FedRAMP wird maschinenlesbar
Das Ende der Word-Pakete
Ein FedRAMP-Autorisierungspaket war jahrelang vor allem eines: sehr viel Dokument. System Security Plans mit Hunderten Seiten, Kontrollbeschreibungen in Word-Vorlagen, Inventare und Testergebnisse in Excel. Noch 2025 liefen Rev5-Autorisierungen praktisch vollständig über diese Vorlagen – obwohl OSCAL als maschinenlesbare Alternative längst existierte.
Im Januar 2026 hat FedRAMP mit RFC-0024 den Kurswechsel eingeleitet: Autorisierungsdaten sollen künftig als strukturierte, maschinenlesbare Daten eingereicht werden, nicht mehr als Dokumentstapel. Für Behörden bedeutet das schnellere Prüfungen und vergleichbare Pakete. Für Cloud-Anbieter bedeutet es eine Umstellung, die man besser früh plant als spät.
- Word- und Excel-Vorlagen werden als Einreichungsformat ausgemustert
- Strukturierte Daten machen Pakete prüfbar, vergleichbar und wiederverwendbar
- Die Umstellung betrifft alle Anbieter, nicht nur das Modernisierungsprogramm 20x
Von RFC-0024 zu den Consolidated Rules 2026
Der Weg zur finalen Regel ist selbst ein Lehrstück in öffentlicher Standardisierung. Der ursprüngliche Vorschlag sah harte Stichtage bereits zum 30. September 2026 vor. In der Kommentierungsphase, die am 11. März 2026 endete, baten Anbieter nahezu einhellig um mehr Vorbereitungszeit.
FedRAMP hat reagiert: Das im März 2026 veröffentlichte Zwischenergebnis verschob die Stichtage nach hinten. Final zusammengeführt wurde alles in den Consolidated Rules for 2026 (CR26), die Ende Juni 2026 erschienen sind und die Anforderungen in Zertifizierungsklassen von A bis D ordnen. Die Botschaft bleibt unverändert: Maschinenlesbarkeit kommt – nur der Fahrplan wurde realistischer.
Die Fristen im Überblick
Maßgeblich ist der finale CR26-Fahrplan; frühere Zwischenstände mit klassenweise gestaffelten Format-Stichtagen sind überholt.
- Seit 4. Juli 2026: optionale frühe Umstellung auf das neue Regelwerk, die Klassen-Pipelines öffnen seit August 2026
- Ab 1. Januar 2027: verbindliche Geltung der Consolidated Rules; neue Zertifizierungen der höchsten Klasse D verlangen maschinenlesbare Autorisierungsdaten als JSON gegen die veröffentlichten FedRAMP-Schemas
- Bestehende Zertifizierungen: Übergang spätestens mit dem ersten unabhängigen Assessment, das nach dem 1. Januar 2027 beginnt
-
- Juni 2027: Ende neuer Rev5-Zertifizierungen – Neuanträge laufen danach vollständig über das neue Regelwerk
Wichtig für die Planung: Wer eine Neuautorisierung für 2027 anstrebt, arbeitet faktisch schon 2026 mit den neuen Formaten – Paketvorbereitung, Gap-Analysen und Tests beginnen deutlich vor dem Stichtag.
Welche Rolle OSCAL spielt
Die finalen Regeln verankern Maschinenlesbarkeit über JSON-Dokumente, die gegen veröffentlichte FedRAMP-Schemas validieren – ein bestimmtes Autorenwerkzeug schreibt FedRAMP nicht vor. In der Praxis führt der Weg über OSCAL: Der NIST-Standard ist das etablierte, offene Datenmodell für genau diese Inhalte, FedRAMP arbeitet für Vorlagen und Ressourcen mit der OSCAL-Community zusammen, und das Tool-Ökosystem wächst dort am schnellsten – einen Überblick gibt unser Beitrag zu den OSCAL-Tools 2026.
Wie die Dokumentmodelle zusammenspielen – vom Katalog über das Profil bis zu SSP und Assessment – erklärt unsere Einführung Was ist OSCAL?
Was Cloud-Anbieter jetzt tun sollten
Aus unserer Arbeit mit strukturierten Compliance-Daten hat sich eine einfache Reihenfolge bewährt. Sie funktioniert unabhängig davon, ob das Ziel FedRAMP heißt oder ein anderes Programm mit maschinenlesbaren Anforderungen.
- Bestandsaufnahme: Welche Inhalte des heutigen Pakets liegen wo – und in welcher Qualität?
- Pilot: einen Ausschnitt des SSP nach OSCAL überführen und gegen die Schemas prüfen, zum Beispiel mit unserem kostenlosen OSCAL Validator
- Arbeitsmodell: Verantwortliche, Reviews und Nachweisführung so aufsetzen, dass strukturierte Daten der Normalfall sind, nicht der Export am Ende
Genau dafür bauen wir Secani: eine Plattform, in der Autorisierungsdaten von Anfang an strukturiert entstehen – mit Quellen, Freigaben und Historie. Wenn Sie den Umstieg planen, sprechen Sie mit uns.
Compliance-Workflows prüfbar aufbauen
Secani verbindet Scopes, Nachweise, Aufgaben und KI-Agenten in einem gemeinsamen Arbeitskontext.
Weiterführende Beiträge
Alle BeiträgeOSCAL macht aus Compliance-Dokumenten strukturierte Daten: acht Dokumentmodelle, drei Formate und ein Ökosystem, das gerade zum Standard für Regulierung wird.
Das OSCAL-Ökosystem wächst schnell: Viewer und Validatoren sind gut abgedeckt, beim Autorieren und in Arbeitsabläufen bleibt die größte Lücke.
Mit der Stand-der-Technik-Bibliothek verlässt der IT-Grundschutz das PDF: IT-Grundschutz++ erscheint als OSCAL-Katalog – und verändert, wie ISMS-Arbeit organisiert wird.