Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > CPCSC-certificering: Zijn Canadese defensieleveranciers klaar voor 2026?
CPCSC-certificering: Zijn Canadese defensieleveranciers klaar voor 2026?

CPCSC-certificering: Zijn Canadese defensieleveranciers klaar voor 2026?

by Fraser Hudgin updated april 22, 2026 Wettelijke naleving
Reading Time: 9 minutes

Op 14 april 2026 introduceerde de Canadese overheid officieel Level 1 van het Canadian Program for Cyber Security Certification (CPCSC), de eerste verplichte cyberbeveiligingscertificering van het land voor defensieleveranciers. Aangekondigd door de geachte Joël Lightbound, Minister van Overheidsvernieuwing, Openbare Werken en Inkoop, wordt Level 1 vanaf de zomer van 2026 verplicht in geselecteerde defensiecontracten.

Belangrijkste punten

  1. CPCSC is een contractdrempel, nu van kracht. Canada’s verplichte cyberbeveiligingscertificering voor defensieleveranciers lanceerde Level 1 op 14 april 2026, waarbij Level 2-beoordelingen door derden in de zomer van 2026 in contracten worden opgenomen. Geen certificering betekent geen contractgeschiktheid.
  2. De onderliggende standaard is technisch identiek aan NIST SP 800-171. ITSP.10.171, ontwikkeld door het Canadian Centre for Cyber Security, past dezelfde controls toe die ook de basis vormen voor de Amerikaanse CMMC — wat betekent dat elke Amerikaanse readiness-studie direct toepasbaar is op Canadese leveranciers.
  3. Slechts 46% van de defensie-aannemers acht zichzelf voorbereid. Amerikaanse DIB-data toont aan dat 57% geen gap-analyse heeft uitgevoerd, 62% onvoldoende governance-controls heeft en slechts 1% zich volledig audit-ready voelt. Canadese leveranciers staan voor dezelfde controls met minder voorbereidingstijd.
  4. Governance — niet encryptie — is waar organisaties falen. Technische controls krijgen het budget. Maar gedocumenteerd beleid, afgedwongen procedures en functiescheiding zijn de zwakste domeinen en worden door beoordelaars het strengst onderzocht.
  5. Canadese leveranciers krijgen te maken met een soevereiniteitsdimensie die de VS niet oplegt. Gespecificeerde informatie moet onder Canadese rechtsbevoegdheid blijven en 40% van de Canadese organisaties noemt wijzigingen in Amerikaanse data sharing als hun grootste nalevingszorg. Architectuur, niet contracten, lost dit op.

CPCSC is opgebouwd uit drie certificeringsniveaus. Level 1 vereist jaarlijkse zelfevaluatie op 13 basiscontrols. Level 2 vereist beoordeling door een geaccrediteerd certificeringsorgaan op 98 controls. Level 3 vereist beoordeling door National Defence op 200 controls. De overheid heeft zich gecommitteerd aan een gefaseerde uitrol — maar de richting is duidelijk: Certificering wordt verplicht bij gunning van het contract en het aantal contracten dat dit vereist zal gestaag toenemen.

De standaard onder CPCSC is ITSP.10.171, een Canadese bewerking van NIST SP 800-171, ontwikkeld door het Canadian Centre for Cyber Security. De overheid was expliciet: Er zijn geen wezenlijke technische verschillen tussen de twee standaarden. De aanpassingen weerspiegelen het Canadese regelgevingslandschap — andere terminologie (“gespecificeerde informatie” in plaats van “controlled unclassified information”), andere toezichthouders (Treasury Board Secretariat-beleid) en andere privacykaders (PIPEDA). De controls zelf zijn identiek.

Deze afstemming is bewust gekozen. CPCSC is ontworpen voor interoperabiliteit met Five Eyes-partners, met name de Verenigde Staten, waar het equivalente CMMC-programma certificering vereist op basis van dezelfde NIST 800-171 controls voor Department of War-contracten.

De Amerikaanse CMMC Readiness-crisis — en wat dit betekent voor Canadese leveranciers

Omdat ITSP.10.171 en NIST SP 800-171 technisch gelijkwaardig zijn, is de Amerikaanse readiness-data van de Defence Industrial Base de beste beschikbare graadmeter voor Canadese paraatheid. Die data zou elke CISO en compliance officer in de Canadese defensieketen zorgen moeten baren.

Uit een enquête van Kiteworks en Coalfire onder 209 DIB-organisaties blijkt dat slechts 46% zichzelf voorbereid acht op CMMC Level 2-certificering — hetzelfde control-bereik als CPCSC Level 2. Zevenenvijftig procent heeft geen NIST 800-171 gap-analyse uitgevoerd, de basisstap voor certificeringsparaatheid. Een afzonderlijk Kiteworks-onderzoek onder 104 organisaties die CMMC nastreven, toont aan dat 62% onvoldoende governance-controls heeft, zelfs nu de encryptiepositie verbetert.

CyberSheath’s 2025 State of the Defense Industrial Base-rapport leverde het meest opvallende cijfer: Slechts 1% van de aannemers voelt zich volledig voorbereid op CMMC-audits, met een gemiddelde zelfevaluatiescore van 60 tegenover de vereiste 110.

Canadese leveranciers staan voor dezelfde 98 controls met minder beschikbare beoordelingsmiddelen en een kortere tijdslijn. De Standards Council of Canada is nog bezig het ecosysteem van geaccrediteerde Third-Party Assessment Organizations op te bouwen. Het venster tussen “certificering is beschikbaar” en “certificering is vereist” wordt in maanden gemeten, niet in jaren.

De gap-analyse is de sterkste voorspeller van certificeringssucces

De Amerikaanse data laat een patroon zien dat de strategie van elke Canadese leverancier zou moeten bepalen: Organisaties die een gestructureerde gap-analyse hebben uitgevoerd, tonen aanzienlijk meer volwassenheid op elk controldomein.

Onder organisaties met afgeronde gap-analyses volgt 77% gedocumenteerde encryptie-beste practices met verificatie — tegenover 42% zonder. Drieënzeventig procent heeft volledig gedocumenteerd cyberbeveiligingsbeleid, tegenover 28%. Eenenzeventig procent heeft gedetailleerde POA&M’s, tegenover 33%. En 62% werkt met ervaren partners, tegenover 21% bij organisaties die nog niet zijn begonnen, volgens het Kiteworks/Coalfire-onderzoek.

Dit is geen marginaal verschil. Organisaties die een gap-analyse uitvoeren, hebben twee tot drie keer meer kans om de documentatie, technische controls en herstelplannen te hebben die geaccrediteerde certificeringsorganen vereisen. De gap-analyse is geen bureaucratische oefening — het is de actie die organisaties die slagen onderscheidt van organisaties die falen.

De implicatie voor Canadese defensieleveranciers is duidelijk: Start nu met de ITSP.10.171 gap-analyse, voordat Level 2-contracten verschijnen. Elke maand vertraging verkleint het herstelvenster.

Governance is het zwakste domein — niet encryptie

De meest onverwachte bevinding uit de CMMC readiness-data is dat technische controls niet de belangrijkste faalfactor zijn. Encryptiepositie verbetert. Multi-factor authentication wordt steeds vaker toegepast. Firewall- en inbraakdetectie-inzet worden volwassener.

Governance is waar organisaties falen.

Het 62% governance-faalpercentage uit het Kiteworks CMMC-onderzoek weerspiegelt een managementprobleem, geen technologisch probleem. Gedocumenteerd beleid, afgedwongen procedures, regelmatige beoordelingen, functiescheiding en continue monitoring vereisen blijvende organisatorische inzet die geen enkel product kan vervangen. ITSP.10.171’s 17 requirement-families gaan veel verder dan technologie en omvatten planning (03.15), personeelsbeveiliging (03.09), risicobeoordeling (03.11) en risicobeheer toeleveringsketen (03.17).

Het geaccrediteerde certificeringsorgaan dat arriveert voor een CPCSC Level 2-beoordeling kijkt niet of de organisatie de juiste tools heeft aangeschaft. Ze kijken of die tools werken binnen een bestuurd, gedocumenteerd en continu gemonitord raamwerk. Het 2026 Thales Data Threat Report toont aan dat slechts 33% van de organisaties volledig weet waar hun data is opgeslagen. Zonder te weten waar gespecificeerde informatie zich bevindt, is governance onmogelijk — ongeacht welke encryptie- of toegangscontrols zijn ingezet.

De audittrail: waar CPCSC-beoordelingen worden gewonnen of verloren

ITSP.10.171 wijdt een volledige requirement-familie — Audit and Accountability (03.03) — aan event logging, inhoud van auditrecords, tijdstempels, bescherming van auditinformatie en beoordeling van auditrecords. Acht controls, die allemaal operationeel bewijs vereisen.

De meeste defensieleveranciers wisselen gespecificeerde informatie uit via diverse kanalen: beveiligde e-mail, bestandsoverdracht, SFTP, beheerde bestandsoverdracht, webformulieren. Elk kanaal draait doorgaans op een ander platform met een eigen logging-systeem, eigen toegangscontrols en eigen bewaarbeleid. Wanneer een beoordelaar vraagt om de volledige geschiedenis van een bestand, moet de leverancier logs uit vijf of zes verschillende systemen samenvoegen. Timestamps gebruiken verschillende formaten. Gebruikers-ID’s komen niet overeen. Sommige systemen beperken logs bij hoge activiteit of vertragen entries met uren.

Het 2026 Black Kite Third-Party Breach Report documenteerde een mediane meldingsvertraging van 73 dagen voor derde partij-datalekken — een cijfer dat een breder patroon van gefragmenteerd inzicht in datastromen weerspiegelt. Het 2026 DTEX/Ponemon Insider Threat Report voegt daar nog een laag aan toe: Shadow AI is nu de belangrijkste oorzaak van nalatige insider-incidenten, waarbij 92% van de organisaties aangeeft dat generatieve AI de manier waarop medewerkers informatie delen heeft veranderd, maar slechts 13% AI integreert in hun beveiligingsstrategie. AI-agenten die toegang hebben tot gespecificeerde informatie creëren auditgaten die traditionele logging-infrastructuur niet opvangt.

Organisaties die hun data-uitwisseling onderbrengen in één logging-architectuur — waarbij elke toegang, overdracht en beleidsbeslissing in real-time wordt vastgelegd met manipulatiebestendige integriteit — leveren het bewijs dat certificeringsorganen vereisen. Organisaties met gefragmenteerde auditinfrastructuur ontdekken het gat pas tijdens de beoordeling, wanneer het te laat is voor herstel.

De Canadese soevereiniteitsdimensie: architectuur, geen contracten

Canadese defensieleveranciers krijgen te maken met een dimensie die het Amerikaanse CMMC-programma niet kent: datasoevereiniteit. ITSP.10.171 beschermt “gespecificeerde informatie” — alle data die een Canadese overheidsinstantie in een contract aanwijst als te beschermen. Deze informatie moet onder Canadese rechtsbevoegdheid blijven.

De Kiteworks 2026 Data Security and Compliance Risk Forecast — Canada toont dat 40% van de Canadese respondenten wijzigingen in data sharing tussen Canada en de VS als hun grootste nalevingszorg zien, en 21% noemt de Amerikaanse CLOUD Act als direct soevereiniteitsrisico. Drieëntwintig procent van de Canadese organisaties migreert actief weg van Amerikaanse cloudproviders.

Dit is geen hypothetisch risico. Als gespecificeerde informatie zich bevindt op een Amerikaanse multi-tenant cloudservice, kan die data onderhevig zijn aan Amerikaanse overheidsverzoeken tot toegang, ongeacht de fysieke locatie. Geen enkele contractuele clausule dicht dit gat. Soevereiniteit vereist architectuur: inzetkeuzes die gespecificeerde informatie binnen Canadese rechtsbevoegdheid houden, encryptiesleutelbeheer dat derden uitsluit van ontsleuteling, en toegangscontrols die grenzen op infrastructuurniveau afdwingen.

Defensieleveranciers die hun data-uitwisselingsinfrastructuur evalueren voor CPCSC-certificering moeten zichzelf één vraag stellen: Kan een buitenlandse overheid toegang afdwingen tot onze gespecificeerde informatie? Als het antwoord iets anders is dan “nee, omdat de architectuur het technisch onmogelijk maakt”, is niet voldaan aan de soevereiniteitseis.

Hoe Kiteworks CPCSC-certificering ondersteunt over ITSP.10.171 control-families

Kiteworks pakt de CPCSC-uitdaging aan door beveiligde e-mail, bestandsoverdracht, beheerde bestandsoverdracht, SFTP, webformulieren, API’s en AI-integraties te consolideren onder één governance-architectuur — één policy engine, één auditlog, één beveiligingsstatus over elk kanaal waar gespecificeerde informatie beweegt. Van de 98 ITSP.10.171 Level 2-controls dekt Kiteworks er 46 volledig en 31 gedeeltelijk, met technische implementatie op de control-families waar defensieleveranciers het vaakst falen.

De Kiteworks Data Policy Engine handhaaft zowel rolgebaseerde (RBAC) als op attributen gebaseerde (ABAC) toegangscontrole over elk data-uitwisselingskanaal, waarmee direct de families access control en identification and authentication worden afgedekt. Zero-throttle auditlogging legt elk event real-time vast met manipulatiebestendige integriteit — volledige dekking van alle acht Audit and Accountability-controls. FIPS 140-3 gevalideerde AES-256 dubbele encryptie met klantbeheerde sleutels dekt vertrouwelijkheidseisen voor transmissie en opslag. Een hardened virtual appliance met ingebouwde firewall, WAF en inbraakdetectie levert systeem- en communicatiebeveiliging als productfunctionaliteit.

Voor de soevereiniteitseis biedt Kiteworks on-premises, private cloud in Canadese datacenters of hybride inzet met single-tenant isolatie. Klantbeheerde encryptiesleutels betekenen dat noch Kiteworks, noch enige overheid gespecificeerde informatie kan ontsleutelen. Dezelfde inzet ondersteunt zowel CPCSC- als CMMC-certificering — Kiteworks is FedRAMP Authorized met vooraf in kaart gebrachte NIST 800-171 controls en levert CMMC 2.0 compliance-rapporten die alle 110 praktijken dekken.

Wat Canadese defensieleveranciers de komende 90 dagen moeten doen

Ten eerste, rond direct een ITSP.10.171 gap-analyse af. Elk datapunt uit de Amerikaanse CMMC-ervaring toont aan dat dit de sterkste voorspeller is van certificeringssucces. Organisaties met afgeronde gap-analyses hebben 2–3x meer kans op gedocumenteerd beleid, encryptiestandaarden en herstelplannen.

Ten tweede, pak governance aan vóór technologie. Documenteer uw beleid. Formaliseer procedures. Wijs rollen en beoordelingsfrequenties toe. Het 62% governance-faalpercentage in de Amerikaanse defensie-industrie is geen technologisch probleem — het is een organisatorisch disciplineprobleem dat certificeringsorganen direct zullen signaleren.

Ten derde, verenig uw data-uitwisselingskanalen. Gefragmenteerde tools leveren gefragmenteerd auditevidence op. Als uw gespecificeerde informatie via e-mail, bestandsoverdracht, SFTP en MFT op aparte platforms beweegt, bevat uw audittrail gaten die het certificeringsorgaan zal vinden. Consolideer onder één bestuurde architectuur.

Ten vierde, los de soevereiniteitsvraag architectonisch op. Als gespecificeerde informatie toegankelijk is van buiten Canadese rechtsbevoegdheid — inclusief via CLOUD Act-verzoeken aan een Amerikaanse cloudprovider — loopt u een certificeringsrisico dat geen beleidsdocument oplost. Zet in op Canadese infrastructuur met encryptiesleutelbeheer onder eigen controle.

Ten vijfde, plan voor dual-framework certificering. Als u naast Canadese defensie ook op Amerikaanse DoW-contracten biedt, betekent de gelijkwaardigheid van ITSP.10.171 en NIST SP 800-171 dat één investering beide CPCSC en CMMC dient. Controls tweemaal implementeren voor technisch identieke standaarden verspilt middelen die Canadese leveranciers zich niet kunnen permitteren.

De organisaties die in de komende 90 dagen handelen, zijn klaar als Level 2-contracten verschijnen. Wie wacht, ondervindt wat Amerikaanse defensie-aannemers al hebben geleerd: De certificeringstijdlijn is altijd korter dan verwacht.

Veelgestelde vragen

Het Canadian Program for Cyber Security Certification (CPCSC) is Canada’s verplichte cyberbeveiligingscertificering voor defensieleveranciers die gevoelige, niet-geclassificeerde overheidsinformatie verwerken. Level 1, dat zelfevaluatie op 13 controls vereist, werd geïntroduceerd op 14 april 2026 en wordt vanaf zomer 2026 verplicht in geselecteerde defensiecontracten. Level 2, met beoordeling door derden op 98 controls, wordt na Level 1 in geselecteerde contracten opgenomen. Level 3 (200 controls, beoordeeld door National Defence) volgt in 2027. Certificering is een contractdrempel — leveranciers die niet op het vereiste niveau kunnen certificeren, worden uitgesloten van aanbestedingen.

ITSP.10.171 is de Canadese industriële cyberbeveiligingsstandaard, ontwikkeld door het Canadian Centre for Cyber Security. Het is een directe bewerking van NIST SP 800-171 zonder wezenlijke technische aanpassingen — alleen wijzigingen die het Canadese regelgevingslandschap weerspiegelen (andere terminologie, toezichthouders en privacykaders). Omdat CMMC Level 2 ook NIST SP 800-171-naleving vereist, voldoen organisaties die gecertificeerd zijn op CPCSC Level 2 grotendeels aan de control-vereiste voor CMMC, waardoor dual-framework certificering mogelijk is vanuit één control-implementatie.

Er bestaat nog geen grootschalig Canadees readiness-onderzoek, maar de Amerikaanse data van het identieke NIST SP 800-171 control-set is direct toepasbaar. De Kiteworks/Coalfire-enquête toont dat slechts 46% zichzelf voorbereid acht, 57% geen gap-analyse heeft uitgevoerd en een afzonderlijk Kiteworks governance-onderzoek toont dat 62% onvoldoende governance-controls heeft. CyberSheath vond dat slechts 1% zich volledig audit-ready voelt. Canadese leveranciers staan voor dezelfde controls met minder beschikbare beoordelingsmiddelen.

ITSP.10.171 beschermt “gespecificeerde informatie” die onder Canadese rechtsbevoegdheid moet blijven. Defensieleveranciers die gebruikmaken van Amerikaanse cloudservices lopen een soevereiniteitsrisico omdat die data onderhevig kan zijn aan Amerikaanse CLOUD Act-toegangsverzoeken, ongeacht de fysieke locatie. De Kiteworks 2026 Canada Forecast toont dat 40% van de Canadese respondenten wijzigingen in Amerikaanse data sharing als grootste zorg noemt en 21% de CLOUD Act direct aanstipt. Voldoen aan deze eis vereist architectuurniveau-controls — Canadese inzet, encryptiesleutelbeheer en geofencing — geen contractuele garanties.

De Kiteworks Guide to CPCSC biedt een volledige mapping van alle 98 ITSP.10.171 Level 2-controls naar de mogelijkheden van het Kiteworks-platform, met dekkingsniveaus (Volledig Gedekt, Gedeeltelijk Gedekt, Niet Gedekt), specifieke productfeatures en implementatie-opmerkingen per control. Download de Kiteworks Guide to CPCSC om uw gap-analyse te versnellen en te zien waar vooraf in kaart gebrachte controls uw certificeringstijdlijn kunnen verkorten.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks