Naleving van FIPS: hoe u uw infrastructuur kunt beveiligen vóór de deadline van 2026
door
Laatst bijgewerkt:
6 leestijd: 6 minuten
Belangrijkste Conclusies
- Het Cryptographic Module Validation Program (CMVP) zal op 21 september 2026 alle FIPS 140-2-validaties verplaatsen naar de historische lijst; dit is de definitieve uiterste datum voor federale aanbestedingen op basis van de oudere norm.
- FIPS 140-3 is momenteel de enige CMVP-norm die wordt geaccepteerd voor nieuwe aanvragen. Deze norm schrijft weerstand tegen zijkanaalaanvallen voor en sluit aan bij ISO/IEC 19790, wat bij FIPS 140-2 niet het geval was.
- Containerimages zonder distributie verkleinen het auditoppervlak en versnellen de inventarisatie van modules, maar zijn op zichzelf geen vereiste volgens FIPS 140-3 — de cryptografische bibliotheken die erin zijn opgenomen, moeten nog steeds door het NIST zijn gevalideerd.
- Automatisch scannen van de pijplijn spoor op wat bij handmatige controle over het hoofd wordt gezien, vooral wanneer routinematige updates van afhankelijkheden ongemerkt niet-gevalideerde modules introduceren.
- Het traject naar gereedheid bestaat uit een cyclus van zes stappen: inventariseren, controleren, markeren, vervangen, automatiseren en documenteren, die herhaald wordt naarmate uw stack verandert.
De federale deadlines voor cryptografische normen zijn niet langer een abstract begrip. Aangezien de overgang naar het CMVP-programma in september 2026 plaatsvindt en de kosten van datalekken gemiddeld 5,12 miljoen dollar bedragen, moeten organisaties die met gereguleerde gegevens werken nu al een duidelijk migratieplan hebben, en niet pas in het derde kwartaal.
Wat FIPS-conformiteit eigenlijk betekent voor uw stack
FIPS-conformiteit houdt in dat wordt voldaan aan de Federal Information Processing Standards die zijn vastgesteld door het National Institute of Standards and Technology (NIST) voor cryptografische modules die worden gebruikt in federale systemen en gereguleerde sectoren. Als uw organisatie overheidsgegevens verwerkt, een FedRAMP-autorisatie (Federal Risk and Authorization Management Program) nastreeft of werkt aan CMMC 2.0 (Cybersecurity Maturity Model Certification), is FIPS-conformiteit een concrete technische en wettelijke vereiste.
Wat er daadwerkelijk verandert met FIPS 140-3
FIPS 140-3 is de geldende norm en vervangt FIPS 140-2. Op 21 september 2026 stopt het Cryptographic Module Validation Program (CMVP) met het accepteren van nieuwe aanvragen voor FIPS 140-2-validatie. Bestaande gevalideerde modules voldoen op die dag nog steeds aan de norm, maar alle nieuwe modules die na die datum worden ingediend, moeten voldoen aan de vereisten van FIPS 140-3. Als u nu met uw migratie begint, heeft u ruim de tijd om alles te testen, te controleren of alles in orde is en bij te houden wat u al heeft gedaan voordat de deadline verstrijkt.
Wat zijn distroless-omgevingen en hoe dragen ze bij aan FIPS-conformiteit?
Een distroless-containerimage bevat alleen uw applicatie en de bijbehorende runtime-afhankelijkheden. Shells, pakketbeheerders en systeemhulpprogramma’s die in standaard Linux-distributies voorkomen, zijn hieruit weggelaten. Aanvallers die toegang krijgen tot een container, maken doorgaans gebruik van die ingebouwde tools om zich lateraal te verplaatsen of hun rechten te escaleren. Zonder deze tools worden hun mogelijkheden aanzienlijk beperkt.
Door FIPS-conforme containerimages te implementeren, wordt dit risico op imagoniveau weggenomen. Minimus, een aanbieder van distroless-images, meldt dat het verwijderen van deze componenten meer dan 1.000 overbodige bestanden uit een standaardcontainer elimineert. Minder bestanden betekent een kleiner auditoppervlak en een snellere manier om uw inventaris van cryptografische bibliotheken te verifiëren.
Distroless-images vormen een goede beveiligingsmaatregel, maar zijn op zichzelf geen vereiste volgens FIPS 140-3. Bij FIPS-conformiteit draait het erom of de cryptografische modules die uw applicatie gebruikt, over een geldige NIST-validatie beschikken. Het raakvlak tussen beide ligt in de controleerbaarheid. Met een slankere image is het eenvoudig om precies vast te stellen welke bibliotheken aanwezig zijn, deze te vergelijken met de CMVP-database op csrc.nist.gov en niet-goedgekeurde modules op te sporen voordat ze in productie gaan.
Wat zijn de financiële risico’s als de deadline voor FIPS-naleving niet wordt gehaald?
21 september 2026 is de uiterste datum voor de aanvaarding van nieuwe aanvragen volgens FIPS 140-2. Na die datum moeten alle nieuwe aanvragen voldoen aan FIPS 140-3. Terwijl FIPS 140-2 het testen op zijkanaalaanvallen grotendeels ongeregeld liet, maakt FIPS 140-3 dit verplicht. Zijkanaalaanvallen werken door fysieke signalen van hardware te lezen, zoals stroomverbruik en timing, om cryptografische sleutels uit anderszins beveiligde systemen te halen. De nieuwere norm sluit ook direct aan bij ISO/IEC 19790, wat van belang is voor organisaties die in meerdere internationale rechtsgebieden actief zijn.
| FIPS 140-2 | FIPS 140-3 | |
|---|---|---|
| Afstemming op internationale normen | Geen | Ja, ISO/IEC 19790 |
| Weerstand tegen zijkanaalaanvallen | Beperkt | Verplichte tests |
| Testen op niet-invasieve aanvallen | Niet vereist | Verplicht |
| Nieuwe uiterste inzenddatum | 21 september 2026 | Actieve norm |
Het gebruik van niet-gevalideerde cryptografische modules verhoogt het risico op datalekken door tekortkomingen bij audits en het verlies van de vergunning om actief te zijn in gereguleerde sectoren. Zowel CMMC 2.0 als FedRAMP schrijven FIPS 140-3-gevalideerde versleuteling voor gevoelige gegevens voor, en de sancties bij niet-naleving reiken veel verder dan de directe kosten voor het verhelpen van een datalek.
Hoe controleert u of uw pijplijn voldoet aan de FIPS-normen?
Uit onderzoek van begin 2026 blijkt dat geautomatiseerde tests van beveiligingsconfiguraties ongeveer 35% effectiever zijn dan handmatige controles bij het opsporen van fouten. Dat verschil is niet verrassend als je bedenkt wat er bij handmatige controles daadwerkelijk over het hoofd wordt gezien. Een engineer die documentatie controleert, ziet de bibliotheken die erin zouden moeten zitten. Geautomatiseerd scannen ziet wat er daadwerkelijk draait. Die twee lijsten lopen vaker uiteen dan teams verwachten, en de gebruikelijke boosdoener is een routinematige update van afhankelijkheden die stilletjes iets ongevalideerds binnenhaalde zonder dat iemand het merkte. Handmatige controle is nog steeds nodig voor documentatie en beleidswerk, maar erop leunen als je primaire controle creëert blinde vlekken in elke omgeving met regelmatige implementaties.
Het regelmatig testen van e-mailcampagnes is een afzonderlijke maar parallelle verplichting voor teams in gereguleerde sectoren. DMARC (Domain-based Message Authentication, Reporting, and Conformance), SPF (Sender Policy Framework) en DKIM (DomainKeys Identified Mail) zijn authenticatieprotocollen die onafhankelijk van de validatie van FIPS-modules functioneren. Dit zijn afzonderlijke compliance-domeinen die apart moeten worden gedocumenteerd en beheerd. Opmerkelijk: zowel FedRAMP als CMMC 2.0 nemen DMARC op in hun compliance-vereisten, dus dit is niet iets wat gereguleerde teams kunnen uitstellen. De Cybersecurity Ventures 2025 Almanac registreerde begin 2025 een stijging van 14% in incidenten met domeinspoofing, waarbij slechte configuraties van authenticatie-headers een groot deel van de schade veroorzaakten. Een zwak DMARC-beleid is zelden duidelijk totdat een phishingcampagne er misbruik van maakt of uw legitieme e-mail in de spam terechtkomt. Op dat moment is de reputatieschade al een feit.
Herstel van de toeleveringsketen: een stapsgewijs traject
Toeleveringsketenbeveiliging in het kader van FIPS-conformiteit houdt in dat moet worden gecontroleerd of elk onderdeel van uw stack, inclusief bibliotheken van derden, basisimages voor containers en transitieve afhankelijkheden, over een geldige NIST-validatie beschikt. Als een module niet met een actuele validatie in de CMVP-database voorkomt, zullen auditors deze als niet-gevalideerd beschouwen, ongeacht hoe deze in uw omgeving terecht is gekomen.
Als je het in stappen bekijkt, is de weg van je huidige situatie naar een volledig gevalideerde stack heel eenvoudig:
- Maak een inventarisatie van alle cryptografische modules die in gebruik zijn, inclusief alles wat verborgen zit in afhankelijkheden van derden.
- Controleer elke module aan de hand van de CMVP-database op csrc.nist.gov: wat u veronderstelt dat gevalideerd is, en wat daadwerkelijk over een geldige certificering beschikt, zijn soms twee verschillende zaken.
- Markeer alle modules die alleen over een FIPS 140-2-certificering beschikken en stel realistische vervangingstermijnen vast met het oog op de deadline van september 2026.
- Schakel over op alternatieven die volgens FIPS 140-3 zijn gevalideerd, werk uw containerimages bij en controleer of er geen niet-gevalideerde bibliotheken bij de overgang zijn blijven staan.
- Integreer geautomatiseerde controles in elke bouwfase, want één enkele update van een afhankelijkheid kan wekenlang validatiewerk ongemerkt tenietdoen.
- Leg de volledige keten vast voor auditors en plan periodieke controles in, zodat afwijkingen worden opgemerkt voordat ze zich opstapelen.
Hoe is FIPS-conformiteit van toepassing op de beveiliging van de toeleveringsketen?
Toeleveringsketenbeveiliging in het kader van FIPS-naleving houdt in dat u moet controleren of elk onderdeel van uw stack, inclusief bibliotheken van derden en basisimages voor containers, over een actieve NIST-validatie beschikt. Dit geldt ook voor afhankelijkheden die u niet zelf hebt geselecteerd. Als een module niet met een actieve validatie in de CMVP-database voorkomt, zullen auditors deze als niet-gevalideerd beschouwen, ongeacht hoe deze in uw omgeving terecht is gekomen.
De overgang van uw huidige situatie naar een volledig gevalideerde stack is eenvoudig als u dit in fasen aanpakt. Begin met het opstellen van een volledige inventaris van alle cryptografische modules die in gebruik zijn, inclusief alles wat verborgen zit in afhankelijkheden van derden. Controleer ze allemaal aan de hand van de CMVP-database, aangezien wat u veronderstelde dat gevalideerd was en wat daadwerkelijk een actuele certificering heeft, soms twee verschillende dingen zijn. Markeer vervolgens alle modules die alleen FIPS 140-2-validatie hebben en stel realistische vervangingsschema's op vóór de deadline van september 2026. Vervang ze door FIPS 140-3-gevalideerde alternatieven, werk uw containerimages dienovereenkomstig bij en controleer of er geen niet-gevalideerde bibliotheken de overgang hebben overleefd.
Vanaf dat moment zorgen geautomatiseerde pijplijncontroles in elke bouwfase ervoor dat de inventaris accuraat blijft, want één enkele update van een afhankelijkheid kan in stilte weken aan validatiewerk tenietdoen. Sluit de cirkel door alles voor auditors te documenteren en periodieke controles in te bouwen, zodat afwijkingen worden opgemerkt voordat ze zich opstapelen.
Uw komende 90 dagen: van inventarisatie naar auditklaar
FIPS-conformiteit is niet iets wat je eenmalig regelt en vervolgens kunt vergeten. Je stack verandert, afhankelijkheden worden bijgewerkt, en elke wijziging biedt de kans dat er een niet-gevalideerde module tussendoor glipt.
Begin met een volledige cryptografische inventarisatie en controleer elke module op csrc.nist.gov. Als distroless containers deel uitmaken van uw beveiligingsstrategie, vraag dan een containeraudit aan bij Minimus om vast te stellen welke bibliotheken in uw images aanwezig zijn en of deze voldoen aan de validatie-eisen die uw toezichthouders stellen. De deadline van september 2026 laat minder tijd over dan de meeste teams verwachten.
Inhoudspecialist bij PowerDMARC
Milena is een ervaren schrijfster en content creator met meer dan 7 jaar ervaring in het creëren van boeiende content over IT, cyberbeveiliging, virtuele evenementen en meer. Ze heeft bewezen werk van hoge kwaliteit af te leveren voor internationale tijdschriften en is afgestudeerd aan prestigieuze instellingen zoals New York University Abu Dhabi, UWC China en het Europacollege.
Laatste berichten van Milena Baghdasaryan (Bekijk alle berichten)
