Secani
Secani
  • Unternehmen
  • Roadmap
Demo anfragen

Mit KI zusammenfassen

In ChatGPT öffnenIn Claude öffnenIn Perplexity öffnenIn Mistral öffnenIn Grok öffnen
SIBB Startups
Berlin
Kofinanziert von der Europäischen Union
Secani

Jonathan Bezdek

Wörther Straße 9

10435 Berlin


hello@secani.com

Produkt

  • Sicherheit
  • Roadmap
  • Dokumentation
  • OSCAL

Rechtliches

  • Datenschutzerklärung
  • AGB
  • Cookie-Einstellungen
  • Impressum

Unternehmen

  • Unternehmen
  • Kontakt
  • Blog

Support

  • Hilfe
    Blog

    FedRAMP wird maschinenlesbar

    Derya AltinayCEO
    6 Min. Lesezeit
    16. Juli 2026

    Mit KI erkunden

    In ChatGPT öffnenIn Claude öffnenIn Perplexity öffnenIn Mistral öffnenIn Grok öffnen

    Auf dieser Seite

    Das Ende der Word-PaketeVon RFC-0024 zu den Consolidated Rules 2026Die Fristen im ÜberblickWelche Rolle OSCAL spieltWas Cloud-Anbieter jetzt tun sollten

    Das Ende der Word-Pakete

    Ein FedRAMP-Autorisierungspaket war jahrelang vor allem eines: sehr viel Dokument. System Security Plans mit Hunderten Seiten, Kontrollbeschreibungen in Word-Vorlagen, Inventare und Testergebnisse in Excel. Noch 2025 liefen Rev5-Autorisierungen praktisch vollständig über diese Vorlagen – obwohl OSCAL als maschinenlesbare Alternative längst existierte.

    Im Januar 2026 hat FedRAMP mit RFC-0024 den Kurswechsel eingeleitet: Autorisierungsdaten sollen künftig als strukturierte, maschinenlesbare Daten eingereicht werden, nicht mehr als Dokumentstapel. Für Behörden bedeutet das schnellere Prüfungen und vergleichbare Pakete. Für Cloud-Anbieter bedeutet es eine Umstellung, die man besser früh plant als spät.

    • Word- und Excel-Vorlagen werden als Einreichungsformat ausgemustert
    • Strukturierte Daten machen Pakete prüfbar, vergleichbar und wiederverwendbar
    • Die Umstellung betrifft alle Anbieter, nicht nur das Modernisierungsprogramm 20x

    Von RFC-0024 zu den Consolidated Rules 2026

    Der Weg zur finalen Regel ist selbst ein Lehrstück in öffentlicher Standardisierung. Der ursprüngliche Vorschlag sah harte Stichtage bereits zum 30. September 2026 vor. In der Kommentierungsphase, die am 11. März 2026 endete, baten Anbieter nahezu einhellig um mehr Vorbereitungszeit.

    FedRAMP hat reagiert: Das im März 2026 veröffentlichte Zwischenergebnis verschob die Stichtage nach hinten. Final zusammengeführt wurde alles in den Consolidated Rules for 2026 (CR26), die Ende Juni 2026 erschienen sind und die Anforderungen in Zertifizierungsklassen von A bis D ordnen. Die Botschaft bleibt unverändert: Maschinenlesbarkeit kommt – nur der Fahrplan wurde realistischer.

    Die Fristen im Überblick

    Maßgeblich ist der finale CR26-Fahrplan; frühere Zwischenstände mit klassenweise gestaffelten Format-Stichtagen sind überholt.

    • Seit 4. Juli 2026: optionale frühe Umstellung auf das neue Regelwerk, die Klassen-Pipelines öffnen seit August 2026
    • Ab 1. Januar 2027: verbindliche Geltung der Consolidated Rules; neue Zertifizierungen der höchsten Klasse D verlangen maschinenlesbare Autorisierungsdaten als JSON gegen die veröffentlichten FedRAMP-Schemas
    • Bestehende Zertifizierungen: Übergang spätestens mit dem ersten unabhängigen Assessment, das nach dem 1. Januar 2027 beginnt
      1. Juni 2027: Ende neuer Rev5-Zertifizierungen – Neuanträge laufen danach vollständig über das neue Regelwerk

    Wichtig für die Planung: Wer eine Neuautorisierung für 2027 anstrebt, arbeitet faktisch schon 2026 mit den neuen Formaten – Paketvorbereitung, Gap-Analysen und Tests beginnen deutlich vor dem Stichtag.

    Welche Rolle OSCAL spielt

    Die finalen Regeln verankern Maschinenlesbarkeit über JSON-Dokumente, die gegen veröffentlichte FedRAMP-Schemas validieren – ein bestimmtes Autorenwerkzeug schreibt FedRAMP nicht vor. In der Praxis führt der Weg über OSCAL: Der NIST-Standard ist das etablierte, offene Datenmodell für genau diese Inhalte, FedRAMP arbeitet für Vorlagen und Ressourcen mit der OSCAL-Community zusammen, und das Tool-Ökosystem wächst dort am schnellsten – einen Überblick gibt unser Beitrag zu den OSCAL-Tools 2026.

    Wie die Dokumentmodelle zusammenspielen – vom Katalog über das Profil bis zu SSP und Assessment – erklärt unsere Einführung Was ist OSCAL?

    Schema-Validierung prüft Struktur, nicht Substanz

    Dass ein Paket gegen ein FedRAMP-Schema validiert, ist notwendig – nicht hinreichend. Die inhaltliche Arbeit, Kontrollbeschreibungen, Inventare und Nachweise sauber zu strukturieren, bleibt identisch. Wer sie einmal in OSCAL leistet, kann daraus jedes geforderte Zielschema bedienen.

    Was Cloud-Anbieter jetzt tun sollten

    Aus unserer Arbeit mit strukturierten Compliance-Daten hat sich eine einfache Reihenfolge bewährt. Sie funktioniert unabhängig davon, ob das Ziel FedRAMP heißt oder ein anderes Programm mit maschinenlesbaren Anforderungen.

    • Bestandsaufnahme: Welche Inhalte des heutigen Pakets liegen wo – und in welcher Qualität?
    • Pilot: einen Ausschnitt des SSP nach OSCAL überführen und gegen die Schemas prüfen, zum Beispiel mit unserem kostenlosen OSCAL Validator
    • Arbeitsmodell: Verantwortliche, Reviews und Nachweisführung so aufsetzen, dass strukturierte Daten der Normalfall sind, nicht der Export am Ende

    Genau dafür bauen wir Secani: eine Plattform, in der Autorisierungsdaten von Anfang an strukturiert entstehen – mit Quellen, Freigaben und Historie. Wenn Sie den Umstieg planen, sprechen Sie mit uns.

    Compliance-Workflows prüfbar aufbauen

    Secani verbindet Scopes, Nachweise, Aufgaben und KI-Agenten in einem gemeinsamen Arbeitskontext.

    Demo anfragen

    Weiterführende Beiträge

    Alle Beiträge
    OSCAL
    Was ist OSCAL?

    OSCAL macht aus Compliance-Dokumenten strukturierte Daten: acht Dokumentmodelle, drei Formate und ein Ökosystem, das gerade zum Standard für Regulierung wird.

    Lesen
    OSCAL
    OSCAL-Tools im Überblick

    Das OSCAL-Ökosystem wächst schnell: Viewer und Validatoren sind gut abgedeckt, beim Autorieren und in Arbeitsabläufen bleibt die größte Lücke.

    Lesen
    IT-Grundschutz
    IT-Grundschutz++ und OSCAL

    Mit der Stand-der-Technik-Bibliothek verlässt der IT-Grundschutz das PDF: IT-Grundschutz++ erscheint als OSCAL-Katalog – und verändert, wie ISMS-Arbeit organisiert wird.

    Lesen