BSI C5:2026: was sich im Cloud-Kriterienkatalog ändert
Das BSI hat den C5-Kriterienkatalog am 14. Mai 2026 in neuer Fassung veröffentlicht. 39 neue und 129 überarbeitete Kriterien, eine Übergangsfrist bis 1. Juni 2027 für Audits, und neue Schwerpunkte bei Verschlüsselung, Datenverarbeitung und Daten-Mapping.
Inhalt dieses Beitrags
- Problem
- Kurze Antwort
- Tiefgang
- Was neu hinzugekommen ist
- Verhältnis zu C3A
- Wer testieren muss
- Wie ein vorhandenes Testat geprüft wird
- Übergangsfrist und Audit-Praxis
- Abgelehnte Alternativen
- Was Sie jetzt tun sollten
- Wie Dernium hier hilft
- Verifikation
- Offene Punkte
- Häufige Fragen
- Was ist der Unterschied zwischen einem Type-1- und einem Type-2-Bericht?
- Reicht ein einseitiges "C5-Zertifikat" als Nachweis?
- Bis wann muss ich auf C5:2026 umgestellt haben?
- Ersetzt C5:2026 eine ISO-27001-Zertifizierung?
- Was hat C3A mit C5 zu tun?
Problem
Der BSI-Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue, ein Prüfkatalog des Bundesamts für Sicherheit in der Informationstechnik) ist seit 2016 der deutsche Maßstab für Cloud-Sicherheit. Behörden, KRITIS-Betreiber (Betreiber kritischer Infrastrukturen wie Strom, Wasser, Gesundheit), Gesundheitseinrichtungen und immer mehr private Auftraggeber verlangen eine C5-Testierung (geprüfte Bestätigung durch einen Wirtschaftsprüfer) als Vorbedingung für Cloud-Bezug. Die Fassung von 2020 wurde auf den damals jungen EU Cybersecurity Act ausgerichtet; sechs Jahre später haben sich Bedrohungs- und Regulierungs-Lage weiterentwickelt.
Für wen ist das? Für IT- und Compliance-Verantwortliche, die Cloud-Dienste nach BSI C5 bewerten oder anbieten.
Kurze Antwort
C5:2026 ist am 14. Mai 2026 veröffentlicht worden und löst die Fassung von 2020 ab. Das Wichtigste in Kürze:
- 129 bestehende Kriterien überarbeitet, 39 neu hinzugekommen.
- Neuer Schwerpunkt auf Betriebsfragen: Schlüsselverwaltung und Verschlüsselungs-Architektur, sichere Datenverarbeitung über den gesamten Lebenszyklus, präzise Erfassung von Datenflüssen und Verarbeitungs-Standorten (Daten-Mapping, also eine dokumentierte Landkarte, wo welche Daten liegen und verarbeitet werden).
- Aktualisierte Normverweise: etwa auf ISO/IEC 27001:2022 statt 2013, sowie auf NIS-2 und DORA.
- Übergangsfrist bis 1. Juni 2027: ab dann müssen Bescheinigungen nach der neuen Fassung ausgestellt werden.
- Faktischer Startpunkt früher: Wer 2027 einen Bericht über zwölf Monate vorlegen will, muss die neuen Kontrollen schon ab Sommer 2026 im Betrieb haben.
Tiefgang
Was neu hinzugekommen ist
Die 39 neuen Kriterien adressieren Themen, die in der 2020er-Fassung allenfalls beiläufig vorkamen. Konkret genannt sind die Bereiche Verschlüsselungs-Verwaltung über mehrere Ebenen hinweg (Transport, Ruhezustand, in-use - also Daten während der Übertragung, im Speicher und sogar während der Verarbeitung), die Absicherung von Datenverarbeitung in spezifischen Architekturen wie Confidential Computing (Verfahren, bei denen Daten auch während der Verarbeitung im Arbeitsspeicher verschlüsselt bleiben) und die formale Dokumentation von Daten-Mapping einschließlich der Speicher- und Verarbeitungs-Standorte aller beteiligten Subunternehmer.
Die 129 überarbeiteten Kriterien betreffen unter anderem die Aktualität der Verweise auf andere Normen (ISO/IEC 27001:2022 statt 2013), die Anpassung der Incident-Response-Anforderungen (Vorgaben zum Umgang mit Sicherheitsvorfällen) an NIS-2 und DORA sowie schärfere Formulierungen zu Verfahren der koordinierten Schwachstellen-Offenlegung (geregelter Prozess, wie gemeldete Sicherheitslücken behandelt und veröffentlicht werden).
Verhältnis zu C3A
C5:2026 bleibt der Sicherheits-Katalog, C3A ist der ergänzende Souveränitäts-Katalog (er prüft Unabhängigkeit von Drittstaaten, nicht nur Sicherheit). In der Praxis wird ein Anbieter, der für öffentliche Aufträge oder kritische Sektoren in Frage kommen will, beide vorweisen müssen. Das BSI hat angekündigt, die Mapping-Tabelle (Gegenüberstellung, welche Kriterien sich überschneiden) zwischen C5 und C3A bei der finalen C3A-Fassung mitzuliefern, sodass redundante Prüfschritte vermieden werden können.
Wer testieren muss
Pflicht-Anwender sind:
- Öffentliche Auftraggeber des Bundes (über den Mindeststandard zur Nutzung externer Cloud-Dienste, MST-NCD).
- Betreiber kritischer Infrastrukturen nach BSI-KritisV (Verordnung, die festlegt, wer als kritische Infrastruktur gilt).
- Gesundheitseinrichtungen bei Cloud-gestützter Patientendaten-Verarbeitung.
- Vertragspartner, deren Auftraggeber C5-Konformität fordern.
Faktisch wird C5 inzwischen auch in privaten Großvergaben referenziert, was die Reichweite über den formalen Pflichtenkreis hinaus erhöht.
Wie ein vorhandenes Testat geprüft wird
Ein C5-Testat ist kein öffentliches Siegel. Es gibt kein vom BSI gepflegtes Verzeichnis testierter Anbieter, das in Echtzeit abrufbar wäre. Beschaffer müssen den Bericht beim Anbieter anfordern und selbst prüfen. Sechs Punkte sind dabei die häufigsten Stolpersteine:
- Type 1 oder Type 2. Type-1-Berichte bestätigen nur das Design der Kontrollen zu einem Stichtag (ob die Schutzmaßnahmen auf dem Papier passen). Beschaffer für KRITIS, Gesundheit oder Behörden brauchen Type 2, das heißt die Wirksamkeit der Kontrollen über einen Berichtszeitraum von typischerweise zwölf Monaten (ob sie auch tatsächlich gelebt wurden).
- Geltungsbereich. Der Bericht deckt nur die im Scope-Abschnitt (Abschnitt zum Geltungsbereich) explizit genannten Services und Regionen ab. Wer einen anderen Service desselben Anbieters nutzt, hat dafür kein Testat - das ist die häufigste praktische Lücke.
- Prüfer. Das Testat muss von einem unabhängigen Wirtschaftsprüfer nach IDW PS 860 (Prüfungsstandard des Instituts der Wirtschaftsprüfer) erstellt sein. Andere Prüfer sind außerhalb des C5-Rahmens.
- Prüfvermerk. Ein "Vermerk ohne Einschränkungen" ist die saubere Ausprägung. Modifizierte oder eingeschränkte Vermerke sind als solche markiert und müssen einzeln gelesen werden; sie sind nicht automatisch disqualifizierend, brauchen aber eine Einordnung.
- Komplementärkontrollen. Der Bericht listet Kontrollen, die der Kunde umsetzen muss, damit die Anbieter-Kontrollen wirksam werden. Beispiel: starke Authentifizierung auf Kundenseite, korrekte IAM-Konfiguration (Identity and Access Management, also die Verwaltung von Benutzern und Zugriffsrechten). Wer die übersieht, übernimmt die Lücke selbst.
- Subprozessoren. Der Bericht muss alle relevanten Subprozessoren (Subunternehmer, die im Auftrag Daten verarbeiten) auflisten. Wenn der Anbieter selbst etwa Storage oder Identity auf einen Drittanbieter auslagert, gehört dessen Kontrollumfeld zum C5-Bezugsrahmen oder es muss als Ausnahme dokumentiert sein.
Praktisch bedeutet das: ein einseitiges "C5-Zertifikat" als PDF reicht nicht für die Beschaffer-Prüfung. Was reicht, ist der vollständige Bericht inklusive Auditor-Stellungnahme, Kontroll-Matrix und Geltungsbereich. Den Bericht gibt der Anbieter typischerweise unter NDA (Vertraulichkeitsvereinbarung) heraus.
Übergangsfrist und Audit-Praxis
Die 12 Monate Übergangsfrist bis zum 1. Juni 2027 sind weniger Puffer als sie wirken. Wer 2027 einen Type-2-Bericht erhalten will (12-Monats-Berichtszeitraum), muss faktisch im Sommer 2026 die neuen Kontrollen im operativen Betrieb haben, weil sonst der Berichtszeitraum durch die alte Fassung läuft. Wer 2026 vorhat zu testieren, sollte vom Prüfer eine schriftliche Position zur Anwendung der neuen Fassung einholen.
Abgelehnte Alternativen
Eine reine Selbsterklärung ohne Prüfer. C5 kennt die "Selbsterklärung", aber die Auftraggeber-Seite akzeptiert sie kaum noch. Wer im Cloud-Geschäft mit Behörden, KRITIS oder Krankenhäusern unterwegs ist, kommt um den C5-Type-2-Bericht eines unabhängigen Prüfers nicht herum.
Stattdessen ISO 27001 testieren und C5 ignorieren. Geht in einigen Sektoren noch, aber die Mapping-Lücke ist real: ISO 27001 hat etwa 90 Annex-A-Kontrollen, C5 hat über 120 in der 2020er-Fassung und mehr in der 2026er. Wer beide Welten bedient, läuft auf zwei Audits parallel hinaus, sofern der Prüfer kein integriertes Verfahren anbietet.
Was Sie jetzt tun sollten
- Klären Sie Ihre Rolle. Müssen Sie selbst testieren (als Cloud-Anbieter) oder ein fremdes Testat prüfen (als Beschaffer)? Die nächsten Schritte unterscheiden sich grundlegend.
- Als Anbieter: Zeitachse rückwärts rechnen. Für einen Type-2-Bericht 2027 müssen die neuen Kontrollen ab Sommer 2026 nachweislich im Betrieb sein. Holen Sie vom Prüfer früh eine schriftliche Position zur neuen Fassung ein.
- Als Beschaffer: den vollständigen Bericht anfordern, nicht das einseitige PDF. Prüfen Sie Type 2, Geltungsbereich, Prüfvermerk und die Liste der Subprozessoren.
- Komplementärkontrollen abhaken. Lesen Sie, welche Maßnahmen der Bericht Ihnen als Kunden zuweist, und setzen Sie sie um - sonst bleibt die Lücke bei Ihnen.
- Schwachstellen und Verschlüsselung priorisieren. Die neuen Kriterien betreffen vor allem Schlüsselverwaltung und koordinierte Schwachstellen-Offenlegung; dort lohnt der frühe Blick auf den eigenen Reifegrad.
Wie Dernium hier hilft
Dernium fährt eigene Auth-, Office-, Watch- und Desk-Stacks in deutschen Rechenzentren ohne Drittland-Datenpfad. Die operativen Antworten auf einen Großteil der C5-Kontrollen ergeben sich aus diesen Designentscheidungen direkt. Wer als Kunde eine C5-Konformität für die eigene Cloud-Nutzung nachweisen muss, kann unsere Architektur-Dokumentation und technischen Nachweise als Grundlage nutzen.
Verifikation
Verlinkt im Fließtext. Die finale C5:2026-PDF wird über den BSI-Kriterienkatalog-Pfad verteilt; die genaue URL stellt das BSI mit der Veröffentlichung bereit.
Offene Punkte
Die genauen Kontrollnummern der 39 neuen Kriterien standen bei Redaktionsschluss noch nicht öffentlich frei verfügbar. Wer für seine Roadmap konkrete Bezüge braucht, sollte mit dem zuständigen Prüfer den Stand abgleichen. Wir aktualisieren diesen Artikel, sobald die finale Fassung im BSI-Download-Bereich erscheint.
Häufige Fragen
Was ist der Unterschied zwischen einem Type-1- und einem Type-2-Bericht?
Ein Type-1-Bericht bestätigt, dass die Sicherheitsmaßnahmen zu einem bestimmten Stichtag richtig gestaltet sind - also ob sie auf dem Papier passen. Ein Type-2-Bericht geht weiter und bestätigt, dass diese Maßnahmen über einen Zeitraum von typischerweise zwölf Monaten auch tatsächlich wirksam waren. Für Behörden, KRITIS und Gesundheitseinrichtungen ist in der Regel Type 2 erforderlich.
Reicht ein einseitiges "C5-Zertifikat" als Nachweis?
Nein. C5 kennt kein kurzes Siegel-Dokument wie etwa bei manchen ISO-Zertifizierungen. Für eine belastbare Prüfung brauchen Sie den vollständigen Bericht mit der Stellungnahme des Wirtschaftsprüfers, der Kontroll-Matrix und der genauen Angabe des Geltungsbereichs. Diesen Bericht gibt der Anbieter meist nur unter einer Vertraulichkeitsvereinbarung heraus.
Bis wann muss ich auf C5:2026 umgestellt haben?
Ab dem 1. Juni 2027 müssen Bescheinigungen nach der neuen Fassung ausgestellt werden. Diese Frist ist aber knapper, als sie wirkt: Wer für 2027 einen Bericht über zwölf Monate vorlegen will, muss die neuen Kontrollen faktisch schon ab Sommer 2026 im laufenden Betrieb haben, weil der Berichtszeitraum sonst noch unter der alten Fassung läuft.
Ersetzt C5:2026 eine ISO-27001-Zertifizierung?
Nicht vollständig. Die beiden überschneiden sich, decken sich aber nicht: ISO 27001 hat rund 90 Kontrollen im Annex A, C5 deutlich mehr. Wer Auftraggeber bedient, die beides verlangen, läuft ohne ein integriertes Prüfverfahren auf zwei getrennte Audits hinaus. Klären Sie mit dem Prüfer, ob er ein kombiniertes Verfahren anbietet.
Was hat C3A mit C5 zu tun?
C5 prüft die Sicherheit eines Cloud-Dienstes, C3A ergänzt darum den Aspekt der Souveränität - also die Unabhängigkeit von Drittstaaten. Anbieter, die für öffentliche oder kritische Aufträge in Frage kommen wollen, werden künftig beides vorlegen müssen. Das BSI will eine Gegenüberstellung der beiden Kataloge liefern, damit sich überschneidende Prüfschritte nicht doppelt anfallen.