Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > FedRAMP CR26 acaba de salir en vista previa pública — Descubre lo que realmente implica para tu autorización

FedRAMP CR26 acaba de salir en vista previa pública — Descubre lo que realmente implica para tu autorización

by Danielle Barbour updated junio 5, 2026 Cumplimiento Regulatorio
Reading Time: 6 minutes

FedRAMP cambió el 4 de mayo de 2026. El programa lanzó CR26, Reglas Consolidadas 2026, en vista previa pública, con la publicación final programada para finales de junio. Si tu organización tiene una autorización FedRAMP, está en proceso de obtenerla o vende a agencias federales que la requieren, CR26 no es una actualización menor para pasar por alto. Redefine cómo se expresan, evalúan y rastrean los requisitos de FedRAMP.

El cambio más profundo es epistemológico. FedRAMP siempre se ha basado en requisitos, pero estos vivían en documentos — archivos Word, PDFs, hojas de cálculo — que las personas leían e interpretaban. Los evaluadores y los proveedores de servicios en la nube no siempre coincidían en el significado de esos documentos, lo que generaba inconsistencias entre evaluaciones y alargaba los plazos de autorización. CR26 publica el catálogo de requisitos como datos estructurados en GitHub. Cada requisito es un registro discreto, versionado y legible por máquina. En vez de que un evaluador lea la narrativa de un Plan de Seguridad del Sistema y tome una decisión subjetiva, ahora un sistema puede comprobar si una implementación cumple con un requisito declarado. La formulación DEBE/NO DEBE elimina la ambigüedad interpretativa desde el origen.

La implicación para la documentación SSP es concreta. Los SSP escritos bajo el antiguo marco narrativo tendrán que mapearse a la nueva estructura de clases. Ese trabajo de mapeo es mejor hacerlo ahora, mientras la vista previa pública está abierta a comentarios, para que las organizaciones puedan identificar brechas antes de la publicación de la versión final.

5 puntos clave

1. La guía narrativa da paso a reglas legibles por máquina.

CR26 reemplaza la documentación de cumplimiento en prosa por declaraciones DEBE/NO DEBE publicadas como datos estructurados en GitHub, acercando significativamente a FedRAMP a la aplicación programática del cumplimiento. Cada requisito se convierte en un registro versionado y consultable, en lugar de un fragmento de documento. Los evaluadores y los proveedores de servicios en la nube ya no pueden discrepar sobre el significado de los requisitos; ahora estos se expresan en un lenguaje que la automatización puede validar. La postura de autorización FedRAMP de Kiteworks está diseñada para alinearse con este cambio.

2. Las etiquetas de impacto se convierten en Clases de Certificación de la A a la D.

Low/Moderate/High se reemplaza por un sistema de clases con letras. La estructura es aditiva — cada clase incluye todos los controles de la clase anterior más requisitos adicionales. La Clase C es el nivel operativo para la mayoría de implementaciones federales en la nube y corresponde a la antigua designación Moderate. La Clase D cubre la antigua High. Para organizaciones con autorización FedRAMP Moderate existente, la tarea principal es mapear la documentación actual a la estructura de la Clase C.

3. FedRAMP Ready se retira el 28 de julio.

La designación pasa a ser Legacy FedRAMP Ready en esa fecha. Su peso comercial disminuirá a medida que los equipos de compras federales se adapten al nuevo marco. Las organizaciones que usan FedRAMP Ready como credencial de ventas sin buscar la autorización completa deben considerar el 28 de julio como una fecha límite estricta — la autorización completa bajo el marco de clases CR26 será la expectativa mínima.

4. Se abre una ventana estable de treinta meses hasta el 31 de diciembre de 2028.

Las reglas de CR26 se mantienen durante treinta meses, ofreciendo a los proveedores de servicios en la nube una perspectiva de planificación inusualmente clara para su estrategia de autorización. Esto cambia el cálculo de retorno de inversión para la autorización: el costo de mantener la autorización solía complicarse porque los requisitos cambiaban antes de recuperar la inversión. Un horizonte estable definido facilita ese cálculo y permite planificaciones de adquisiciones a varios años.

5. No reescribas los paquetes de autorización usando el lenguaje de la vista previa.

La versión final se publica a finales de junio. El periodo de comentarios también cierra entonces — las organizaciones que quieran influir en el lenguaje final deben enviar comentarios en GitHub antes de que cierre esa ventana. Comienza a mapear la documentación SSP actual a la nueva estructura de clases ahora, pero espera la versión final antes de hacer cambios sustanciales en los paquetes en curso.

¿Qué estándares de cumplimiento de datos importan?

Read Now

Cómo funciona la nueva estructura de clases de certificación

Reemplazar Low/Moderate/High por Clases de la A a la D es más que un cambio de nombre. La estructura de clases es aditiva — cada clase sucesiva incluye todos los requisitos de la clase anterior más controles adicionales. Esto hace que los límites entre clases sean más claros y fáciles de explicar.

Para la mayoría de los contratistas federales y proveedores de servicios en la nube, la Clase C es el nivel de autorización operativo. Corresponde a lo que antes era Moderate, el nivel requerido para sistemas que manejan CUI y la mayoría de las cargas de trabajo de agencias civiles. Kiteworks cuenta con autorización FedRAMP, y la estructura de Clase C se alinea directamente con lo que la plataforma soporta: correo electrónico seguro, transferencia de archivos gestionada, uso compartido seguro de archivos y colaboración conforme entre agencias.

La Clase D cubre la antigua designación High: sistemas que manejan los datos no clasificados más sensibles, incluyendo información de la justicia penal, servicios de emergencia e información financiera. En ese nivel, el catálogo de requisitos legibles por máquina cobra aún más importancia, ya que la densidad de controles es mayor y las inconsistencias interpretativas resultan más costosas.

También hay un beneficio práctico de comunicación. «Estamos autorizados en Clase C» es una declaración más clara que «tenemos una Autorización FedRAMP Moderate para Operar». Cuando los requisitos subyacentes son legibles por máquina y están disponibles públicamente en GitHub, un responsable de compras puede verificar lo que exige la Clase C sin pedir una presentación.

Qué significa el retiro de FedRAMP Ready

FedRAMP Ready ha funcionado como una designación preliminar — una señal de que un proveedor de servicios en la nube ha sido revisado por una 3PAO y se considera listo para buscar la autorización completa. Ha sido una credencial de ventas relevante en el mercado federal porque demostraba rigor sin requerir una Autorización para Operar completa.

Esa designación se retira el 28 de julio de 2026. Los titulares actuales la conservarán como Legacy FedRAMP Ready, pero el peso competitivo de esa etiqueta disminuirá a medida que la comunidad de compras federales se adapte al nuevo marco. Las organizaciones que han usado FedRAMP Ready como credencial de ventas sin buscar la autorización completa deben considerar el 28 de julio como una fecha límite estricta.

La recomendación del CISO de campo Mario Lunato de Knox Systems es directa: espera la versión final, que se publica a finales de junio, antes de hacer cambios sustanciales en los paquetes en curso. El trabajo de mapeo — alinear el lenguaje y los controles SSP existentes con la nueva estructura de clases — es la actividad adecuada en este momento.

La ventana de estabilidad de treinta meses y qué hacer con ella

El compromiso de mantener la estabilidad de las reglas hasta el 31 de diciembre de 2028 puede ser el aspecto más relevante estratégicamente de CR26. FedRAMP históricamente generaba incertidumbre en la planificación porque los requisitos evolucionaban y los plazos de autorización se alargaban. Un horizonte estable de treinta meses cambia el panorama para los proveedores de servicios en la nube y sus clientes federales.

Para los clientes de Kiteworks en el mercado federal, esta ventana permite planificaciones de adquisiciones a varios años. Un CIO de agencia puede tomar una decisión de plataforma con la confianza de que la base de autorización no cambiará de forma significativa antes de finales de 2028. Un contratista de defensa que busque CMMC 2.0 junto con la autorización FedRAMP puede alinear ambas hojas de ruta con requisitos estables.

NIST 800-171 y los requisitos de la Clase C de FedRAMP se superponen en gran medida para las organizaciones que gestionan CUI. El catálogo CR26 legible por máquina facilitará mapear controles entre marcos e identificar dónde una sola implementación cumple con múltiples requisitos. Esa es la dirección que Kiteworks ha impulsado con su enfoque de Red de Datos Privados: una plataforma, un conjunto de controles aplicados, cumplimiento demostrado en múltiples marcos.

Cómo Kiteworks apoya la transición a CR26

Kiteworks cuenta con autorización FedRAMP, y la transición a CR26 se alinea directamente con la arquitectura de la plataforma: el cumplimiento se aplica de forma programática en vez de documentarse en narrativas y revisarse periódicamente. El motor de políticas de datos de Kiteworks aplica controles de gobernanza de contenido a nivel de sistema, definiendo quién puede acceder a qué datos, a través de qué canales de comunicación y bajo qué condiciones. Las reglas se definen, aplican automáticamente y se registran para auditoría. A medida que FedRAMP avanza hacia requisitos DEBE/NO DEBE verificables por máquina, la alineación entre cómo Kiteworks aplica controles y cómo CR26 expresa los requisitos es directa.

Los registros de auditoría capturan cada acceso, transferencia y evento de uso compartido de archivos. Ese nivel de visibilidad es lo que exige la documentación de cumplimiento de Clase C, y es lo que los clientes de agencias necesitan para mantener su propia postura de autorización. El servidor SFTP, MFT y todos los demás canales de intercambio generan el mismo historial de auditoría unificado con cifrado FIPS 140-3 validado.

El periodo de comentarios sobre CR26 cierra a finales de junio. Las organizaciones con autorizaciones FedRAMP — o que estén en proceso de obtenerlas — deben mapear la documentación SSP actual a la nueva estructura de clases ahora, enviar comentarios sustanciales en GitHub si los requisitos afectan la implementación de sus controles, y planificar la publicación de la versión final antes de reescribir los paquetes de autorización.

Para saber más sobre la autorización FedRAMP y cómo proteger tus datos más sensibles, agenda una demo personalizada hoy mismo.

Preguntas frecuentes

FedRAMP CR26 (Consolidated Rules 2026) se lanzó en vista previa pública el 4 de mayo de 2026, reemplazando la guía narrativa de cumplimiento por requisitos declarativos DEBE/NO DEBE publicados como datos estructurados en GitHub. La versión final está programada para finales de junio de 2026. Las reglas se mantienen hasta el 31 de diciembre de 2028 — una ventana de planificación estable de treinta meses. No reescribas los paquetes de autorización usando el lenguaje de la vista previa antes de la publicación de la versión final. La plataforma de cumplimiento FedRAMP de Kiteworks está diseñada para alinearse con estos requisitos en evolución.

La Clase C es el equivalente funcional de la antigua designación Moderate, cubriendo la mayoría de las implementaciones federales en la nube, incluidos los sistemas que gestionan CUI. La Clase D corresponde a la antigua High. La estructura de clases es aditiva — cada clase incluye todos los controles de la clase anterior. Para las organizaciones con autorización FedRAMP Moderate existente, la tarea principal es mapear la documentación actual a la estructura de la Clase C antes de que cierre el periodo de comentarios.

La designación FedRAMP Ready se retira el 28 de julio de 2026 y pasa a ser Legacy FedRAMP Ready. Su peso comercial disminuirá a medida que los equipos de compras federales se adapten al nuevo marco. Las organizaciones que la usen como credencial de ventas deben planificar desde ahora la autorización completa bajo el marco de clases CR26. Comprender FedRAMP para el sector privado puede ayudar a las organizaciones no gubernamentales a entender por qué la autorización completa es relevante más allá de los contratos federales.

Cada requisito se convierte en un registro versionado y consultable en GitHub, en vez de un fragmento de documento — los equipos de cumplimiento pueden crear flujos de validación contra requisitos específicos en lugar de interpretar prosa. El lenguaje SSP debe mapearse a la nueva estructura de clases con controles alineados a declaraciones DEBE/NO DEBE. Las plataformas con aplicación programática de controles pueden generar esa evidencia automáticamente. Los registros de auditoría son el medio principal para demostrar que los controles declarados operan como se requiere.

Mapea la documentación SSP actual a la nueva estructura de clases para identificar brechas; presenta comentarios sustanciales en GitHub si ciertos requisitos generan conflictos con la arquitectura de controles actual; y evita reescribir los paquetes de autorización usando el lenguaje de la vista previa. Las organizaciones que busquen cumplimiento CMMC junto con la autorización FedRAMP deben analizar cómo se alinean ambas hojas de ruta bajo el nuevo marco — NIST 800-171 y los requisitos de Clase C se superponen en gran medida.

Recursos adicionales

  • Artículo del Blog Cómo proteger los datos de ensayos clínicos en investigaciones internacionales
  • Artículo del Blog La CLOUD Act y la protección de datos del Reino Unido: por qué la jurisdicción importa
  • Artículo del Blog Protección de datos Zero Trust: estrategias de implementación para una seguridad mejorada
  • Artículo del Blog Protección de datos desde el diseño: cómo incorporar controles GDPR en tu programa MFT
  • Artículo del Blog Cómo prevenir filtraciones de datos con uso compartido seguro de archivos entre fronteras

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks