Cloud Computing ist die Basis der modernen industrialisierten IT und damit essenziell für die Digitalisierung von Wirtschaft, Verwaltung und Gesellschaft. Um die Potenziale dieser Entwicklung sicher zu nutzen und die Vision einer resilienten, datengetriebenen Wirtschaft umzusetzen, braucht es industrielle Sicherheitsstandards: Sie machen Cloud-Dienste vergleichbar, schaffen Vertrauen und ermöglichen die Balance zwischen Innovation und Sicherheit.
Genau dafür steht das C5-Testat (Cloud Computing Compliance Criteria Catalogue) des Bundesamts für Sicherheit in der Informationstechnik (BSI). Es definiert Mindestanforderungen an sicheres Cloud Computing und richtet sich an professionelle Cloud-Anbieter, deren Prüfer und Kunden. Seit seiner Einführung im Jahr 2016 hat sich C5 zu einem zentralen Maßstab für Cloud-Sicherheit in Deutschland und Europa entwickelt – und wird regelmäßig aktualisiert, um technologische wie regulatorische Fortschritte zu integrieren.
Ein Standard, der Vertrauen messbar macht
Mit dem C5-Testat hat das BSI einen strukturierten Kriterienkatalog geschaffen, der den Sicherheitsgrad von Cloud-Diensten objektiv prüfbar macht. Der Katalog umfasst 17 Kontrollbereiche mit insgesamt 121 Anforderungen – von Identitäts- und Zugriffsmanagement über Netzwerksicherheit bis zu Verschlüsselung, Logging und Incident-Response.
Für Anbieter in regulierten Sektoren wie Gesundheitswesen, Finanzdienstleistungen oder kritischer Infrastruktur ist C5 längst keine freiwillige Option mehr:
- Im Gesundheitswesen ist es gemäß § 393 SGB V seit Juli 2024 verpflichtend.
- Im öffentlichen Sektor ist es Voraussetzung für IT-Vergaben.
- Im Finanzbereich steigt der regulatorische Druck durch DORA und NIS2, um Cyber-Resilienz und Sicherheitsprüfungen formal nachzuweisen.
Auch außerhalb regulierter Branchen gewinnt C5 an Bedeutung: Viele Unternehmen aus Technologie, Industrie und E-Commerce nutzen das Testat als Differenzierungsmerkmal und vertrauensbildendes Element in der Lieferkette.
C5:2025 – Die nächste Evolutionsstufe
Ende 2025 veröffentlicht das BSI die neue Version C5:2025 zunächst als Community Draft. Sie baut auf dem bewährten C5:2020 auf und integriert aktuelle europäische und technische Entwicklungen. Eine der bedeutendsten Neuerungen: Die Anforderungen des europäischen Cloud-Zertifizierungsschemas EUCS (European Cybersecurity Certification Scheme for Cloud Services) werden eng mit C5 verzahnt.
Der C5:2020 diente bereits als Basis für die Entwicklung der EUCS-Sicherheitsniveaus, insbesondere des „Substantial“-Levels. In der neuen Version werden diese Erkenntnisse zurückgeführt, um volle Kompatibilität zwischen C5 und EUCS herzustellen – ein entscheidender Schritt hin zu einer europäischen Harmonisierung der Cloud-Sicherheitsstandards.
Neben der EUCS-Integration fließen auch weitere internationale Standards und neue technische Entwicklungen ein, darunter:
- ISO/IEC 27001:2022 (Informationssicherheitsmanagement),
- CSA Cloud Controls Matrix v4,
- DORA und NIS2 (operative Resilienz und kritische Infrastrukturen),
- Post-Quanten-Kryptographie, Supply-Chain-Security, Confidential Computing und
- verbesserte Kriterien zur Mandantentrennung.
Strukturell wird der C5:2025 stärker modularisiert: Unterkriterien und Zusatzanforderungen werden klar als „additional sharpen“ (Verschärfungen) oder „additional complement“ (Ergänzungen) gekennzeichnet. Das erleichtert Cloud-Anbietern die Zuordnung zu ihrem internen Kontrollsystem (IKS) und Prüfern die Nachvollziehbarkeit der Testate.
Prüfung mit System: Typ-1 und Typ-2
Das C5-Testat kann als Typ-1-Prüfung (Bewertung des Kontroll-Designs zu einem Stichtag) oder als Typ-2-Prüfung (Wirksamkeitsprüfung über einen Zeitraum, meist 6–12 Monate) erfolgen.
Typ-2 ist dabei die Standardform für regulierte Umgebungen, da sie den laufenden Betrieb, Audit-Trails und Kontrollnachweise einbezieht.
Unternehmen, die bis Mitte 2026 gesetzlich zur Vorlage eines Typ-2-Testats verpflichtet sind, sollten bereits jetzt den Reifegrad ihrer Kontrollen bewerten und die Vorbereitung starten. Übergangsweise akzeptierte ISO-Nachweise oder Gap-Analysen sind nur befristet gültig und müssen klar dokumentiert werden.
DORA, NIS2 und die Rolle von C5
Mit der europäischen DORA-Verordnung (Digital Operational Resilience Act) und der NIS2-Richtlinie wird Cybersicherheit zu einer aufsichtsrechtlichen Pflicht. Beide Regulierungen fordern den Nachweis widerstandsfähiger IT- und Cloud-Systeme, regelmäßige Prüfungen und dokumentierte Kontrollumgebungen.
Das C5-Testat bietet hier die ideale Nachweisstruktur: Es schafft die Verbindung zwischen technischen Kontrollen, Governance-Anforderungen und regulatorischer Dokumentationspflicht.
Für Cloud-Anbieter, Software-as-a-Service-Dienstleister und IT-Integratoren ist C5 damit der praktisch umsetzbare Baustein, um DORA- und NIS2-Anforderungen systematisch zu erfüllen.
Beratung oder Prüfung – aber niemals beides
Als Wirtschaftsprüfungsgesellschaft unterstützen wir Unternehmen entlang des gesamten C5-Lebenszyklus – mit klarer Trennung zwischen Beratungsmandat und Prüfung.
- Im Readiness-Consulting begleiten wir Anbieter bei der Analyse ihres Ist-Zustands, der Zuordnung der C5-Kriterien zu bestehenden Frameworks (z. B. ISO 27001, SOC 2, TISAX) und der Definition realistischer Maßnahmenpläne.
- In der unabhängigen Prüfung attestieren wir die Erfüllung der C5‑Kriterien auf Basis von ISAE 3000 – als Typ 1 (Design zum Stichtag) oder Typ 2 (Design und Wirksamkeit über den Prüfungszeitraum) – transparent, nachvollziehbar und prüfungsfest dokumentiert.
Diese Rollenabgrenzung garantiert Unabhängigkeit, Objektivität und regulatorische Akzeptanz der Testate.
Fazit: C5 als Brücke zwischen Sicherheit, Compliance und Marktvertrauen
Das C5-Testat ist längst kein reines Compliance-Dokument mehr – es ist der operative Beweis für gelebte Cloud-Sicherheit. Es schafft Transparenz in komplexen Serviceketten, reduziert Audit-Aufwände und eröffnet neue Marktchancen.
Unternehmen, die frühzeitig auf C5:2025 umstellen, erfüllen nicht nur die heutigen Anforderungen, sondern positionieren sich auch zukunftssicher im Hinblick auf DORA, NIS2 und EUCS.
Jetzt ist der richtige Zeitpunkt, die eigene Cloud-Sicherheitsarchitektur zu überprüfen, C5-Lücken zu schließen und einen Testatfahrplan aufzubauen.
Als Wirtschaftsprüfungsgesellschaft mit technischer und regulatorischer Expertise begleiten wir Sie dabei – von der ersten Gap-Analyse bis zur unabhängigen C5-Attestierung.
Kontaktieren Sie uns, um gemeinsam Ihren individuellen Weg zur C5-Compliance zu gestalten.
Sichern Sie Ihre Cloud – und Ihr Vertrauen.
