Zurück zur Inhaltsseite

      Die Diskussion um digitale Souveränität in Europa hat deutlich an Fahrt gewonnen. Während der finanziell motivierten Cyberkriminalität und staatlich gelenkten Angriffen seit Jahren breite Aufmerksamkeit gewidmet wird, rückt zunehmend eine dritte Dimension in den Fokus: die sogenannte Cyber Dominance – also die Möglichkeit von Anbietern digitaler Produkte, dauerhaft Einfluss auf Systeme und Daten ihrer Kundinnen und Kunden zu behalten. Insbesondere im Cloud-Umfeld stellt sich damit verstärkt die Frage, wie selbstbestimmt Unternehmen und Behörden die genutzten Dienste tatsächlich verwenden können.

      Mit dem im April 2026 veröffentlichten Kriterienkatalog „Criteria enabling Cloud Computing Autonomy“ (C3A) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) hierfür einen richtungsweisenden Handlungsrahmen vorgelegt. Ergänzend dazu plant das BSI die Veröffentlichung eines Leitfadens für C3A-Audits, dessen Nachweisverfahren strukturell an den etablierten C5-Testierungsprozess angelehnt werden soll.

      Criteria enabling Cloud Computing Autonomy: Worum geht es beim C3A?

      Der C3A ist kein Pflichtrahmen und entfaltet keine unmittelbare regulative Wirkung. Vielmehr handelt es sich um ein Orientierungsinstrument für Cloud-Anbieter und Cloud-Kunden, um die Souveränitätseigenschaften eines Cloud-Services transparent und vergleichbar zu machen. Während der Cloud Computing Compliance Criteria Catalogue (C5) die Frage beantwortet, ob ein Cloud-Dienst technisch sicher betrieben wird, geht der C3A einen Schritt weiter: Er ermöglicht eine Bewertung, ob ein Cloud-Angebot im jeweiligen Risikokontext auch selbstbestimmt genutzt werden kann.

      Eine zentrale Voraussetzung der C3A-Anwendung ist daher die Erfüllung der C5-Anforderungen durch den Cloud-Anbieter. Beide Kataloge stehen damit nicht in Konkurrenz, sondern sind als aufeinander aufbauende Ebenen konzipiert: Sicherheit (C5) bildet das Fundament, Souveränität (C3A) die darauf aufsetzende Bewertungsdimension.

      Bereit für ein Gespräch? Kontaktieren Sie uns

      Welche Kriterienbereiche umfasst der C3A?

      Strukturell orientiert sich der C3A am EU Cloud Sovereignty Framework (EU CSF) und greift dessen Kategorien sowie überprüfbare Faktoren auf. Insgesamt unterteilt der Katalog die Aspekte der Souveränität in sechs Kriterienbereiche:

      • Strategic Sovereignty
      • Data Sovereignty
      • Legal and Jurisdictional Sovereignty
      • Operational Sovereignty
      • Supply Chain Sovereignty
      • Technology Sovereignty

      Die Bereiche „Security & Compliance Sovereignty“ und „Environmental Sustainability“ aus dem EU CSF werden bewusst ausgespart – ersteres ist bereits durch C5, IT-Grundschutz und vergleichbare BSI-Produkte abgedeckt, zweiteres fällt nicht in den Zuständigkeitsbereich des BSI.

      Wie vom C5 bekannt, unterscheidet auch der C3A zwischen Basiskriterien und Zusatzkriterien. Die Kriterien lassen sich je nach Anforderungsprofil flexibel kombinieren, sodass nicht zwingend der gesamte Katalog Anwendung finden muss. Cloud-Kunden können auf dieser Basis ihr angestrebtes Souveränitätsniveau definieren und gezielt jene Kriterien einfordern, die für ihren konkreten Anwendungsfall relevant sind. Das Souveränitätsniveau könnte für Cloud-Anbieter dabei zu einer Art Benchmark und somit zum Wettbewerbsvorteil werden.

      Was bedeutet das für Cloud-Anbieter?

      Cloud-Anbieter können die Einhaltung der C3A-Kriterien zukünftig durch ein unabhängiges Audit nachweisen und damit gegenüber Kundinnen und Kunden Transparenz über die Datenhoheit und (Un)Abhängigkeit von anderen Dienstleistern herstellen. Das BSI plant, das Nachweisverfahren strukturell an den praxiserprobten C5-Testierungsprozes anzulehnen, um Synergien zu nutzen und den Aufwand für Anbieter überschaubar zu halten. Die Veröffentlichung der deutschen Version des C3A ist für das zweite Quartal 2026 vorgesehen.

      Der C3A dürfte sich kurz- bis mittelfristig zu einem faktischen Marktstandard entwickeln. Insbesondere Behörden, Betreiber kritischer Infrastrukturen und Unternehmen mit erhöhtem Schutzbedarf werden den C3A bei ihrer Anbieterauswahl heranziehen. Anbieter, die hier frühzeitig Transparenz schaffen, positionieren sich als vertrauenswürdige Partner im europäischen und insb. deutschen Markt.

      Wie hängen C3A und der neue C5:2026 zusammen?

      Parallel zum C3A hat das BSI mit dem C5:2026 eine aktualisierte Fassung des Cloud Computing Compliance Criteria Catalogue veröffentlicht. Auch dieser umfasst Kriterien, die in der Schnittmenge von Sicherheit und Selbstbestimmtheit liegen – insbesondere im Bereich der Portabilität. Cloud-Anbieter sollten daher beide Kataloge gemeinsam betrachten und ggf. durch ein Readiness-Assessment prüfen lassen, inwieweit bestehende Kontrollen aus laufenden C5-Prüfungen auch für zukünftige C3A-Audits genutzt werden können.

      Aus unserer Erfahrung wissen wir, dass eine integrierte Betrachtung erheblichen Mehrwert bietet und den Kostendruck reduziert: Doppelarbeit lässt sich vermeiden, Synergien mit weiteren Standards wie ISO 27001 oder SOC 2 lassen sich gezielt heben und das interne Kontrollsystem kann konsolidiert weiterentwickelt werden.

      Interessiert an unseren Services? Kontaktieren Sie uns

      Was sollten Sie als Cloud-Anbieter jetzt tun?

      Auch wenn der C3A keine unmittelbare gesetzliche Pflicht begründet, empfehlen wir Cloud-Anbietern, sich frühzeitig mit den neuen Anforderungen auseinanderzusetzen. Verschaffen Sie sich zunächst einen Überblick darüber, welche der C3A-Kriterien durch Ihr aktuelles internes Kontrollsystem bereits adressiert werden – insbesondere im Hinblick auf bestehende C5-Testate und vergleichbare Prüfungen. Auf dieser Basis lassen sich Handlungsfelder identifizieren und ein realistischer Vorbereitungsplan für ein zukünftiges C3A-Audit ableiten.

      KPMG unterstützt sowohl bei der Ermittlung Ihres Kontrollabdeckungsgrades und der Identifikation von Handlungsfeldern als auch bei zukünftigen Prüfungen von internen Kontrollsystemen gegen die Kriterien des C3A und des C5. Unsere Expertinnen und Experten von Digital Process Compliance beraten Sie gerne bei Fragen rund um Cloud-Souveränität, BSI-Standards und die Vorbereitung auf den C3A-Audit. 

      Interessiert an unseren Services? Kontaktieren Sie uns

      Mehr KPMG Insights zum Thema

      Ihre Ansprechpersonen