BSI C5:2026: was sich im Cloud-Kriterienkatalog ändert

20. Mai 2026 4 Min Lesezeit Serie: compliance #compliance #bsi #cloud #c5 #iso27001

Das BSI hat den C5-Kriterienkatalog am 14. Mai 2026 in neuer Fassung veröffentlicht. 39 neue und 129 überarbeitete Kriterien, eine Übergangsfrist bis 1. Juni 2027 für Audits, und neue Schwerpunkte bei Verschlüsselung, Datenverarbeitung und Daten-Mapping.

Problem

Der BSI-Kriterienkatalog C5 ist seit 2016 der deutsche Maßstab für Cloud-Sicherheit. Behörden, KRITIS-Betreiber, Gesundheitseinrichtungen und immer mehr private Auftraggeber verlangen eine C5-Testierung als Vorbedingung für Cloud-Bezug. Die Fassung von 2020 wurde auf den damals jungen EU Cybersecurity Act ausgerichtet; sechs Jahre später haben sich Bedrohungs- und Regulierungs-Lage weiterentwickelt.

Kurze Antwort

C5:2026 ist am 14. Mai 2026 veröffentlicht worden. 129 bestehende Kriterien wurden überarbeitet, 39 sind neu. Der Schwerpunkt verschiebt sich von EUCA-Vorbereitung auf konkrete Betriebsfragen: Schlüsselverwaltung und Verschlüsselungs-Architektur, sichere Datenverarbeitung über Lebenszyklen hinweg, präzise Erfassung von Datenflüssen und Verarbeitungs-Standorten (Mapping). Für Audits gilt eine Übergangsfrist: ab dem 1. Juni 2027 sind Bescheinigungen verpflichtend nach der neuen Fassung auszustellen.

Tiefgang

Was neu hinzugekommen ist

Die 39 neuen Kriterien adressieren Themen, die in der 2020er-Fassung allenfalls beiläufig vorkamen. Konkret genannt sind die Bereiche Verschlüsselungs-Verwaltung über mehrere Ebenen hinweg (Transport, Ruhezustand, in-use), die Absicherung von Datenverarbeitung in spezifischen Architekturen wie Confidential Computing und die formale Dokumentation von Daten-Mapping einschließlich der Speicher- und Verarbeitungs-Standorte aller beteiligten Subunternehmer.

Die 129 überarbeiteten Kriterien betreffen unter anderem die Aktualität der Verweise auf andere Normen (ISO/IEC 27001:2022 statt 2013), die Anpassung der Incident-Response-Anforderungen an NIS-2 und DORA sowie schärfere Formulierungen zu Verfahren der koordinierten Schwachstellen-Offenlegung.

Verhältnis zu C3A

C5:2026 bleibt der Sicherheits-Katalog, C3A ist der ergänzende Souveränitäts-Katalog. In der Praxis wird ein Anbieter, der für öffentliche Aufträge oder kritische Sektoren in Frage kommen will, beide vorweisen müssen. Das BSI hat angekündigt, die Mapping-Tabelle zwischen C5 und C3A bei der finalen C3A-Fassung mitzuliefern, sodass redundante Prüfschritte vermieden werden können.

Wer testieren muss

Pflicht-Anwender sind:

Öffentliche Auftraggeber des Bundes (über den Mindeststandard zur Nutzung externer Cloud-Dienste, MST-NCD).
Betreiber kritischer Infrastrukturen nach BSI-KritisV.
Gesundheitseinrichtungen bei Cloud-gestützter Patientendaten-Verarbeitung.
Vertragspartner, deren Auftraggeber C5-Konformität fordern.

Faktisch wird C5 inzwischen auch in privaten Großvergaben referenziert, was die Reichweite über den formalen Pflichtenkreis hinaus erhöht.

Wie ein vorhandenes Testat geprüft wird

Ein C5-Testat ist kein öffentliches Siegel. Es gibt kein vom BSI gepflegtes Verzeichnis testierter Anbieter, das in Echtzeit abrufbar wäre. Beschaffer müssen den Bericht beim Anbieter anfordern und selbst prüfen. Sechs Punkte sind dabei die häufigsten Stolpersteine:

Type 1 oder Type 2. Type-1-Berichte bestätigen nur das Design der Kontrollen zu einem Stichtag. Beschaffer für KRITIS, Gesundheit oder Behörden brauchen Type 2, das heißt die Wirksamkeit der Kontrollen über einen Berichtszeitraum von typischerweise zwölf Monaten.
Geltungsbereich. Der Bericht deckt nur die im Scope-Abschnitt explizit genannten Services und Regionen ab. Wer einen anderen Service desselben Anbieters nutzt, hat dafür kein Testat - das ist die häufigste praktische Lücke.
Prüfer. Das Testat muss von einem unabhängigen Wirtschaftsprüfer nach IDW PS 860 erstellt sein. Andere Prüfer sind außerhalb des C5-Rahmens.
Prüfvermerk. Ein "Vermerk ohne Einschränkungen" ist die saubere Ausprägung. Modifizierte oder eingeschränkte Vermerke sind als solche markiert und müssen einzeln gelesen werden; sie sind nicht automatisch disqualifizierend, brauchen aber eine Einordnung.
Komplementärkontrollen. Der Bericht listet Kontrollen, die der Kunde umsetzen muss, damit die Anbieter-Kontrollen wirksam werden. Beispiel: starke Authentifizierung auf Kundenseite, korrekte IAM-Konfiguration. Wer die übersieht, übernimmt die Lücke selbst.
Subprozessoren. Der Bericht muss alle relevanten Subprozessoren auflisten. Wenn der Anbieter selbst etwa Storage oder Identity auf einen Drittanbieter auslagert, gehört dessen Kontrollumfeld zum C5-Bezugsrahmen oder es muss als Ausnahme dokumentiert sein.

Praktisch bedeutet das: ein einseitiges "C5-Zertifikat" als PDF reicht nicht für die Beschaffer-Prüfung. Was reicht, ist der vollständige Bericht inklusive Auditor-Stellungnahme, Kontroll-Matrix und Geltungsbereich. Den Bericht gibt der Anbieter typischerweise unter NDA heraus.

Übergangsfrist und Audit-Praxis

Die 12 Monate Übergangsfrist bis zum 1. Juni 2027 sind weniger Puffer als sie wirken. Wer 2027 einen Type-2-Bericht erhalten will (12-Monats-Berichtszeitraum), muss faktisch im Sommer 2026 die neuen Kontrollen im operativen Betrieb haben, weil sonst der Berichtszeitraum durch die alte Fassung läuft. Wer 2026 vorhat zu testieren, sollte vom Prüfer eine schriftliche Position zur Anwendung der neuen Fassung einholen.

Abgelehnte Alternativen

Eine reine Selbsterklärung ohne Prüfer. C5 kennt die "Selbsterklärung", aber die Auftraggeber-Seite akzeptiert sie kaum noch. Wer im Cloud-Geschäft mit Behörden, KRITIS oder Krankenhäusern unterwegs ist, kommt um den C5-Type-2-Bericht eines unabhängigen Prüfers nicht herum.

Stattdessen ISO 27001 testieren und C5 ignorieren. Geht in einigen Sektoren noch, aber die Mapping-Lücke ist real: ISO 27001 hat etwa 90 Annex-A-Kontrollen, C5 hat über 120 in der 2020er-Fassung und mehr in der 2026er. Wer beide Welten bedient, läuft auf zwei Audits parallel hinaus, sofern der Prüfer kein integriertes Verfahren anbietet.

Wie Dernium hier hilft

Dernium fährt eigene Auth-, Office-, Watch- und Desk-Stacks in deutschen Rechenzentren ohne Drittland-Datenpfad. Die operativen Antworten auf einen Großteil der C5-Kontrollen ergeben sich aus diesen Designentscheidungen direkt. Wer als Kunde eine C5-Konformität für die eigene Cloud-Nutzung nachweisen muss, kann unsere Audit-Protokolle und die Architektur-Dokumentation als Grundlage nutzen.

Verifikation

Verlinkt im Fließtext. Die finale C5:2026-PDF wird über den BSI-Kriterienkatalog-Pfad verteilt; die genaue URL stellt das BSI mit der Veröffentlichung bereit.

Offene Punkte

Die genauen Kontrollnummern der 39 neuen Kriterien standen bei Redaktionsschluss noch nicht öffentlich frei verfügbar. Wer für seine Roadmap konkrete Bezüge braucht, sollte mit dem zuständigen Prüfer den Stand abgleichen. Wir aktualisieren diesen Artikel, sobald die finale Fassung im BSI-Download-Bereich erscheint.

Redaktioneller Hinweis

Die Inhalte dieses TechTalks wurden nach bestem Wissen und Gewissen erstellt und aufwendig recherchiert. Sie stellen grundsätzlich nur den Stand zum Zeitpunkt der redaktionellen Veröffentlichung dar. Sollte es wichtige Änderungen geben, verlinken wir kurze Aktualisierungsartikel zumeist direkt aus den Bezugsartikeln heraus; für ein vollständiges Bild sollten dann alle zusammengehörigen Artikel gelesen werden.

Wir bitten von konkreten Anfragen zu unseren Artikeln abzusehen (Ausnahme: Hinweise auf Fehler, die korrigiert werden sollten), da wir zu den hier aufgegriffenen Themen keine Beratungsleistungen anbieten können, insbesondere keine juristischen. Inwiefern Dernium Produkte in den hier beschriebenen Kontexten helfen können, ist in den Artikeln jeweils kurz umrissen, aber typischerweise nicht der Fokus dieser allgemeinen Informationsartikel.