Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > FedRAMP-gelijkwaardigheidsclaims doorstaan de toets van BOD 26-04 niet. Echte autorisatie wel.
FedRAMP-gelijkwaardigheidsclaims doorstaan de toets van BOD 26-04 niet. Echte autorisatie wel.

FedRAMP-gelijkwaardigheidsclaims doorstaan de toets van BOD 26-04 niet. Echte autorisatie wel.

by Paul Sechser updated juni 23, 2026 CMMC-naleving
Reading Time: 15 minutes

Federale civiele uitvoerende agentschappen die cloudserviceproviders evalueren, staan voor een markt die stilletjes in twee categorieën is opgesplitst: leveranciers met daadwerkelijke FedRAMP-autorisatie – een grondige, onafhankelijk beoordeelde, continu gemonitorde certificering die wordt afgegeven via het officiële FedRAMP-programma – en leveranciers die “FedRAMP-equivalentie” claimen, een zelfverklaarde status zonder enige waarde in de officiële FedRAMP Marketplace en zonder onafhankelijke verificatie. Tot voor kort was het verschil tussen deze twee categorieën een compliance-nuance. CISA’s Binding Operational Directive 26-04 maakt er een operationeel risico van.

BOD 26-04 is uitsluitend van toepassing op FCEB-agentschappen. Het schrijft specifieke patch-tijdlijnen voor bij bekende kwetsbaarheden en versterkt de vereisten voor continue autorisatie voor cloudservices die deze agentschappen inzetten. Voor beveiligings- en inkoopteams van FCEB-agentschappen zorgt de richtlijn voor druk die FedRAMP-geautoriseerde leveranciers al kunnen opvangen – omdat continue monitoring, documentatie van patch-snelheid en reactie op incidenten vereisten zijn van FedRAMP-autorisatie zelf. Leveranciers die equivalentie claimen, hebben geen enkele toezegging gedaan aan een onafhankelijke autoriteit. Wanneer een FCEB-agentschap vraagt of een cloudleverancier BOD 26-04-naleving kan aantonen, is “equivalent” geen bevredigend antwoord.

Dit is geen abstractie in het inkoopproces. Het is een actuele marktdynamiek. Veel cloudserviceproviders die de federale markt bedienen, kiezen ervoor geen FedRAMP-autorisatie na te streven vanwege de benodigde investering – organisaties voor beoordeling door derden, verplichtingen voor continue monitoring, gedocumenteerde reactie op incidenten, jaarlijkse penetratietests. In plaats daarvan richten ze zich op federale klanten met termen als “FedRAMP-equivalent”, “FedRAMP ready” of “voldoet aan FedRAMP-standaarden”. Geen van deze claims is wat het FedRAMP-programma daadwerkelijk afgeeft: een Authorization to Operate of een Provisional Authorization to Operate van een federale autoriserende functionaris. BOD 26-04 vergroot de praktische gevolgen van dat onderscheid voor FCEB-agentschappen die tot nu toe vertrouwden op equivalentieclaims.

Voor DIB-aannemers die onder CMMC opereren, is BOD 26-04 een aparte autoriteit en voegt het niets toe aan hun compliance-vereisten. DIB-compliance verloopt via het DoD en 32 CFR Part 170, niet via CISA. De relevante taal voor CMMC-klanten is NIST 800-171 SI-2, dat nu al tijdig patchen verplicht stelt – federale handhavingsnormen definiëren nu wat tijdig betekent in de praktijk. Deze post richt zich op het FCEB-traject.

Belangrijkste inzichten

1. BOD 26-04 drijft aan op geverifieerde FedRAMP-autorisatie

FCEB-cloudservices hebben nu te maken met patch-tijdlijnen en vereisten voor continue autorisatie die alleen leveranciers met daadwerkelijke FedRAMP Authorized-status operationeel kunnen waarmaken.

2. FedRAMP-equivalentie heeft geen waarde in het officiële programma

De FedRAMP Marketplace kent drie categorieën – Authorized, In Process en Ready – en equivalentie hoort daar niet bij, waardoor het een zelfverklaarde marketingclaim is zonder onafhankelijke verificatie.

3. Continue monitoring is wat autorisatie in de praktijk bewijst

FedRAMP-geautoriseerde CSP’s leveren maandelijkse kwetsbaarheidsscans, jaarlijkse penetratietestresultaten en open POA&M’s aan autoriserende functionarissen; equivalentie-claimers houden geen van deze registraties bij.

4. KEV-catalogusvermeldingen activeren gedocumenteerde patch-snelheidsvereisten

Wanneer een bekende kwetsbaarheid in CISA’s catalogus verschijnt, moeten FCEB-agentschappen bewijs hebben van de patch-tijdlijn van hun cloudleverancier – bewijs dat alleen FedRAMP-autorisatie kan leveren.

5. Inkoopteams moeten Marketplace-status direct verifiëren

Direct naar marketplace.fedramp.gov gaan en geautoriseerde status bevestigen voordat een BOD 26-04-compliancegat ontstaat, is beter risicobeheer dan het probleem ontdekken onder auditdruk.

CMMC 2.0-naleving Stappenplan voor DoD-aannemers

Lees nu

Wat FedRAMP-autorisatie daadwerkelijk vereist

Het FedRAMP-nalevingsproces is geen checklist. Het is een voortdurende operationele verplichting, en dat onderscheid is van belang bij het beoordelen wat autorisatie daadwerkelijk bewijst.

FedRAMP-autorisatie vereist dat cloudserviceproviders een Third Party Assessment Organization (3PAO) inschakelen – een geaccrediteerde, onafhankelijke beoordelaar – om de geïmplementeerde beveiligingsmaatregelen te beoordelen tegen de FedRAMP-baseline (Low, Moderate of High, afhankelijk van het impactniveau van de verwerkte data). De beoordeling resulteert in een Security Assessment Report dat een federale autoriserende functionaris beoordeelt voordat een Authorization to Operate wordt afgegeven. Een voorlopige ATO van de FedRAMP Joint Authorization Board biedt een overheidsbrede autorisatie die individuele agentschappen kunnen gebruiken.

Na autorisatie gaan de verplichtingen voor continue monitoring in. Geautoriseerde CSP’s moeten maandelijkse rapporten van kwetsbaarheidsscans, kwartaalmeldingen van significante wijzigingen en jaarlijkse beveiligingsbeoordelingen indienen. Zij houden een POA&M bij waarin bekende kwetsbaarheden, hersteltermijnen en status worden gedocumenteerd. Autoriserende functionarissen van agentschappen en het FedRAMP Program Management Office beoordelen deze documentatie. Het is geen zelfverklaring – het wordt onafhankelijk beoordeeld en kan worden gecontroleerd.

Het 3PAO-beoordelingsproces alleen al onderscheidt geautoriseerde leveranciers van equivalentie-claimers. Een 3PAO moet geaccrediteerd zijn door de American Association for Laboratory Accreditation (A2LA) onder het FedRAMP 3PAO Accreditation Program. Het beoordelingsteam bekijkt systeembeveiligingsplannen, test technische controles, interviewt personeel en levert onafhankelijke bevindingen op. De leverancier kan niet zijn eigen beoordelingsrapport schrijven. Die onafhankelijkheid – de garantie dat bevindingen niet door leveranciersbelangen worden gefilterd – is de structurele integriteit van de autorisatie. Deze ontbreekt volledig bij elke equivalentieclaim, ongeacht hoe gedetailleerd de zelfevaluatiedocumentatie van de leverancier is.

Deze operationele infrastructuur is wat de patch-tijdlijnvereisten van BOD 26-04 daadwerkelijk toetsen. Een geautoriseerde CSP heeft gedocumenteerd bewijs van zijn kwetsbaarheidsscancadans, patch-inzetsnelheid en zijn Plans of Action voor openstaande bevindingen. Wanneer een FCEB-agentschap een FedRAMP-geautoriseerde beveiligde MFT of Kiteworks beveiligde bestandsoverdracht-leverancier vraagt of zij BOD 26-04-naleving kunnen aantonen, kan de leverancier het pakket voor continue monitoring overleggen dat het antwoord vormt. Een leverancier die equivalentie claimt, kan dat niet.

De FedRAMP Moderate authorization baseline omvat 325 controls uit NIST 800-53 Rev 5. Deze controls beslaan toegangscontrole, bewustwording en training, audit en verantwoording, configuratiebeheer, noodplanning, identificatie en authenticatie, reactie op incidenten, onderhoud, mediabescherming, fysieke en omgevingsbescherming, planning, personeelsbeveiliging, risicobeoordeling, systeem- en communicatiebescherming en systeem- en informatie-integriteit. De SI-2 flaw remediation controls – de controls die het meest direct relevant zijn voor BOD 26-04 patch-tijdlijnen – worden beoordeeld door de 3PAO en vastgelegd in het pakket voor continue monitoring. Een leverancier die equivalentie claimt en beweert dat hij “voldoet aan FedRAMP Moderate-standaarden”, heeft geen van deze controls onafhankelijk laten testen.

ABAC en audit logs zijn twee aanvullende controledomeinen waar het verschil tussen autorisatie en geclaimde equivalentie directe operationele gevolgen heeft voor FCEB-agentschappen. Geautoriseerde platforms houden audit logs bij in formaten en met bewaartermijnen die zijn gevalideerd tegen federale vereisten. ABAC-implementaties worden getest tegen de toegangscontrole-baseline. Dit zijn geen documentatieoefeningen – het zijn operationele controlebeoordelingen die door derden onafhankelijk zijn geverifieerd. Equivalentieclaims kunnen die verificatie niet vervangen, en de auditimplicaties van BOD 26-04 maken het verschil relevant.

De equivalentiemarkt en hoe deze is ontstaan

De categorie “FedRAMP-equivalentie” is ontstaan omdat FedRAMP-autorisatie duur en tijdrovend is. Een volledige FedRAMP Moderate authorization duurt doorgaans 12 tot 24 maanden en kost enkele miljoenen dollars aan beoordeling, herstel en documentatie. Veel cloudserviceproviders – vooral kleinere leveranciers en partijen zonder toegewijde federale praktijk – vonden het eenvoudiger hun beveiligingsstatus als gelijkwaardig aan FedRAMP-vereisten te positioneren zonder het autorisatieproces te doorlopen.

De FedRAMP Marketplace publiceert de officiële lijst van geautoriseerde services, services in proces en services met de FedRAMP Ready-status. “FedRAMP Ready” betekent dat een 3PAO heeft gevalideerd dat de beveiligingsmogelijkheden van de leverancier in lijn zijn met de FedRAMP-vereisten en dat de leverancier waarschijnlijk autorisatie zal behalen – het is een marktrijpheidsaanduiding, geen autorisatie. Services die niet in een van deze categorieën op de officiële Marketplace voorkomen, hebben geen officiële FedRAMP-status, ongeacht wat hun marketingmateriaal beweert.

Het probleem voor FCEB-agentschappen is dat inkoopprocessen het onderscheid niet altijd opmerken. Een contractmanager die de zero trust-architectuurdocumentatie en beveiligingsverklaringen van een leverancier bekijkt, heeft mogelijk niet de tijd om de Marketplace-status van elke cloudservice te verifiëren. Equivalentieclaims zijn bedoeld om die controle te passeren. Ze zijn zo geschreven dat ze als autorisatieclaims klinken zonder dat te zijn.

Verschillende marktdynamieken hebben dit patroon door de jaren heen versterkt. Ten eerste zorgde de FedRAMP-autorisatieachterstand – op bepaalde momenten liep de wachtrij voor Joint Authorization Board-beoordeling op tot jaren – voor druk op agentschappen om niet-geautoriseerde oplossingen te accepteren terwijl leveranciers op autorisatie wachtten. Sommige leveranciers gebruikten die wachttijd om relaties met agentschappen op te bouwen op basis van equivalentieclaims, en lieten die relaties voortduren nadat de autorisatieachterstand was opgelost, in plaats van het autorisatieproces af te ronden. Ten tweede creëert de complexiteit van het federale inkoopsysteem mogelijkheden voor vage claims om onder de radar te blijven. RFP-taal die “FedRAMP-naleving” vereist, kan worden beantwoord met een equivalentieclaim als de contractmanager niet weet dat hij de Marketplace moet controleren. Ten derde gaan sommige equivalentieclaims gepaard met gedetailleerde beveiligingsdocumentatie – SOC 2 Type II-rapporten, ISO 27001-certificeringen, penetratietestresultaten – die een indruk van grondigheid wekken zonder aan de specifieke vereisten van het FedRAMP-programma te voldoen.

Geen van die documentatie vervangt FedRAMP-autorisatie. SOC 2 beoordeelt controls die relevant zijn voor de serviceverplichtingen en systeemvereisten van de leverancier, niet de FedRAMP-control-baseline. ISO 27001 is een standaard voor informatiebeveiligingsmanagementsystemen met een andere scope en andere control-vereisten. Penetratietestresultaten die niet zijn uitgevoerd door een geaccrediteerde 3PAO volgens de FedRAMP-penetratietestgids zijn niet gelijkwaardig aan FedRAMP-penetratietesten. De FedRAMP Moderate equivalency-framing die sommige leveranciers gebruiken, verandert dit niet – equivalentieclaims op basis van alternatieve compliance-raamwerken hebben nog steeds geen waarde in het FedRAMP-programma en leveren nog steeds niet het continue monitoringrecord dat BOD 26-04-naleving vereist.

BOD 26-04 verandert het operationele gevolg van het equivalentiegat. Patch-tijdlijnen die verplicht zijn voor FCEB-agentschappen worden verplicht voor de cloudservices waarop deze agentschappen vertrouwen. Een agentschap kan niet voldoen aan de patchvereisten van BOD 26-04 als zijn cloudleverancier geen patch-snelheid binnen de vereiste termijnen kan aantonen. Een leverancier die equivalentie claimt, heeft zich niet aan deze termijnen verbonden. Een leverancier met FedRAMP-autorisatie wel – en heeft gedocumenteerd bewijs dat hij de operationele processen onderhoudt om daaraan te voldoen.

Hoe BOD 26-04 de federale inkoop verandert

CISA’s Binding Operational Directives zijn van toepassing op FCEB-agentschappen en creëren operationele verplichtingen die doorwerken in de tech stack van het agentschap. Een FCEB-agentschap dat een BOD 26-04-verplichting ontvangt om een bekende kwetsbaarheid te herstellen, kan dat niet doen op een systeem dat wordt beheerd door een cloudleverancier zonder documentatie van continue monitoring en patchbeheerprocessen.

De CISA Known Exploited Vulnerabilities-catalogus – die de BOD-patch-tijdlijnen aanstuurt – heeft kwetsbaarheden opgenomen in breed ingezette bedrijfssoftware, waaronder bestandsoverdracht– en content collaboration-platforms. In juni 2026 werd een kritieke kwetsbaarheid in SolarWinds Serv-U MFT opgenomen in de KEV-catalogus met bevestigde actieve exploitatie. FCEB-agentschappen die een beveiligde MFT of Kiteworks beveiligde e-mail-platform gebruiken, moeten erop kunnen vertrouwen dat de patchstatus van hun leverancier voldoet aan de door BOD verplichte tijdlijnen.

Voor FedRAMP-geautoriseerde leveranciers is het antwoord gedocumenteerd in hun pakket voor continue monitoring. De audit logs van kwetsbaarheidsscans, patch-inzet en Plans of Action vormen een actueel verslag dat autoriserende functionarissen van het agentschap beoordelen. Voor equivalentie-claimers is het antwoord wat de leverancier kiest te verstrekken als reactie op een vraag van het agentschap.

De inkoopimplicatie is eenvoudig. FedRAMP-naleving – daadwerkelijke autorisatie, geen geclaimde equivalentie – is nu de technisch verdedigbare basis voor FCEB-cloudinkoop in een BOD 26-04-omgeving. Agentschappen die vertrouwden op equivalentieclaims moeten hun cloudserviceportfolio herzien aan de hand van de officiële FedRAMP Marketplace en alle services identificeren die geen officiële autorisatiestatus hebben.

Het operationele risico van niet-geverifieerde equivalentieclaims gaat verder dan patch-tijdlijnen. BOD 26-04 versterkt ook de vereisten voor continue autorisatie – wat betekent dat FCEB-agentschappen moeten zorgen dat hun cloudservices gedurende de hele levenscyclus van de service geautoriseerd blijven, niet alleen bij de initiële inkoop. Een equivalentieclaim bij gunning van het contract heeft geen mechanisme voor herbeoordeling. FedRAMP-autorisatie daarentegen vereist voortdurende leveringen voor continue monitoring. Als de beveiligingsstatus van een FedRAMP-geautoriseerde leverancier verslechtert, zal die verslechtering zichtbaar worden in het continue monitoringrecord. Als de beveiligingsstatus van een equivalentie-claimer verslechtert, heeft het agentschap geen onafhankelijk mechanisme om dat te detecteren.

Federale auditors en Inspectors General zijn begonnen de autorisatiestatus van cloudservices op te nemen in hun beoordelingen van beveiligingsprogramma’s van agentschappen. Bevindingen dat een agentschap kritieke operaties uitvoert op niet-geautoriseerde cloudservices – services die op geen enkele officiële lijst voorkomen en geen verifieerbare toezegging aan federale beveiligingsstandaarden hebben gedaan – creëren auditrisico dat CISOs en autoriserende functionarissen van agentschappen steeds minder bereid zijn te accepteren. De combinatie van auditrisk, BOD-handhaving en de groeiende KEV-catalogus maakt het pleidooi voor geverifieerde FedRAMP-autorisatie aanzienlijk sterker dan twee jaar geleden.

CMMC 2.0-naleving en FedRAMP-autorisatie dienen verschillende raamwerken en klantgroepen – maar delen een gemeenschappelijk principe: onafhankelijke verificatie van beveiligingsmaatregelen is wat een toezegging onderscheidt van een claim. Voor FCEB-agentschappen is FedRAMP-autorisatie die onafhankelijke verificatie. Het is het enige document dat aantoont dat een cloudleverancier aan de federale standaard heeft voldaan, die beoordeling onafhankelijk is getoetst en die status onder voortdurende controle wordt gehandhaafd.

Het continue monitoring-gat

Het meest operationeel significante verschil tussen FedRAMP-autorisatie en geclaimde equivalentie is niet de initiële beoordeling. Het is de infrastructuur voor continue monitoring die autorisatie vereist en die equivalentieclaims volledig overslaan.

De vereisten voor continue monitoring van FedRAMP verplichten geautoriseerde CSP’s om een actueel overzicht te houden van hun implementatie van beveiligingsmaatregelen, kwetsbaarheden te identificeren en te documenteren via regelmatige scans, maandelijkse rapporten voor beoordeling door het agentschap te produceren en hun Plans of Action bij te werken volgens een vastgestelde cadans. Dit creëert een controleerbaar verslag van de beveiligingsstatus van de leverancier in de tijd – niet alleen op het moment van beoordeling.

Voor een FCEB-agentschap dat reageert op een BOD 26-04-verplichting is dat pakket voor continue monitoring het bewijs. Het toont aan dat de patchbeheerprocessen van de cloudleverancier reëel, gedocumenteerd en onder toezicht zijn. Het stelt de autoriserende functionaris van het agentschap in staat te beoordelen of de hersteltermijnverplichtingen van de leverancier geloofwaardig zijn. En het levert de documentatie die federale auditors en Inspectors General verwachten te zien wanneer zij de cloudbeveiligingsstatus van een agentschap onderzoeken.

Equivalentie-claimers hebben geen pakket voor continue monitoring omdat zij geen autorisatie hebben om te onderhouden. Welke beveiligingsdocumentatie zij ook produceren, is intern gegenereerd, door geen enkele onafhankelijke autoriteit beoordeeld en onderhevig aan geen enkele voortdurende verificatie. Dat is een fundamenteel ander risicoprofiel dan geautoriseerde services – en de tijdlijnen van BOD 26-04 maken het verschil concreet.

Het continue monitoring-gat heeft praktische implicaties die verder gaan dan BOD 26-04. Gegevensbeheerverplichtingen, CUI-behandelingsvereisten en ITAR-nalevingraamwerken zijn allemaal afhankelijk van het vermogen van een agentschap om aan te tonen dat de platforms die gevoelige CUI en exportgecontroleerde data verwerken, opereren onder geverifieerde beveiligingsmaatregelen. FedRAMP-autorisatie – met zijn infrastructuur voor continue monitoring – levert dat bewijs. Equivalentieclaims doen dat niet. Wanneer het eigen gegevensbeheerprogramma van een agentschap vereist dat het verantwoording aflegt over waar gevoelige data naartoe gaat en welke beveiligingsmaatregelen daarop van toepassing zijn, voldoet “onze leverancier claimt equivalentie” niet als antwoord. Programma’s voor dataclassificatie die bepalen waar gevoelige overheidsdata zich bevinden, zijn een vereiste om ervoor te zorgen dat FedRAMP-geautoriseerde platforms elke datastroom beheren die dat beschermingsniveau vereist.

De infrastructuur voor continue monitoring ondersteunt ook de zero trust-architectuurvereisten die FCEB-agentschappen implementeren onder de federale zero trust-strategie. Zero trust vereist voortdurende verificatie van apparaat- en gebruikersstatus – wat afhankelijk is van het onderliggende cloudplatform dat up-to-date beveiligingsmaatregelen, gedocumenteerde configuraties en een real-time status onderhoudt die onafhankelijk is gevalideerd. De continue monitoring-architectuur van FedRAMP sluit aan bij zero trust-principes op manieren die een momentopname van een equivalentie-zelfbeoordeling niet kan evenaren.

Kiteworks beschikt over FedRAMP-naleving op het Moderate-niveau – een daadwerkelijke Authorization to Operate, geen geclaimde equivalentie. Kiteworks heeft ook CMMC Level 2-certificering voor het CMMC-traject (DIB-klanten), waarmee een parallel, onafhankelijk geverifieerde beveiligingsstatus wordt geboden voor het aparte DoD-compliance-raamwerk. De FedRAMP Moderate authorization betekent dat Kiteworks de infrastructuur voor continue monitoring, documentatie van patchbeheer en registraties van beoordelingen door derden onderhoudt die BOD 26-04-naleving vereist. FCEB-agentschappen die content exchange-platforms evalueren – beveiligde MFT, Kiteworks beveiligde e-mail en Kiteworks beveiligde bestandsoverdracht – kunnen de autorisatiestatus van Kiteworks direct verifiëren op de FedRAMP Marketplace, niet in marketingmateriaal van de leverancier. De Private Data Network-architectuur die deze mogelijkheden ondersteunt, is dezelfde onafhankelijk geverifieerde infrastructuur die FedRAMP-uitgelijnde toegangscontrole en audit logging levert over elk communicatiekanaal voor content.

Praktische stappen voor FCEB-agentschappen om cloudautorisatie te verifiëren

Het verschil tussen FedRAMP-autorisatie en equivalentieclaims is niet altijd zichtbaar in het materiaal van leveranciers. Inkoopteams die dat gat willen dichten voordat een BOD 26-04-auditbevinding naar voren komt, hebben een eenvoudige reeks verificatiestappen tot hun beschikking.

De eerste stap is een directe Marketplace-lookup. Elke cloudservice met enige officiële FedRAMP-status – Authorized, In Process of Ready – verschijnt op marketplace.fedramp.gov. Agentschappen moeten bevestigen dat het aanbod van de leverancier onder de categorie Authorized valt, niet alleen In Process of Ready, en dat het impactniveau (Low, Moderate of High) overeenkomt met de data die het agentschap wil verwerken. Een leverancier met FedRAMP Moderate authorization is niet goedgekeurd om te opereren op het High-impactniveau. Een leverancier die alleen als In Process verschijnt, heeft nog geen autorisatie die voldoet aan de FedRAMP-vereisten.

De tweede stap is het opvragen van de autorisatiebrief. De autorisatiebrief vermeldt de autoriserende functionaris – ofwel de Joint Authorization Board voor een P-ATO of een benoemde functionaris van het agentschap voor een Agency ATO – en de ingangsdatum. Een leverancier die geen autorisatiebrief van een federale autoriserende functionaris kan overleggen, heeft geen FedRAMP-autorisatie, ongeacht wat hun marketingmateriaal beweert.

De derde stap is het beoordelen van de status van continue monitoring. Voor BOD 26-04-naleving moeten agentschappen specifiek vragen om de meest recente POA&M van de leverancier en hun meest recente samenvatting van kwetsbaarheidsscans. Deze documenten tonen de huidige status van kwetsbaarheidsbeheer van de leverancier – welke openstaande bevindingen er zijn, wat de hersteltermijnen zijn en of de leverancier zich aan die termijnen houdt. Een leverancier die geen actuele POA&M kan overleggen, heeft niet voldaan aan de verplichtingen voor continue monitoring die FedRAMP-autorisatie vereist, wat een ander punt is dan de equivalentiekwestie.

De vierde stap is het bevestigen van de scope van de autorisatie. FedRAMP-autorisaties zijn van toepassing op specifieke systemen en serviceaanbiedingen. Een leverancier met een FedRAMP-geautoriseerd platform die een apart product of dienst aanbiedt buiten de geautoriseerde systeemgrens, heeft zijn autorisatie niet uitgebreid naar dat aanbod. Agentschappen moeten bevestigen dat de specifieke dienst die zij inkopen binnen de geautoriseerde systeemgrens valt zoals gedocumenteerd in het autorisatiepakket van de leverancier.

De vijfde stap is het vastleggen van contractuele verplichtingen voor het onderhoud van continue monitoring. FedRAMP-autorisatie is niet permanent – het vereist voortdurende naleving van verplichtingen voor continue monitoring. Agentschappen moeten contractuele taal opnemen die de leverancier verplicht om gedurende de looptijd van het contract de FedRAMP-autorisatiestatus te behouden, het agentschap te informeren als de autorisatie wordt geschorst of ingetrokken, en leveringen voor continue monitoring te verstrekken aan de autoriserende functionaris van het agentschap volgens het door FedRAMP vereiste schema. Door disciplines voor risicobeheer toeleveringsketen toe te passen op de autorisatiestatus van cloudleveranciers – inclusief periodieke herverificatie tegen de Marketplace – wordt voorkomen dat equivalentie ongemerkt insluipt tijdens de looptijd van het contract.

Deze stappen zijn geen bureaucratische ballast. Ze vormen de operationele basis voor het vermogen van een agentschap om BOD 26-04-naleving aan te tonen wanneer auditors vragen of de cloudservices in de omgeving van het agentschap correct zijn geautoriseerd. Audit logs, records van continue monitoring en autorisatiedocumentatie zijn het bewijs dat die vraag beantwoordt – en FedRAMP-autorisatie is het enige raamwerk dat dat bewijs onder onafhankelijk toezicht oplevert.

Meer weten over hoe FedRAMP Moderate authorization voldoet aan de BOD 26-04-compliancevereisten voor FCEB-agentschappen? Plan vandaag nog een aangepaste demo.

Veelgestelde vragen

Het FedRAMP-programma erkent drie officiële categorieën. FedRAMP Authorized betekent dat een cloudservice een Provisional Authorization to Operate van de Joint Authorization Board (P-ATO) of een Agency Authorization to Operate (ATO) van een federale autoriserende functionaris heeft ontvangen, na een volledige beveiligingsbeoordeling door een geaccrediteerde Third Party Assessment Organization. FedRAMP Ready betekent dat een 3PAO de gereedheid van de leverancier om autorisatie na te streven heeft gevalideerd en dat het FedRAMP PMO heeft bevestigd dat de dienst waarschijnlijk autorisatie zal behalen – het is een marktrijpheidsaanduiding, geen autorisatie. Beide categorieën verschijnen op de officiële FedRAMP Marketplace. “FedRAMP Equivalent” heeft geen officiële status. Het is geen FedRAMP-programma-aanduiding. Het is een marketingclaim van leveranciers die het autorisatieproces niet hebben doorlopen. Leveranciers die equivalentie claimen, hebben geen 3PAO-beoordeling ondergaan, geen autorisatie van een federale functionaris, geen pakket voor continue monitoring en geen status op de FedRAMP Marketplace. Voor FCEB-agentschappen is het onderscheid van belang onder BOD 26-04, omdat de patch-snelheid en documentatie van continue monitoring die BOD-naleving vereist alleen bestaan voor geautoriseerde leveranciers. FedRAMP-naleving voor content exchange-platforms betekent daadwerkelijke autorisatie, verifieerbaar op de Marketplace. FedRAMP Moderate equivalency-claims begrijpen vereist specifiek het besef dat geen enkel alternatief compliance-raamwerk – SOC 2, ISO 27001 of NIST-zelfverklaring – de onafhankelijke beoordeling en continue controlevereisten van het FedRAMP-programma vervangt. Organisaties moeten ook het overzicht van het FedRAMP-programma raadplegen om te begrijpen hoe de autorisatieniveaus aansluiten bij gegevensgevoeligheid en risicotolerantie van het agentschap.

Nee. Binding Operational Directives die door CISA zijn uitgegeven, zijn uitsluitend van toepassing op federale civiele uitvoerende agentschappen. Ze zijn niet van toepassing op DoD-aannemers, DIB-organisaties of entiteiten die onder CMMC vallen. DIB-aannemercompliance wordt geregeld door het DoD en verloopt via 32 CFR Part 170, het CMMC-programma. De relevante patchbeheervereiste voor CMMC 2.0-naleving is NIST 800-171 Rev 2, SI-2, dat organisaties die CUI verwerken verplicht om systeemfouten te identificeren, rapporteren en corrigeren, beveiligingsrelevante software-updates binnen organisatorisch gedefinieerde perioden te installeren en foutherstel op te nemen in het organisatorische configuratiebeheerproces. Het praktische resultaat is vergelijkbaar – tijdig patchen van bekende kwetsbaarheden is vereist onder beide raamwerken – maar de autoriteit, het handhavingsmechanisme en de compliance-documentatie zijn volledig gescheiden. Organisaties moeten geen BOD 26-04-naleving claimen richting DIB/CMMC-klanten en geen BOD 26-04-taal gebruiken in CMMC-beoordelingen. De juiste framing voor DIB-klanten is NIST 800-171 SI-2. Voor ITAR-nalevingvereisten die beide trajecten overlappen, is de relevante autoriteit de International Traffic in Arms Regulations – los van zowel BOD 26-04 als CMMC, hoewel FedRAMP-geautoriseerde platforms die gegevensbeheer bieden over exportgecontroleerde content, zowel FCEB- als ITAR-gereguleerde klanten bedienen.

De Known Exploited Vulnerabilities-catalogus van CISA is de gezaghebbende bron van kwetsbaarheden waarvan CISA heeft bevestigd dat ze actief worden misbruikt. Voor FCEB-agentschappen creëert BOD 26-04 verplichte patch-tijdlijnen gekoppeld aan KEV-catalogusvermeldingen – agentschappen zijn verplicht kwetsbaarheden in de catalogus binnen gespecificeerde termijnen te herstellen. De praktische implicatie voor cloudinkoop is dat een FCEB-agentschap niet aan zijn BOD-patchverplichtingen kan voldoen voor een KEV-cataloguskwetsbaarheid die een cloudplatform treft, tenzij de cloudleverancier patch-inzet binnen diezelfde termijnen kan aantonen. FedRAMP-geautoriseerde leveranciers houden pakketten voor continue monitoring bij – inclusief resultaten van kwetsbaarheidsscans en patch-inzetrecords – die de documentatie leveren die FCEB-agentschappen nodig hebben. Wanneer een kwetsbaarheid in de KEV-catalogus wordt opgenomen, zoals de SolarWinds Serv-U MFT-kwetsbaarheid in juni 2026, kunnen FCEB-agentschappen die beveiligde MFT-platforms gebruiken, de patchstatus van hun leverancier verifiëren via het continue monitoringrecord. De audit logs die FedRAMP-geautoriseerde CSP’s bijhouden, vormen een verifieerbaar verslag van de timing van patch-inzet – wat het bewijs is dat BOD 26-04-naleving vereist. Leveranciers die equivalentie claimen, hebben geen vergelijkbare documentatie. De FedRAMP Marketplace controleren op FedRAMP-nalevingautorisatiestatus voordat een KEV-vermelding de vraag afdwingt, is beter risicobeheer dan wachten tot een BOD-compliancegat bij een audit aan het licht komt. Agentschappen moeten ook bevestigen dat FedRAMP High-autorisatievereisten van toepassing zijn op systemen die gegevens van wetshandhaving, hulpdiensten of andere data met hoge impact verwerken – KEV-patch-tijdlijnen gelden ook op dat niveau.

FCEB-inkoopteams moeten beginnen met een directe lookup op de FedRAMP Marketplace via marketplace.fedramp.gov. De Marketplace vermeldt alle FedRAMP Authorized services (P-ATO en Agency ATO), services In Process en services met de FedRAMP Ready-status. Elke leverancier die FedRAMP-status claimt maar niet in een van deze categorieën op de Marketplace voorkomt, doet een niet-officiële claim die geen waarde heeft in het federale autorisatieproces. Voor geautoriseerde services moeten inkoopteams de autorisatiebrief opvragen, waarin de autoriserende functionaris en de autorisatiedatum staan, en de meest recente samenvatting van continue monitoring, die de huidige status van kwetsbaarheidsbeheer van de leverancier toont. Voor BOD 26-04-naleving moeten teams specifiek vragen om de actuele POA&M van de leverancier en hun meest recente resultaten van kwetsbaarheidsscans, beide zijn leveringen voor continue monitoring die FedRAMP-geautoriseerde leveranciers bijhouden. Content exchange-platforms – Kiteworks beveiligde e-mail, beveiligde MFT, Kiteworks beveiligde bestandsoverdracht – moeten aan dezelfde verificatiestandaard worden gehouden als elke andere cloudservice. Inkoopteams moeten ook bevestigen dat de zero trust-architectuurvereisten die het agentschap implementeert, worden ondersteund door de FedRAMP-geautoriseerde configuratie van het platform, niet alleen door beweringen van de leverancier over zero trust-compatibiliteit. ABAC-implementaties en audit logs moeten worden geverifieerd tegen de FedRAMP-autorisatiescope om te bevestigen dat ze binnen de geautoriseerde systeemgrens vallen. Een System Security Plan-review bevestigt de grensdefinitie en control-implementatie zoals door de leverancier gedocumenteerd.

De autorisatieniveaus van FedRAMP weerspiegelen het impactniveau van de verwerkte data. FedRAMP Low is van toepassing op systemen waarbij verlies van vertrouwelijkheid, integriteit of beschikbaarheid beperkte nadelige gevolgen zou hebben. FedRAMP Moderate authorization is van toepassing op systemen waarbij het effect ernstig zou zijn – waaronder de meeste operationele data van overheidsinstanties, persoonlijk identificeerbare informatie, financiële gegevens en gevoelige maar niet-geclassificeerde informatie. FedRAMP High authorization is van toepassing op systemen waarbij een datalek ernstige of catastrofale gevolgen zou hebben, waaronder systemen die gegevens van wetshandhaving, hulpdiensten en financiële systemen verwerken. De meeste content exchange-platforms die door FCEB-agentschappen worden gebruikt voor het delen van documenten, bestandsoverdracht en communicatie opereren op het Moderate-impactniveau. FedRAMP-naleving op Moderate betekent dat het platform is beoordeeld op de volledige set van 325 controls van het Moderate-baseline door een geaccrediteerde 3PAO, geautoriseerd door een federale functionaris en onderworpen aan continue monitoring op datzelfde niveau. FedRAMP Moderate authorization is de toepasselijke standaard voor beveiligde content exchange-platforms die worden gebruikt in FCEB-omgevingen waar gevoelige maar niet-geclassificeerde informatie, exportgecontroleerde data en operationele records van agentschappen worden verwerkt. Zero trust-architectuurvereisten die agentschappen implementeren onder de bredere federale zero trust-strategie zijn ook afgestemd op de Moderate-control-baseline voor cloudservices. Gegevensbeheerprogramma’s die van agentschappen eisen dat ze gevoelige datastromen verantwoorden, moeten het FedRAMP-impactniveau als drempel gebruiken – data die op Moderate-gevoeligheid wordt verwerkt, vereist een platform dat op het Moderate-niveau of hoger is geautoriseerd, en equivalentieclaims vervangen die autorisatie niet, ongeacht het geclaimde impactniveau.

Aanvullende bronnen

  • Blog Post
    CMMC-naleving voor kleine bedrijven: uitdagingen en oplossingen
  • Blog Post
    CMMC-naleidingsgids voor DIB-leveranciers
  • Blog Post
    CMMC-auditvereisten: wat beoordelaars moeten zien bij het beoordelen van uw CMMC-stappenplan
  • Gids
    CMMC 2.0-nalevingsmapping voor gevoelige contentcommunicatie
  • Blog Post
    De werkelijke kosten van CMMC-naleving: waar defensie-aannemers rekening mee moeten houden in hun budget

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks