bei US-Verteidigungsaufträgen. Kiteworks ist FedRAMP Authorized und liefert CMMC-2.0-Compliance-Berichte mit einem Controls Addendum für alle 110 Practices – für Five-Eyes-Interoperabilität und grenzüberschreitende Beschaffung.
• Defense-in-Depth-Architektur: Gehärtete virtuelle Appliance mit integriertem Netzwerk-Firewall, WAF und KI-basierter Intrusion Detection bietet Sicherheit als Produktfunktion, nicht als Kundenverantwortung. Deny-by-default-Netzwerkarchitektur und Zero-Trust-Interne-Tiering erfüllen Anforderungen an Perimeterschutz und Systemintegrität.
• Die Control Plane für sicheren Datenaustausch: Kiteworks konsolidiert E-Mail, Filesharing, Managed File Transfer, SFTP, Web-Formulare, APIs und KI-Integrationen in einer Plattform – gesteuert durch eine Policy Engine, ein Audit-Protokoll und eine Sicherheitsarchitektur. Rüstungszulieferer ordnen Kontrollen einmal zu und setzen sie überall durch – über alle Kanäle, über die spezifizierte Informationen laufen.

Der Solution Guide von Kiteworks zum CPCSC, inklusive einer vollständigen Zuordnung aller 98 ITSP.10.171-Level-2-Anforderungen, ist hier verfügbar.

Über Kiteworks

Die Mission von Kiteworks ist es, Unternehmen zu befähigen, Risiken bei jedem Senden, Teilen, Empfangen und Nutzen vertraulicher Daten effektiv zu steuern. Die Kiteworks-Plattform bietet Kunden einen sicheren Datenaustausch mit zentraler Steuerung für Data Governance, Compliance und Schutz. Kiteworks vereinheitlicht, verfolgt, kontrolliert und schützt sensible Daten, die innerhalb des Unternehmens sowie nach außen und innen bewegt werden. So verbessert Kiteworks das Risikomanagement erheblich und stellt die Einhaltung gesetzlicher Vorgaben bei allen vertraulichen Datenaustauschen sicher. Mit Hauptsitz im Silicon Valley schützt Kiteworks über 100 Millionen Endanwender sowie Tausende globale Unternehmen und Behörden.

Pressekontakt
David Schutzman
PR Manager
david.schutzman@kiteworks.com