Drie termen duiken voortdurend op bij federale cloudinkoop: FedRAMP authorized, FedRAMP compliant en FedRAMP equivalent. Ze klinken uitwisselbaar. Dat zijn ze niet. De ene term heeft federale status, de andere is informeel, en de derde is een marketingterm zonder officiële definitie. Welke van deze op uw cloudleverancier van toepassing is, bepaalt of de compliance-positie van uw organisatie werkelijkheid is of slechts documentatie.

Deze gids legt uit wat FedRAMP inhoudt, hoe autorisatie in de praktijk werkt, wat er is veranderd met de grote herziening van het programma in 2026, en hoe u claims van leveranciers kunt beoordelen — inclusief de “equivalent”-claim, die is uitgegroeid tot het meest bepalende onderscheid in federale cloudinkoop.

FedRAMP-naleving & certificering | Waarom het belangrijk is

Samenvatting

Kernpunt: FedRAMP is het autorisatiekader van de Amerikaanse federale overheid voor cloudbeveiliging. “FedRAMP authorized”, “FedRAMP compliant” en “FedRAMP equivalent” klinken vergelijkbaar, maar hebben fundamenteel verschillend juridisch en operationeel gewicht. Het verschil kennen bepaalt of uw cloudleverancier daadwerkelijk aan uw compliance-eisen voldoet, of dit alleen beweert.

Waarom dit belangrijk is: CMMC 2.0-assessments worden in hoog tempo doorgevoerd. CISA’s Binding Operational Directive 26-04 heeft de handhaving voor federale civiele instanties aangescherpt. En FedRAMP onderging zelf een grote structurele herziening met CR26 in mei 2026. Als uw leverancier spreekt van “FedRAMP equivalent”, moet u precies weten wat dat wel en niet betekent — voordat het als tekortkoming naar voren komt tijdens een assessment.

Belangrijkste inzichten

1. FedRAMP is een federaal autorisatieprogramma voor cloudbeveiliging, geen certificering die u zelf kunt claimen.

Het Federal Risk and Authorization Management Program vereist een onafhankelijke beoordeling door een geaccrediteerde Third Party Assessment Organization (3PAO), gedocumenteerde beveiligingsmaatregelen (controls) en een Authority to Operate (ATO), afgegeven door een federale autoriserende functionaris. De FedRAMP Marketplace hanteert drie officiële statussen: Authorized, In Process en Ready. Dat zijn de enige drie. “Equivalent” komt er niet in voor.

2. “FedRAMP authorized” en “FedRAMP compliant” zijn niet hetzelfde.

Authorized betekent dat een federale autoriserende functionaris een onafhankelijke 3PAO-beoordeling heeft getoetst en een ATO heeft afgegeven — en dat de dienst als Authorized op de FedRAMP Marketplace staat vermeld. Compliant is informele taal zonder federale definitie. Een leverancier die zichzelf “FedRAMP compliant” noemt, kan een autorisatie hebben, maar kan ook simpelweg beweren dat de beveiligingspraktijken lijken op de FedRAMP-eisen. De enige manier om dit te verifiëren, is de Marketplace rechtstreeks te raadplegen.

3. “FedRAMP equivalent” is een marketingterm, geen federale status.

De term heeft geen definitie in NIST 800-53, geen plaats in het FedRAMP-autorisatieproces en geen vermelding op de FedRAMP Marketplace. Een DoD-memo uit januari 2024 verduidelijkte dat zelfs een legitieme equivalentieclaim vereist dat 100% van de FedRAMP Moderate-controls is geïmplementeerd én beoordeeld door een geaccrediteerde 3PAO — een norm waaraan de meeste leveranciers die de term gebruiken, niet voldoen. Wanneer een leverancier equivalentie claimt, wordt het compliance-werk dat zij hebben overgeslagen, uw compliance-tekortkoming.

4. CR26, gelanceerd in mei 2026, herstructureert de autorisatieniveaus van FedRAMP.

De bekende aanduidingen Low/Moderate/High worden vervangen door een systeem met letterklassen. Class C komt overeen met het voormalige Moderate-niveau — het niveau dat de meeste workloads van federale instanties en systemen met Controlled Unclassified Information (CUI) dekt. Class D komt overeen met het voormalige High-niveau. Vereisten worden nu gepubliceerd als machineleesbare MUST/MUST NOT-verklaringen in plaats van in doorlopende tekst, waardoor interpretatieverschillen tussen assessoren en leveranciers verdwijnen.

5. Een FedRAMP authorized-platform gebruiken zorgt voor gedocumenteerde overdracht (inheritance) van controls. Een “equivalent” platform doet dat niet.

Als uw cloudleverancier daadwerkelijk over FedRAMP-autorisatie beschikt, bevestigt uw assessor controls die al door een onafhankelijke federale beoordelaar zijn geverifieerd. Uw compliance-last neemt daardoor merkbaar af. Claimt een leverancier equivalentie, dan is er geen 3PAO-beoordeling om naar te verwijzen, geen toetsing door een instantie en geen Marketplace-vermelding — het compliance-werk dat de leverancier heeft overgeslagen, moet nu door uw team worden gedaan.

Wat FedRAMP is en waarom het bestaat

FedRAMP werd in 2011 opgericht door het Office of Management and Budget, in het kader van het “Cloud First”-beleid van de federale overheid. Het probleem dat het oploste was reëel: elke federale instantie voerde onafhankelijk van elkaar eigen cloudbeveiligingsbeoordelingen uit, met inconsistente resultaten en dubbel werk bij honderden inkoopbeslissingen als gevolg.

Het principe “eenmaal autoriseren, veelvuldig gebruiken” bracht daar verandering in. Een cloudprovider die eenmaal was beoordeeld en geautoriseerd, kon door elke federale instantie worden gebruikt zonder volledige herbeoordeling. Elke clouddienst die federale data opslaat, verwerkt of verzendt, valt onder de reikwijdte van FedRAMP — inclusief diensten die door defensiecontractors worden gebruikt voor de verwerking van Covered Defense Information onder DFARS 252.204-7012.

Hoe FedRAMP-autorisatie in de praktijk werkt

Autorisatie doorloopt vier fasen.

Voorbereiden. De cloudserviceprovider legt zijn beveiligingspositie vast in een System Security Plan (SSP), inventariseert alle systeemcomponenten en brengt de implementatie van beveiligingsmaatregelen in kaart.

Beoordelen. Een geaccrediteerde 3PAO — onafhankelijk van de leverancier en federaal erkend — voert een volledige evaluatie uit van de beveiligingsmaatregelen van de provider, getoetst aan de toepasselijke FedRAMP-baseline. Deze beoordeling resulteert in een Security Assessment Report, waarin bevindingen, tekortkomingen en de resultaten van de controlevalidatie worden vastgelegd.

Autoriseren. Het beoordelingspakket gaat naar een federale autoriserende functionaris, die het beoordeelt en een Authority to Operate afgeeft. Dit is de stap die de autorisatie werkelijkheid maakt — een federale functionaris, niet de leverancier, neemt het besluit.

Monitoren. Autorisatie is geen eenmalige prestatie. Geautoriseerde leveranciers dienen doorlopend maandelijkse kwetsbaarheidsscans, jaarlijkse penetratietestresultaten en openstaande Plans of Action and Milestones (POA&M’s) in bij autoriserende functionarissen. Dit doorlopende monitoringsdossier stelt instanties in staat de beveiligingspositie van een leverancier op elk moment te verifiëren — niet alleen op het moment van de initiële autorisatie.

Eén structureel punt om te weten: de Joint Authorization Board (JAB), die voorheen overheidsbrede Provisional ATO’s afgaf, werd in 2023 opgeschort als onderdeel van de modernisering van FedRAMP. Instantie-specifieke ATO’s vormen nu het primaire autorisatietraject.

De drie termen die er echt toe doen

Dit is het onderscheid dat in de meeste inkoopgesprekken wordt gebagatelliseerd, en precies hier ligt het werkelijke compliance-risico.

FedRAMP Authorized is de enige term met federale status. Dit betekent dat een 3PAO onafhankelijk de beveiligingsmaatregelen van de leverancier heeft gevalideerd, dat een federale autoriserende functionaris de beoordeling heeft getoetst en een ATO heeft afgegeven, en dat de dienst als Authorized op marketplace.fedramp.gov staat vermeld. Continue monitoring is doorlopend, gedocumenteerd en rapporteerbaar. Wanneer een instantie of contractor bewijs nodig heeft van de beveiligingspositie van een leverancier — patchtermijnen, resultaten van kwetsbaarheidsscans, openstaande bevindingen — kan een geautoriseerde leverancier dit leveren.

FedRAMP Compliant is informele taal zonder officiële federale definitie. Sommige leveranciers gebruiken de term om aan te geven dat zij over autorisatie beschikken. Anderen bedoelen ermee dat hun beveiligingsprogramma lijkt op de FedRAMP-eisen. De term zelf zegt niets. Ziet u “compliant”, controleer dan de Marketplace op “authorized”.

FedRAMP Equivalent is een marketingterm die is ontstaan omdat daadwerkelijke FedRAMP-autorisatie duur en tijdrovend is — een volledige Moderate-autorisatie vergt doorgaans 12 tot 24 maanden en enkele miljoenen dollars aan beoordelings-, herstel- en documentatiekosten. Veel leveranciers, met name kleinere partijen zonder toegewijde federale praktijk, vonden het eenvoudiger om hun beveiligingspositie als “equivalent” te omschrijven dan daadwerkelijk autorisatie na te streven. De term heeft geen definitie in NIST 800-53, geen plaats in het FedRAMP-autorisatieproces en geen vermelding op de Marketplace.

Een DoD-memo uit januari 2024 pakte dit rechtstreeks aan. Daarin werd verduidelijkt dat zelfs een legitieme equivalentieclaim — een claim die aan DFARS 7012 zou voldoen — vereist dat een cloudserviceprovider 100% van de huidige FedRAMP Moderate-beveiligingsmaatregelen implementeert, zich laat beoordelen door een door FedRAMP erkende 3PAO, en een volledig bewijsdossier aanlevert, inclusief SSP, SAP, SAR en POA&M. Het behalen van échte equivalentie volgens die norm is vaak gecompliceerder dan het verkrijgen van daadwerkelijke FedRAMP Moderate-autorisatie, omdat equivalentie geen gestandaardiseerd proces kent en maatwerkbeoordeling vereist. De meeste leveranciers die de term gebruiken, voldoen aan geen van deze eisen.

Het praktische gevolg: wanneer een leverancier equivalentie claimt in plaats van daadwerkelijke autorisatie te bezitten, wordt het compliance-werk dat zij hebben overgeslagen, uw compliance-werk. Er is geen 3PAO-beoordeling om naar te verwijzen, geen toetsing door een instantie, geen PMO-acceptatie en geen Marketplace-vermelding. Wat er wél is, is een whitepaper van de leverancier die stelt dat hun controls waarschijnlijk vergelijkbaar zijn met de FedRAMP Moderate-baseline. Dat woord — waarschijnlijk — moet ineens heel veel dragen in uw compliance-positie zodra een C3PAO-assessor in de kamer zit.

Voor een diepgaandere blik op hoe dit zich uitwerkt in CMMC-assessments en onder BOD 26-04, zie FedRAMP Equivalent vs. Authorized: What’s at Stake en Why Empty Claims of FedRAMP Equivalency Put CMMC Compliance at Risk.

Wat CR26 in 2026 heeft veranderd aan FedRAMP

FedRAMP lanceerde Consolidated Rules 2026 (CR26) op 4 mei 2026 in publieke preview, met de definitieve release gepland voor eind juni. Het is de belangrijkste structurele wijziging van het programma sinds de oprichting.

De meest ingrijpende verandering zit in de manier waarop eisen worden geformuleerd. FedRAMP was altijd al gebaseerd op vereisten, maar die stonden in Word-bestanden, pdf’s en spreadsheets die door assessoren en leveranciers verschillend werden geïnterpreteerd — met inconsistenties tussen beoordelingen en langere doorlooptijden voor autorisatie tot gevolg. CR26 vervangt die lopende tekst door declaratieve MUST/MUST NOT-verklaringen, gepubliceerd als gestructureerde, machineleesbare data op GitHub. Vereisten zijn nu versiebeheerd en doorzoekbaar; assessoren en leveranciers kunnen niet langer van mening verschillen over de betekenis ervan.

Ook de niveaustructuur verandert. Low/Moderate/High wordt vervangen door Class A tot en met D. Class C is het relevante niveau voor de meeste federale cloudimplementaties — het komt overeen met het voormalige Moderate-niveau en dekt de meerderheid van de systemen die CUI verwerken en workloads van civiele instanties. Class D komt overeen met het voormalige High-niveau. De structuur is cumulatief: elke klasse omvat alle controls van de voorgaande klasse, plus aanvullende eisen.

Voor organisaties met een bestaande FedRAMP Moderate-autorisatie veranderen de controls niet fundamenteel — de opgave is het mappen van de huidige SSP-documentatie naar de Class C-structuur. Voor organisaties die leveranciers beoordelen, is “Class C authorized” de equivalente uitspraak van wat voorheen “FedRAMP Moderate Authorized” heette.

Eén implicatie is het vermelden waard: de term “FedRAMP equivalent” wordt onder CR26 nóg betekenislozer. Het klassensysteem kent geen equivalentietraject. De Marketplace blijft alleen Authorized, In Process en Ready vermelden — en verder niets.

Voor volledige details over CR26 en de betekenis ervan voor uw autorisatietraject, zie FedRAMP CR26: What It Actually Means for Your Authorization.

Wat de FedRAMP-autorisatieniveaus betekenen voor uw organisatie

Het juiste autorisatieniveau hangt af van de gevoeligheid van de betrokken data en de impact die een datalek zou hebben.

FedRAMP Moderate (Class C) dekt de meerderheid van de federale cloudtoepassingen — ruwweg 80% — met gevoelige maar niet-gerubriceerde data waarbij een datalek ernstige schade zou veroorzaken. Dit omvat CUI, reguliere dossiers van instanties, persoonsgegevens (PII) en de meeste systemen voor contractors die supply chain-data, technische tekeningen en inkoopinformatie verwerken. Het is tevens het autorisatieniveau dat DFARS 252.204-7012 vereist voor clouddiensten die Covered Defense Information verwerken, en de baseline waarop CMMC 2.0 voor defensiecontractors voortbouwt.

FedRAMP High (Class D) is gereserveerd voor de meest gevoelige niet-gerubriceerde data van de overheid — systemen waarbij een compromittering kan leiden tot verlies van mensenlevens, bedreigingen voor de nationale veiligheid of catastrofale schade. Dit omvat hulpdiensten, inlichtingeninformatie voor wetshandhaving, ITAR-gereguleerde wapenspecificaties en financiële systemen op nationaal niveau.

Specifiek voor defensiecontractors geldt: DFARS 252.204-7012 vereist dat elke clouddienst die Covered Defense Information verwerkt, voldoet aan de FedRAMP Moderate-eisen. CMMC 2.0 breidt dit uit met een verplichte beoordeling door derden. Het gebruik van een leverancier met ongeverifieerde equivalentieclaims creëert een compliance-tekortkoming die tijdens de C3PAO-beoordeling aan het licht komt — en onder het Civil Cyber Fraud Initiative van het DoD brengen onjuiste voorstellingen van cybersecurity risico’s op grond van de False Claims Act met zich mee.

Voor gereguleerde organisaties in de private sector — zoals zorg, financiële dienstverlening en de juridische sector — is FedRAMP Moderate uitgegroeid tot een feitelijke beveiligingsbenchmark, ook zonder federale verplichting. Het regime van onafhankelijke beoordeling en continue monitoring biedt een mate van zekerheid die geen zelfverklaring kan evenaren.

Hoe u de FedRAMP-status van een leverancier verifieert

Drie stappen, in volgorde.

Controleer de Marketplace rechtstreeks. Ga naar marketplace.fedramp.gov. Zoek de leverancier op. Authorized, In Process en Ready zijn de enige drie categorieën die bestaan. Staat de dienst van de leverancier niet onder Authorized vermeld, dan is deze niet FedRAMP authorized — ongeacht wat het marketingmateriaal beweert.

Controleer het specifieke dienstenaanbod, niet alleen de bedrijfsnaam. Een leverancier kan voor de ene dienst wel autorisatie hebben en voor een andere niet. De Marketplace-vermelding specificeert het exacte cloud service offering, het autorisatieniveau, de autoriserende instantie en de datum van autorisatie. Ga na of de dienst die u beoordeelt, ook daadwerkelijk de vermelde dienst is.

Vraag om de beoordelingsdocumentatie. Een geautoriseerde leverancier kan het Security Assessment Report, het actuele System Security Plan en het continue-monitoringpakket overleggen. Een partij die equivalentie claimt, kan dat doorgaans niet. Aarzelt een leverancier om documentatie te verstrekken die een 3PAO-beoordeling zou hebben opgeleverd, dan zegt die aarzeling genoeg.

Hoe Kiteworks omgaat met FedRAMP

Kiteworks beschikt over FedRAMP Moderate Authorization — onafhankelijk beoordeeld door Coalfire en sinds juni 2017 continu gemonitord — en heeft sinds februari 2025 de status FedRAMP High In Process behaald voor de Secure Gov Cloud.

De Moderate-autorisatie omvat 325 controls uit NIST SP 800-53 Rev. 5, gericht op CUI en data met een gemiddeld risico, over alle uitwisselingskanalen van Kiteworks heen: secure e-mail, secure file sharing, managed file transfer, SFTP en secure data forms. De Secure Gov Cloud High In Process omvat 421 controls, gericht op zeer gevoelige en kritieke data — hulpdiensten, wetshandhaving en ITAR-gereguleerde defensiecommunicatie.

Belangrijke onderscheidende factoren, los van het autorisatieniveau zelf: Kiteworks ondergaat jaarlijks een grondige audit van 300+ controls om de autorisatie te behouden. FIPS 140-3-gevalideerde versleuteling wordt toegepast op alle data, zowel in rust als onderweg. Doordat klanten hun eigen versleutelingssleutels beheren, is Kiteworks technisch niet in staat klantdata te ontsleutelen. En voor organisaties op het CMMC-traject verkleint de overdracht (inheritance) van FedRAMP Moderate-controls de reikwijdte van de C3PAO-beoordeling — ongeverifieerde leverandersclaims worden vervangen door onafhankelijk gedocumenteerd bewijs.

Bij Kiteworks is autorisatie geen eenmalige mijlpaal. Maandelijkse kwetsbaarheidsscans, continue monitoring en doorlopende certificering van medewerkers vormen de operationele norm, geen uitzondering. Dit doorlopende dossier is waar instanties en contractors naar kunnen verwijzen wanneer zij de beveiligingspositie van hun cloudleverancier moeten aantonen — niet alleen op het moment van inkoop, maar op elk moment tijdens het contract.

Wilt u weten hoe de FedRAMP-autorisatie van Kiteworks aansluit op uw specifieke compliance-eisen? Bezoek de Kiteworks FedRAMP Authorization-pagina of plan een demo op maat.

Veelgestelde vragen

FedRAMP authorized heeft een specifieke federale definitie: een 3PAO heeft de clouddienst onafhankelijk beoordeeld, een federale autoriserende functionaris heeft de beoordeling getoetst en een Authority to Operate afgegeven, en de dienst staat als Authorized op de FedRAMP Marketplace vermeld. FedRAMP compliant is informele taal zonder officiële federale definitie. Een leverancier die zichzelf “FedRAMP compliant” noemt, kan over autorisatie beschikken, maar kan ook simpelweg beweren dat de beveiligingspraktijken aansluiten bij de FedRAMP-eisen. De enige manier om dit te bevestigen, is marketplace.fedramp.gov te controleren op de status Authorized. Staat de dienst daar niet vermeld, dan is de leverancier niet FedRAMP authorized, ongeacht welke bewoordingen worden gebruikt.

“FedRAMP equivalent” is een marketingterm zonder enige status in het federale autorisatieproces. De term heeft geen definitie in NIST 800-53, geen plaats in het FedRAMP-autorisatieproces en geen vermelding op de FedRAMP Marketplace. De term is ontstaan omdat het verkrijgen van daadwerkelijke FedRAMP Moderate-autorisatie doorgaans 12 tot 24 maanden en enkele miljoenen dollars kost — een drempel die veel kleinere leveranciers liever omzeilden door hun beveiligingspositie als “equivalent” te omschrijven. Een DoD-memo uit januari 2024 verduidelijkte dat zelfs een legitieme equivalentieclaim onder DFARS 7012 vereist dat 100% van de FedRAMP Moderate-controls is geïmplementeerd én beoordeeld door een door FedRAMP erkende 3PAO — een lat die de meeste leveranciers die de term gebruiken, niet halen. Voor defensiecontractors die een ongeverifieerd “equivalent” platform gebruiken voor de verwerking van CUI, komt de compliance-tekortkoming tijdens de C3PAO-beoordeling aan het licht. Zie FedRAMP Moderate Equivalency: Overview, Requirements and Limitations voor een volledig overzicht.

De Consolidated Rules 2026 (CR26) van FedRAMP, gelanceerd in mei 2026, verving de niveaustructuur Low/Moderate/High door een systeem met letterklassen: Class A tot en met Class D. Class C is het relevante niveau voor de meeste federale cloudimplementaties en komt overeen met het voormalige Moderate-niveau. Class D komt overeen met het voormalige High-niveau. CR26 verving ook de compliance-documentatie in lopende tekst door machineleesbare MUST/MUST NOT-vereisten, gepubliceerd op GitHub, waarmee interpretatieverschillen tussen assessoren en leveranciers worden weggenomen. Voor organisaties met een bestaande Moderate-autorisatie veranderen de onderliggende controls niet wezenlijk — de opgave is het mappen van de huidige documentatie naar de Class C-structuur. Zie voor meer details FedRAMP CR26: What It Actually Means for Your Authorization.

Defensiecontractors hoeven niet zelf FedRAMP-autorisatie te verkrijgen, maar DFARS 252.204-7012 vereist dat elke clouddienst die zij gebruiken om Covered Defense Information op te slaan, te verwerken of te verzenden, voldoet aan de FedRAMP Moderate-eisen — hetzij via daadwerkelijke FedRAMP Moderate-autorisatie, hetzij via échte equivalentie zoals gedefinieerd in het DoD-memo van januari 2024. CMMC 2.0 bouwt voort op deze eis en voegt een verplichte beoordeling door derden via C3PAO’s toe. Het gebruik van een FedRAMP Moderate authorized-platform is de schonere route: onafhankelijk gevalideerde controls worden via gedocumenteerde inheritance overgedragen aan uw compliance-programma, waardoor de reikwijdte van de C3PAO-beoordeling kleiner wordt. Het gebruik van een ongeverifieerd “equivalent” platform creëert een tekortkoming die assessoren zullen ontdekken. Zie Kiteworks CMMC compliance voor meer informatie over hoe autorisatie-inheritance in de praktijk werkt.

Ga naar marketplace.fedramp.gov en zoek de dienst van de leverancier op. De Marketplace hanteert drie officiële categorieën — Authorized, In Process en Ready. Authorized is de enige status die betekent dat een federale autoriserende functionaris een ATO heeft afgegeven. Controleer of het specifieke dienstenaanbod dat u beoordeelt, ook daadwerkelijk de vermelde dienst is, en niet alleen de bedrijfsnaam. Vraag de leverancier vervolgens om het Security Assessment Report en het actuele System Security Plan — een geautoriseerde leverancier kan beide leveren. Kan of wil een leverancier geen 3PAO-beoordelingsdocumentatie verstrekken, dan is dat een signaal dat serieus moet worden genomen.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Share
Tweet
Share
Explore Kiteworks