Zurück zur Inhaltsseite

      Die finale Version des BSI C5:2026 ist veröffentlicht. Mit der neuen Version des Kriterienkatalogs wird der aktuell gültige Standard C5:2020 abgelöst. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) setzt damit neue Maßstäbe für die Bewertung von Cloud-Sicherheit. Gegenüber der Version von 2020 wurde der Katalog sowohl inhaltlich als auch strukturell deutlich erweitert.

      Die neuen Anforderungen treten für Prüfungsperioden ab dem 1. Juni 2027 verbindlich in Kraft. Eine Adoption der neuen Kriterien ist bereits vor dem Stichtag zulässig. Eine frühzeitige Umsetzung ist dringend zu empfehlen, insbesondere für Cloud-Anbieter, die ihre Dienste in regulierten oder sicherheitskritischen Märkten anbieten.

      Beispiele hierfür sind insbesondere:

      • das Finanzwesen (z. B. Banken, Versicherungen), 
      • das Gesundheitswesen (z. B. Krankenhäuser, Krankenkassen, digitale Gesundheitsanwendungen), 
      • die öffentliche Verwaltung sowie Anbieter im Umfeld von E-Government
      • Betreiber und Zulieferer von kritischen Infrastrukturen (KRITIS), etwa in den Bereichen Energie, Wasser, Transport oder Telekommunikation.

      Einbezug aktueller regulatorischer Entwicklungen

      Bei der Entwicklung des neuen Kriterienkatalogs wurde sich insbesondere an den Vorgaben des angekündigten European Cybersecurity Certification Scheme for Cloud Services (EUCS) orientiert. Ebenso wurden die CSA Cloud Controls Matrix, der aktuelle ISO/IEC 27001 Standard sowie die Regelungen der Network and Information Security Directive 2 (NIS2) einbezogen. Damit soll eine hohe Vereinbarkeit zwischen den geltenden Standards ermöglicht werden.

      Bereit für ein Gespräch? Kontaktieren Sie uns

      Hintergrund:

      Der Cloud Computing Compliance Criteria Catalogue (C5) des Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert Mindestanforderungen an die Sicherheit von Cloud-Diensten. Der Katalog dient als Orientierungshilfe für die Auswahl von Cloudservices und richtet sich an professionelle Cloud-Anbieter sowie an deren Prüfer und Kunden.

      Stärkere Strukturierung der Kriterien

      Anknüpfend an den EUCS, werden die Kriterien im neuen C5-Standard nun in klar abgegrenzte Unterkriterien unterteilt. Dies soll eine zielgenauere Übertragung auf die Kontrollen der Cloud-Anbieter ermöglichen. Bei den Unterkriterien wird zwischen den Basiskriterien (Basic Criteria) unterschieden, die weiterhin die zu erfüllenden Mindestanforderungen abbilden, und den zusätzlichen Kriterien (Additional Criteria), welche freiwillig erfüllt werden können. 
       

      Die zusätzlichen Kriterien werden weiter unterteilt in Additional Sharpening, welche striktere Vorgaben für bestehende Vorgaben machen, und Additional Complementing, welche komplementäre Bereiche abdecken. Diese Unterscheidung erlaubt gezieltere Anpassungen an unterschiedliche Schutzbedarfe und branchenspezifische Anforderungen. 

      Der Prüfbericht muss infolgedessen zukünftig detailliert belegen, welche Anforderungen wie erfüllt wurden, wie mit Abweichungen umgegangen wurde und wie Subunternehmen (beispielsweise Rechenzentren) eingebunden sind.

      Umfangreicher Kriterienkatalog

      Der Kriterienkatalog des BSI C5:2026 ist mit 168 Kriterien deutlich umfangreicher als sein Vorgänger mit 121 Kriterien. Wie sich in der unteren Darstellung erkennen lässt, verteilen sich die neuen Kriterien auf mehrere Kontrollbereiche.

      Es sind sowohl neue Kriterien hinzugekommen als auch Titel- und Kontrollbeschreibungsänderungen l bestehender Kriterien vorgenommen worden . Teilweise sind diese Änderungen eher formeller Natur und auf Umformulierungen zurückzuführen. Teilweise wurden Kriterien inhaltlich angepasst und neue Unterkriterien hinzugefügt oder bestehende konkretisiert.

      Wesentliche Änderungen betreffen u. a. folgende Themen:

      • Insgesamt wird eine umfangreichere Prozessdokumentation gefordert. Dies umfasst sowohl bisher nicht geforderte Richtlinien und Standards als auch weitere Anforderungen an den Inhalt von Richtlinien.
      • Zum Umgang mit externen Organisationen werden eine erhöhte Transparenz und Kontrolle insbesondere im Bereich Datenverarbeitung gefordert.
      • Mit der vermehrten Etablierung von Home-Office-Regelungen bei Unternehmen werden die damit verbundenen Sicherheitsrisiken nun auch im C5-Standard abgebildet.
      • Weiterhin wird das Thema Key Management in der neuen Version deutlich ausgeweitet. Während es in der Vorgängerversion dazu lediglich zwei Kontrollen gibt, wird das Thema im neuen Standard auf 14 Kontrollen ausgeweitet.
      • Im Bereich Operations (OPS) wird der Fokus auf eine sichere Verarbeitung und Betriebsabläufe gelegt. Dies wird durch neue Kontrollen zu den Themen Patch Management, Confidential Computing und Container Management noch ausgebaut.

      Neuer Kriterienkatalog gilt ab Juni 2027

      C5:2026 entwickelt sich künftig zu einem noch deutlich umfassenderen Standard. Für Cloud-Anbieter bedeutet das zum einen mehr Klarheit im Mapping, aber auch mehr Prüfungsaufwand. Kunden profitieren von mehr Transparenz und besserer Vergleichbarkeit.

      Angesichts der verbindlichen Einführung ab 01. Juni 2027 sollten Anbieter und Kunden jetzt mit der Umsetzung beginnen. Der Übergang erfordert Anpassungen auf technischer, organisatorischer und vertraglicher Ebene – und wird in künftigen Ausschreibungen und Zertifizierungen eine zentrale Rolle spielen. Wer früh handelt, positioniert sich als vertrauenswürdiger Partner im Markt.

      Unsere Expert:innen beraten Sie bei Fragen und unterstützen Sie bei der Vorbereitung auf die neuen Bestimmungen. Nehmen Sie gerne Kontakt zu uns auf.

      Interessiert an unseren Services? Kontaktieren Sie uns

      Weitere interessante Inhalte für Sie

      Ihre Ansprechpersonen