Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > FedRAMP CR26 ist jetzt als Public Preview verfügbar – Das bedeutet die Änderung für Ihre Zertifizierung

FedRAMP CR26 ist jetzt als Public Preview verfügbar – Das bedeutet die Änderung für Ihre Zertifizierung

von Danielle Barbour updated Juni 5, 2026 Regulatorische Compliance
Lesezeit: 6 Minuten

FedRAMP hat sich am 4. Mai 2026 geändert. Das Programm startete CR26, Consolidated Rules 2026, in einer öffentlichen Vorschau. Die endgültige Veröffentlichung ist für Ende Juni geplant. Wenn Ihr Unternehmen eine FedRAMP-Zertifizierung besitzt, anstrebt oder an Bundesbehörden verkauft, die sie verlangen, ist CR26 kein kleines Update, das man überfliegen kann. Es verändert grundlegend, wie FedRAMP-Anforderungen formuliert, bewertet und nachverfolgt werden.

Die tiefgreifendste Änderung ist epistemologisch. FedRAMP war immer anforderungsbasiert, aber die Anforderungen befanden sich in Dokumenten – Word-Dateien, PDFs, Tabellen –, die Menschen lesen und interpretieren mussten. Prüfer und Cloud Service Provider waren sich oft uneinig über die Bedeutung dieser Dokumente, was zu Inkonsistenzen bei Prüfungen und längeren Zertifizierungszeiten führte. CR26 veröffentlicht den Anforderungskatalog als strukturierte Daten auf GitHub. Jede Anforderung ist ein eigenständiger, versionierter, maschinenlesbarer Eintrag. Anstatt dass ein Prüfer einen narrativen System Security Plan liest und subjektiv bewertet, kann ein System nun prüfen, ob eine Implementierung eine deklarierte Anforderung erfüllt. Die Formulierung mit MUSS/MUSS NICHT beseitigt Interpretationsspielraum an der Quelle.

Die Auswirkungen auf die SSP-Dokumentation sind konkret. SSPs, die auf dem alten narrativen Rahmen basieren, müssen auf die neue Klassenstruktur abgebildet werden. Diese Zuordnung sollte jetzt erfolgen, solange die öffentliche Vorschau zur Kommentierung offen ist, damit Unternehmen Lücken erkennen, bevor die finale Version veröffentlicht wird.

5 Wichtige Erkenntnisse

1. Narrative Anleitungen weichen maschinenlesbaren Regeln.

CR26 ersetzt Compliance-Dokumentationen in Prosa durch deklarative MUSS/MUSS NICHT-Anforderungen, die als strukturierte Daten auf GitHub veröffentlicht werden – und bringt FedRAMP damit einen entscheidenden Schritt näher an eine programmatische Compliance-Durchsetzung. Jede Anforderung wird zu einem versionierten, abfragbaren Eintrag statt eines Dokumentauszugs. Prüfer und Cloud Service Provider können sich nicht mehr über die Bedeutung der Anforderungen streiten; die Anforderungen sind jetzt so formuliert, dass Automatisierung sie validieren kann. Die FedRAMP-Zertifizierung von Kiteworks ist auf diese Entwicklung ausgerichtet.

2. Impact-Labels werden zu Zertifizierungsklassen A bis D.

Low/Moderate/High wird durch ein Buchstaben-Klassensystem ersetzt. Die Struktur ist additiv – jede Klasse enthält alle Kontrollen der vorherigen Klasse plus zusätzliche Anforderungen. Klasse C ist die operative Stufe für die meisten föderalen Cloud-Bereitstellungen und entspricht der bisherigen Moderate-Einstufung. Klasse D deckt die bisherige High-Stufe ab. Für Unternehmen mit bestehender FedRAMP Moderate-Zertifizierung besteht die Hauptaufgabe darin, die aktuelle Dokumentation auf die Klasse-C-Struktur abzubilden.

3. FedRAMP Ready wird am 28. Juli eingestellt.

Die Bezeichnung wird ab diesem Datum zu Legacy FedRAMP Ready. Ihre kommerzielle Bedeutung nimmt ab, da sich die Beschaffungsteams der Bundesbehörden an das neue Rahmenwerk anpassen. Unternehmen, die FedRAMP Ready als Verkaufsargument nutzen, ohne eine vollständige Zertifizierung anzustreben, sollten den 28. Juli als verbindliche Planungsfrist betrachten – die vollständige Zertifizierung nach dem CR26-Klassenmodell wird zur neuen Erwartungshaltung.

4. Ein 30-monatiges Stabilitätsfenster läuft bis zum 31. Dezember 2028.

Die CR26-Regeln gelten für 30 Monate – Cloud Service Provider erhalten damit einen ungewöhnlich klaren Planungshorizont für ihre Zertifizierungsstrategie. Das verändert die ROI-Berechnung für Investitionen in Zertifizierungen: Bisher erschwerten sich ändernde Anforderungen die Amortisation. Ein definiertes Stabilitätsfenster vereinfacht diese Kalkulation und unterstützt mehrjährige Beschaffungsplanung.

5. Autorisierungspakete nicht auf Basis der Vorschauversion überarbeiten.

Die finale Version erscheint Ende Juni. Dann endet auch die Kommentierungsphase – Unternehmen, die Einfluss auf die endgültige Formulierung nehmen möchten, sollten bis dahin ihre Kommentare auf GitHub einreichen. Beginnen Sie jetzt mit der Abbildung der aktuellen SSP-Dokumentation auf die neue Klassenstruktur, aber warten Sie mit materiellen Änderungen an laufenden Paketen bis zur endgültigen Version.

Welche Data Compliance Standards sind relevant?

Jetzt lesen

So funktioniert die neue Zertifizierungsklassen-Struktur

Die Umstellung von Low/Moderate/High auf Klassen A bis D ist mehr als eine Umbenennung. Die Klassenstruktur ist additiv – jede nachfolgende Klasse enthält alle Anforderungen der vorherigen Klasse plus zusätzliche Kontrollen. Das macht die Abgrenzung der Klassen klarer und leichter erklärbar.

Für die meisten Bundesauftragnehmer und Cloud Service Provider ist Klasse C die maßgebliche Zertifizierungsstufe. Sie entspricht der bisherigen Moderate-Stufe – dem Level, das für Systeme mit CUI und die Mehrheit der zivilen Behörden-Workloads erforderlich ist. Kiteworks verfügt über eine FedRAMP-Zertifizierung, und die Klasse-C-Struktur entspricht exakt dem, was die Plattform unterstützt: sichere E-Mails, Managed File Transfer, sicheres Filesharing und konforme Zusammenarbeit über Behörden hinweg.

Klasse D deckt die bisherige High-Einstufung ab – Systeme, die die sensibelsten nicht klassifizierten Daten verarbeiten, einschließlich Polizei, Notfalldienste und Finanzdaten. In dieser Stufe ist der maschinenlesbare Anforderungskatalog noch wichtiger, da die Kontrolldichte höher und Interpretationsspielraum teurer ist.

Auch die Kommunikation wird dadurch einfacher. „Wir sind Klasse C-zertifiziert“ ist eine klarere Aussage als „wir haben eine FedRAMP Moderate Authorization to Operate“. Da die zugrunde liegenden Anforderungen maschinenlesbar und öffentlich auf GitHub zugänglich sind, kann ein Beschaffungsverantwortlicher direkt prüfen, was Klasse C fordert, ohne ein Briefing anzufordern.

Was das Ende von FedRAMP Ready bedeutet

FedRAMP Ready war eine vorläufige Bezeichnung – ein Signal, dass ein Cloud Service Provider von einem 3PAO geprüft wurde und bereit ist, die vollständige Zertifizierung zu verfolgen. Sie war ein wichtiges Verkaufsargument im Bundesmarkt, da sie Strenge ohne vollständige Authorization to Operate belegte.

Diese Bezeichnung wird am 28. Juli 2026 eingestellt. Bestehende Inhaber behalten sie als Legacy FedRAMP Ready, aber das Gewicht dieser Kennzeichnung nimmt ab, da sich die Beschaffungsgemeinschaft der Bundesbehörden an das neue Rahmenwerk anpasst. Unternehmen, die FedRAMP Ready als Verkaufsargument nutzen, ohne eine vollständige Zertifizierung anzustreben, sollten den 28. Juli als verbindliche Frist betrachten.

Field CISO Mario Lunato von Knox Systems empfiehlt: Warten Sie mit materiellen Änderungen an laufenden Paketen bis zur finalen Version, die Ende Juni erscheint. Die Zuordnung – also die Anpassung der bestehenden SSP-Sprache und -Kontrollen an die neue Klassenstruktur – ist jetzt die richtige Aktivität.

Das 30-monatige Stabilitätsfenster und wie Sie es nutzen

Die Zusage zur Regelstabilität bis zum 31. Dezember 2028 ist möglicherweise der strategisch wichtigste Aspekt von CR26. FedRAMP hat bisher Planungsunsicherheit geschaffen, da sich Anforderungen änderten und Zertifizierungsfristen verlängerten. Ein 30-monatiges stabiles Zeitfenster verändert die Kalkulation für Cloud Service Provider und deren Bundesbehördenkunden.

Für Kiteworks-Kunden im Bundesmarkt unterstützt dieses Fenster mehrjährige Beschaffungsplanung. Ein CIO einer Behörde kann sich für eine Plattform entscheiden, im Wissen, dass sich die Zertifizierungsgrundlage bis Ende 2028 nicht wesentlich ändert. Ein Rüstungsunternehmen, das CMMC 2.0 parallel zur FedRAMP-Zertifizierung anstrebt, kann beide Roadmaps an stabilen Anforderungen ausrichten.

NIST 800-171 und FedRAMP-Klasse-C-Anforderungen überschneiden sich erheblich für Unternehmen, die CUI verarbeiten. Der maschinenlesbare CR26-Katalog erleichtert die Zuordnung von Kontrollen über verschiedene Rahmenwerke hinweg und zeigt, wo eine einzige Implementierung mehrere Anforderungen erfüllt. Das ist der Ansatz, den Kiteworks mit seinem Private Data Network verfolgt: eine Plattform, ein Satz durchgesetzter Kontrollen, nachgewiesene Compliance über mehrere Rahmenwerke hinweg.

So unterstützt Kiteworks den CR26-Übergang

Kiteworks verfügt über eine FedRAMP-Zertifizierung, und der CR26-Übergang entspricht direkt dem Aufbau der Plattform: Compliance wird programmatisch durchgesetzt, nicht nur narrativ dokumentiert und periodisch geprüft. Die Data Policy Engine von Kiteworks erzwingt Governance-Kontrollen auf Systemebene – sie steuert, wer auf welche Daten, über welche Kommunikationskanäle und unter welchen Bedingungen zugreifen kann. Regeln werden definiert, automatisch angewendet und für Audits protokolliert. Da FedRAMP auf maschinenprüfbare MUSS/MUSS NICHT-Anforderungen umstellt, ist die Übereinstimmung zwischen der Kontrolle durch Kiteworks und der CR26-Formulierung direkt gegeben.

Audit-Logs erfassen jeden Datei-Zugriff, Transfer und Filesharing-Vorgang. Dieses Maß an Transparenz ist für die Klasse-C-Compliance-Dokumentation erforderlich und wird von Behördenkunden zur Aufrechterhaltung ihrer eigenen Zertifizierungsposition benötigt. Der SFTP-Server, Managed File Transfer und alle anderen Austauschkanäle erzeugen denselben einheitlichen Audit-Trail mit FIPS 140-3-validierter Verschlüsselung.

Die Kommentierungsphase zu CR26 endet Ende Juni. Unternehmen mit FedRAMP-Zertifizierung – oder die eine anstreben – sollten ihre aktuelle SSP-Dokumentation jetzt auf die neue Klassenstruktur abbilden, substanzielle Kommentare auf GitHub einreichen, falls Anforderungen ihre Kontrollimplementierung betreffen, und die finale Version abwarten, bevor sie Autorisierungspakete überarbeiten.

Wenn Sie mehr über FedRAMP-Zertifizierung und den Schutz Ihrer sensibelsten Daten erfahren möchten, vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

FedRAMP CR26 (Consolidated Rules 2026) startete am 4. Mai 2026 in der öffentlichen Vorschau und ersetzt narrative Compliance-Anleitungen durch deklarative MUSS/MUSS NICHT-Anforderungen, die als strukturierte Daten auf GitHub veröffentlicht werden. Die finale Version erscheint Ende Juni 2026. Die Regeln gelten bis zum 31. Dezember 2028 – ein 30-monatiges stabiles Planungsfenster. Überarbeiten Sie Autorisierungspakete nicht auf Basis der Vorschauversion, bevor die finale Version veröffentlicht ist. Die FedRAMP-Compliance-Plattform von Kiteworks ist auf diese neuen Anforderungen ausgerichtet.

Klasse C entspricht funktional der bisherigen Moderate-Einstufung und deckt den Großteil der föderalen Cloud-Bereitstellungen einschließlich Systemen mit CUI ab. Klasse D entspricht der bisherigen High-Einstufung. Die Klassenstruktur ist additiv – jede Klasse enthält alle Kontrollen der vorherigen Klasse. Für Unternehmen mit bestehender FedRAMP Moderate-Zertifizierung besteht die Hauptaufgabe darin, die aktuelle Dokumentation vor Ende der Kommentierungsphase auf die Klasse-C-Struktur abzubilden.

Die FedRAMP Ready-Bezeichnung wird am 28. Juli 2026 eingestellt und zu Legacy FedRAMP Ready. Ihr kommerzieller Wert nimmt ab, da sich die Beschaffungsteams der Bundesbehörden an das neue Rahmenwerk anpassen. Unternehmen, die sie als Verkaufsargument nutzen, sollten jetzt die vollständige Zertifizierung nach dem CR26-Klassenmodell planen. Das Verständnis von FedRAMP für den privaten Sektor hilft auch Nichtregierungsorganisationen zu erkennen, warum die vollständige Zertifizierung über Bundesaufträge hinaus relevant ist.

Jede Anforderung wird zu einem versionierten, abfragbaren GitHub-Eintrag statt eines Dokumentauszugs – Compliance-Teams können Validierungsprozesse gegen spezifische Anforderungen aufbauen, anstatt Prosa zu interpretieren. Die SSP-Sprache muss auf die neue Klassenstruktur mit Kontrollen abgestimmt auf MUSS/MUSS NICHT-Anforderungen abgebildet werden. Plattformen mit programmatischer Kontrolldurchsetzung können diesen Nachweis automatisch generieren. Audit-Logs sind das wichtigste Mittel, um zu zeigen, dass deklarierte Kontrollen wie gefordert funktionieren.

Ordnen Sie die aktuelle SSP-Dokumentation der neuen Klassenstruktur zu, um Lücken zu identifizieren; reichen Sie substanzielle Kommentare auf GitHub ein, wenn bestimmte Anforderungen mit der aktuellen Kontrollarchitektur kollidieren; und vermeiden Sie es, Autorisierungspakete auf Basis der Vorschauversion zu überarbeiten. Unternehmen, die CMMC-Compliance parallel zur FedRAMP-Zertifizierung anstreben, sollten prüfen, wie beide Roadmaps im neuen Rahmenwerk zusammenpassen – NIST 800-171 und Klasse-C-Anforderungen überschneiden sich erheblich.

Weitere Ressourcen

  • Blogbeitrag Wie Sie Studiendaten in internationalen klinischen Forschungsprojekten schützen
  • Blogbeitrag Der CLOUD Act und der britische Datenschutz: Warum der Gerichtsstand zählt
  • Blogbeitrag Zero Trust Data Protection: Implementierungsstrategien für mehr Sicherheit
  • Blogbeitrag Datenschutz durch Technikgestaltung: Wie Sie DSGVO-Kontrollen in Ihr Managed File Transfer-Programm integrieren
  • Blogbeitrag Wie Sie Datenpannen mit sicherem Filesharing über Ländergrenzen hinweg verhindern

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks