Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > FedRAMP CR26 is zojuist gepubliceerd als openbare preview — Dit betekent het echt voor jouw autorisatie
FedRAMP CR26 is zojuist gepubliceerd als openbare preview — Dit betekent het echt voor jouw autorisatie

FedRAMP CR26 is zojuist gepubliceerd als openbare preview — Dit betekent het echt voor jouw autorisatie

by Danielle Barbour updated juni 5, 2026 Wettelijke naleving
Reading Time: 6 minutes

FedRAMP is op 4 mei 2026 gewijzigd. Het programma heeft CR26, Consolidated Rules 2026, gelanceerd in publieke preview, met een definitieve release gepland voor eind juni. Als jouw organisatie een FedRAMP-autorisatie heeft, ernaar streeft of verkoopt aan federale instanties die dit vereisen, is CR26 geen kleine update om snel door te nemen. Het herschrijft hoe FedRAMP-vereisten worden geformuleerd, beoordeeld en gevolgd.

De diepste verandering is epistemologisch. FedRAMP was altijd al gebaseerd op vereisten, maar de vereisten stonden in documenten — Word-bestanden, PDF’s, spreadsheets — die mensen lazen en waarover werd gediscussieerd. Beoordelaars en cloud service providers verschilden van mening over de betekenis van die documenten, wat leidde tot inconsistentie tussen beoordelingen en langere autorisatietrajecten. CR26 publiceert de vereistencatalogus als gestructureerde data op GitHub. Elke vereiste is een afzonderlijk, versiebeheerbaar, machineleesbaar record. In plaats van dat een beoordelaar een System Security Plan-narratief leest en een oordeel velt, kan een systeem nu controleren of een implementatie voldoet aan een opgegeven vereiste. De MUST/MUST NOT-formulering haalt interpretatie-ambiguïteit bij de bron weg.

De implicatie voor SSP-documentatie is concreet. SSP’s die zijn geschreven volgens het oude narratieve raamwerk, moeten worden gemapt naar de nieuwe klassenstructuur. Dat mappingwerk kun je het beste nu doen, zolang de publieke preview openstaat voor commentaar, zodat organisaties eventuele gaten kunnen identificeren voordat de definitieve versie wordt gepubliceerd.

5 Belangrijkste Inzichten

1. Narratieve richtlijnen maken plaats voor machineleesbare regels.

CR26 vervangt prozaïsche compliance-documentatie door declaratieve MUST/MUST NOT-verklaringen die als gestructureerde data op GitHub worden gepubliceerd — waarmee FedRAMP een grote stap zet richting programmatische handhaving van compliance. Elke vereiste wordt een versiebeheerbaar, doorzoekbaar record in plaats van een documentfragment. Beoordelaars en cloud service providers kunnen het niet langer oneens zijn over de betekenis van vereisten; de vereisten drukken zichzelf nu uit in een taal die automatisering kan valideren. De FedRAMP-autorisatiestatus van Kiteworks is afgestemd op deze verschuiving.

2. Impactlabels worden Certificeringsklassen A tot en met D.

Low/Moderate/High wordt vervangen door een systeem met letterklassen. De structuur is cumulatief — elke klasse bevat alle controls van de voorgaande klasse plus aanvullende vereisten. Klasse C is de operationele laag voor de meeste federale cloud-inzet en komt overeen met de voormalige Moderate-aanduiding. Klasse D dekt de voormalige High. Voor organisaties met een bestaande FedRAMP Moderate-autorisatie is de belangrijkste taak het mappen van de huidige documentatie naar de Klasse C-structuur.

3. FedRAMP Ready wordt beëindigd op 28 juli.

De aanduiding wordt op die datum Legacy FedRAMP Ready. Het commerciële gewicht ervan zal afnemen naarmate federale inkoopteams zich aanpassen aan het nieuwe raamwerk. Organisaties die FedRAMP Ready gebruiken als verkoopbewijs zonder volledige autorisatie na te streven, moeten 28 juli als harde planningsdeadline beschouwen — volledige autorisatie onder het CR26-klassenraamwerk wordt de nieuwe standaardverwachting.

4. Een stabiele periode van dertig maanden loopt tot en met 31 december 2028.

CR26-regels gelden dertig maanden — waardoor cloud service providers een uitzonderlijk duidelijke planningshorizon krijgen voor hun autorisatiestrategie. Dit verandert de ROI-berekening voor autorisatie-investeringen: de kosten voor het behouden van autorisatie werden historisch bemoeilijkt doordat vereisten veranderden voordat de investering was terugverdiend. Een gedefinieerde stabiele horizon maakt die berekening eenvoudiger en ondersteunt meerjarige inkoopplanning.

5. Schrijf autorisatiepakketten niet opnieuw op basis van de preview-taal.

De definitieve versie wordt eind juni gepubliceerd. De commentaarperiode sluit dan ook — organisaties die invloed willen uitoefenen op de definitieve taal, moeten vóór die deadline op GitHub reageren. Begin nu met het mappen van de huidige SSP-documentatie naar de nieuwe klassenstructuur, maar wacht met materiële wijzigingen aan pakketten die in behandeling zijn tot de definitieve versie beschikbaar is.

Welke Data Compliance-standaarden zijn belangrijk?

Lees nu

Hoe de nieuwe Certificeringsklassenstructuur werkt

Het vervangen van Low/Moderate/High door Klassen A tot en met D is meer dan alleen hernoemen. De klassenstructuur is cumulatief — elke opeenvolgende klasse bevat alle vereisten van de voorgaande klasse plus extra controls. Dat maakt de grens tussen klassen duidelijker en eenvoudiger uit te leggen.

Voor de meeste federale aannemers en cloud service providers is Klasse C de operationele autorisatielaag. Deze komt overeen met wat voorheen Moderate was — het niveau dat vereist is voor systemen die CUI verwerken en het merendeel van de workloads van civiele agentschappen. Kiteworks heeft FedRAMP-autorisatie, en de Klasse C-structuur sluit direct aan op wat het platform ondersteunt: beveiligde e-mail, beheerde bestandsoverdracht, beveiligd delen van bestanden en conforme samenwerking over agentschapsgrenzen heen.

Klasse D dekt de voormalige High-aanduiding — systemen die de meest gevoelige niet-geclassificeerde data verwerken, waaronder rechtshandhaving, noodhulpdiensten en financiële informatie. Op dat niveau is de machineleesbare vereistencatalogus juist belangrijker, omdat de controledichtheid hoger is en interpretatieverschillen kostbaarder zijn.

Er is ook een praktisch communicatievoordeel. “Wij zijn Klasse C-geautoriseerd” is een helderdere boodschap dan “wij hebben een FedRAMP Moderate Authorization to Operate.” Wanneer de onderliggende vereisten machineleesbaar en openbaar toegankelijk zijn op GitHub, kan een inkoopmedewerker eenvoudig verifiëren wat Klasse C vereist zonder om een toelichting te hoeven vragen.

Wat het beëindigen van FedRAMP Ready betekent

FedRAMP Ready heeft gediend als voorlopige aanduiding — een signaal dat een cloud service provider is beoordeeld door een 3PAO en als klaar wordt beschouwd om volledige autorisatie na te streven. Het was een belangrijk verkoopbewijs in de federale markt omdat het grondigheid aantoonde zonder een volledige Authorization to Operate.

Die aanduiding wordt beëindigd op 28 juli 2026. Bestaande houders behouden het als Legacy FedRAMP Ready, maar het competitieve gewicht van dat label zal afnemen naarmate de federale inkoopgemeenschap zich aanpast aan het nieuwe raamwerk. Organisaties die FedRAMP Ready als verkoopbewijs gebruiken zonder volledige autorisatie na te streven, moeten 28 juli als harde deadline beschouwen.

Het advies van Field CISO Mario Lunato van Knox Systems is duidelijk: wacht op de definitieve versie, die eind juni wordt gepubliceerd, voordat je materiële wijzigingen aan pakketten in behandeling doorvoert. Het mappingwerk — het afstemmen van bestaande SSP-taal en controls op de nieuwe klassenstructuur — is nu de juiste activiteit.

Het Dertig Maanden Stabiliteitsvenster en wat je ermee doet

De toezegging voor stabiele regels tot en met 31 december 2028 is mogelijk het meest strategisch belangrijke aspect van CR26. FedRAMP zorgde historisch gezien voor planningsonzekerheid doordat vereisten evolueerden en autorisatietrajecten langer werden. Een stabiele horizon van dertig maanden verandert het speelveld voor cloud service providers en hun federale klanten.

Voor Kiteworks-klanten in de federale markt ondersteunt dit venster meerjarige inkoopplanning. Een CIO van een agentschap kan met vertrouwen een platformkeuze maken, wetende dat de autorisatiegrondslag tot eind 2028 niet wezenlijk verandert. Een defensie-aannemer die CMMC 2.0 naast FedRAMP-autorisatie nastreeft, kan beide stappenplannen afstemmen op stabiele vereisten.

NIST 800-171 en FedRAMP Klasse C-vereisten overlappen aanzienlijk voor organisaties die CUI verwerken. De machineleesbare CR26-catalogus maakt het eenvoudiger om controls over verschillende raamwerken te mappen en te identificeren waar één implementatie aan meerdere vereisten voldoet. Dat is de richting die Kiteworks ondersteunt met zijn Private Data Network-aanpak: één platform, één set afgedwongen controls, aangetoonde compliance over meerdere raamwerken.

Hoe Kiteworks de CR26-transitie ondersteunt

Kiteworks heeft FedRAMP-autorisatie, en de CR26-transitie sluit direct aan bij hoe het platform is opgebouwd: compliance wordt programmatisch afgedwongen in plaats van beschreven in narratieve vorm en periodiek beoordeeld. De data policy engine van Kiteworks handhaaft content governance-controls op systeemniveau — regelt wie toegang heeft tot welke data, via welke communicatiekanalen, onder welke voorwaarden. Regels worden gedefinieerd, automatisch toegepast en gelogd voor audit. Naarmate FedRAMP evolueert naar machinecontroleerbare MUST/MUST NOT-vereisten, is de afstemming tussen hoe Kiteworks controls afdwingt en hoe CR26 vereisten formuleert direct.

Audit logs leggen elke bestandsactie, overdracht en deelgebeurtenis vast. Dat niveau van zichtbaarheid is wat Klasse C-compliancedocumentatie vereist, en het is wat agentschapsklanten nodig hebben om hun eigen autorisatiestatus te behouden. De SFTP-server, MFT en alle andere uitwisselingskanalen leveren hetzelfde uniforme audittrail met FIPS 140-3 gevalideerde encryptie.

De commentaarperiode op CR26 sluit eind juni. Organisaties met FedRAMP-autorisaties — of die deze nastreven — moeten nu hun huidige SSP-documentatie mappen naar de nieuwe klassenstructuur, inhoudelijk commentaar indienen op GitHub als vereisten hun control-implementaties beïnvloeden, en plannen voor publicatie van de definitieve versie voordat autorisatiepakketten worden herschreven.

Wil je meer weten over FedRAMP-autorisatie en het beschermen van je meest gevoelige data? Plan vandaag nog een aangepaste demo.

Veelgestelde vragen

FedRAMP CR26 (Consolidated Rules 2026) is op 4 mei 2026 gelanceerd als publieke preview en vervangt narratieve compliance-richtlijnen door declaratieve MUST/MUST NOT-vereisten die als gestructureerde data op GitHub worden gepubliceerd. De definitieve versie wordt eind juni 2026 verwacht. De regels zijn van kracht tot en met 31 december 2028 — een stabiele planningshorizon van dertig maanden. Schrijf autorisatiepakketten niet opnieuw op basis van de preview-taal voordat de definitieve versie is gepubliceerd. Het FedRAMP-complianceplatform van Kiteworks is gebouwd om aan deze veranderende vereisten te voldoen.

Klasse C is functioneel gelijk aan de voormalige Moderate-aanduiding en dekt het merendeel van federale cloud-inzet, inclusief systemen die CUI verwerken. Klasse D komt overeen met de voormalige High-aanduiding. De klassenstructuur is cumulatief — elke klasse bevat alle controls van de voorgaande klasse. Voor organisaties met een bestaande FedRAMP Moderate-autorisatie is de belangrijkste taak het mappen van de huidige documentatie naar de Klasse C-structuur voordat de commentaarperiode sluit.

De FedRAMP Ready-aanduiding wordt op 28 juli 2026 beëindigd en wordt Legacy FedRAMP Ready. Het commerciële gewicht ervan zal afnemen naarmate federale inkoopteams zich aanpassen aan het nieuwe raamwerk. Organisaties die het als verkoopbewijs gebruiken, moeten nu plannen voor volledige autorisatie onder het CR26-klassenraamwerk. Inzicht in FedRAMP voor de private sector kan niet-overheidsorganisaties helpen begrijpen waarom volledige autorisatie buiten federale contracten van belang is.

Elke vereiste wordt een versiebeheerbaar, doorzoekbaar GitHub-record in plaats van een documentfragment — compliance-teams kunnen validatieprocessen bouwen op basis van specifieke vereisten in plaats van proza te interpreteren. SSP-taal moet worden gemapt naar de nieuwe klassenstructuur met controls die zijn afgestemd op MUST/MUST NOT-verklaringen. Platforms met programmatische control-handhaving kunnen dat bewijs automatisch genereren. Audit logs zijn het primaire middel om aan te tonen dat opgegeven controls naar behoren werken.

Map de huidige SSP-documentatie naar de nieuwe klassenstructuur om eventuele gaten te identificeren; dien inhoudelijk commentaar in op GitHub als specifieke vereisten conflicteren met de huidige control-architectuur; en vermijd het herschrijven van autorisatiepakketten op basis van de preview-taal. Organisaties die CMMC-naleving naast FedRAMP-autorisatie nastreven, moeten onderzoeken hoe beide stappenplannen onder het nieuwe raamwerk op elkaar aansluiten — NIST 800-171 en Klasse C-vereisten overlappen aanzienlijk.

Aanvullende bronnen

  • Blog Post Hoe klinische proefdata te beschermen in internationaal onderzoek
  • Blog Post De CLOUD Act en Britse gegevensbescherming: waarom rechtsbevoegdheid ertoe doet
  • Blog Post Zero Trust Data Protection: implementatiestrategieën voor verbeterde beveiliging
  • Blog Post Data Protection by Design: hoe je GDPR-controls in je MFT-programma bouwt
  • Blog Post Hoe je datalekken voorkomt met beveiligde bestandsoverdracht over grenzen heen

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks