Zur Newsübersicht

Neuer C5-Standard: Anforderungen und Änderungen für Cloud-Anbieter

Neuer C5-Standard: Anforderungen und Änderungen für Cloud-Anbieter
  • 22.05.2026
  • Lesezeit 4 Minuten
Digital Cybersecurity

Der Cloud Computing Compliance Criteria Catalogue (C5) ist der Sicherheitsstandard des BSI für professionelle Cloud-Dienste. Er definiert Mindestanforderungen an Informationssicherheit und Transparenz von Cloud-Anbietern und macht diese durch ein Testat eines Wirtschaftsprüfers nachweisbar. Der 2016 erstmals veröffentlichte C5 schuf eine einheitliche Grundlage zum Vergleich von Sicherheitsaspekten im wachsenden Cloud-Markt. Mit dem C5:2026 veröffentlichte das BSI im März 2026 eine aktualisierte und nachgeschärfte Version des Kriterienkatalogs.

Welche Cloud-Anbieter betroffen sind 

Relevant ist der C5 für Cloud-Anbieter, deren Dienste im Umfeld regulierter Branchen genutzt werden – von Hyperscalern über SaaS-Anbieter bis zu spezialisierten Plattformen für Gesundheitswesen, Finanzsektor, KRITIS-Betreiber und öffentliche Verwaltung. Im Gesundheitswesen ist der C5 seit Inkrafttreten von § 393 SGB V de facto Pflicht: Leistungserbringer, gesetzliche Kranken- und Pflegekassen sowie deren Auftragsverarbeiter dürfen Sozial- und Gesundheitsdaten nur dann in der Cloud verarbeiten, wenn ein aktuelles C5-Typ-2-Testat vorliegt. 

Neue Anforderungen nach C5:2026 

Die meisten Kontrollen aus der Vorgängerversion C5:2020 finden sich auch 2026 wieder, oft aber mit höherem Detailgrad. Die wichtigsten Schwerpunkte: 

  • Moderne Cloud-Realität: C5:2026 adressiert aktuelle Architekturen (Container, Microservices, Multi-Cloud) deutlicher. 
  • Schärfere Überwachung: Monitoring und Angriffserkennung bekommen mehr Gewicht. Vorfälle sollen schneller erkannt und sauberer dokumentiert werden. 
  • Lieferkette unter der Lupe: Wer auf welche Subdienstleister baut, muss transparenter und engmaschiger nachgewiesen werden. 
  • Vorfallmanagement geschärft: Es gelten strengere Vorgaben für Reaktion, Eskalation und Aufarbeitung. 
  • Zukunftstechnologien adressiert: Erstmals enthalten sind Anforderungen zu Post-Quanten-Kryptographie, Confidential Computing und einer geschärften Betrachtung der Mandantentrennung. 
  • Mehr Beweis, weniger Behauptung: Selbst dort, wo Kontrollen gleich aussehen, müssen Nachweise und Dokumentation oft tiefer gehen. 

C5 baut auf etablierten Standards auf, insbesondere ISO/IEC 27001, geht aber gezielt über deren Anforderungen hinaus: Er adressiert cloud-spezifische Risiken wie Mandantentrennung, Datenlokalisation und Transparenzpflichten des Anbieters und verlangt einen prüferischen Nachweis nach ISAE 3000. Mit C5:2026 wird der Katalog zudem strukturell und inhaltlich an das künftige europäische Zertifizierungsschema EUCS angelehnt. Anbieter, die heute in den C5:2026 investieren, schaffen damit eine belastbare Grundlage für die spätere EUCS-Konformität. 

Was Cloud-Anbieter jetzt tun sollten 

Der Weg zur C5:2026 lässt sich in drei Schritte gliedern: 

  1. Gap-Analyse: Welche Kontrollen aus C5:2020 lassen sich übernehmen? Wo entstehen Lücken – inhaltlich oder bei den Nachweisen? Effizient ist es, die Analyse als Nebenprodukt einer ohnehin anstehenden C5:2020-Prüfung mitlaufen zu lassen. 
  2. Umsetzung: Neue und verschärfte Kontrollen implementieren, Dokumentation auf das erhöhte Nachweisniveau heben, Prozesse und Verantwortlichkeiten schärfen. 
  3. Testierung: Erst- oder Folgetestat durch den Wirtschaftsprüfer. 

Fristen und Übergangsregelungen im Überblick 

C5:2020 bleibt übergangsweise zulässig. Maßgeblich ist der Stichtag beziehungsweise der geprüfte Zeitraum: 

  • Typ-1-Prüfungen: C5:2026 ist verpflichtend, wenn der Stichtag nach dem 01.06.2027 liegt. 
  • Typ-2-Prüfungen: C5:2026 ist verpflichtend, wenn der geprüfte Zeitraum nach dem 01.06.2027 beginnt. 

Entscheidend ist: Die neuen Kontrollen müssen bereits zu Beginn des Prüfungszeitraums implementiert sein. Für eine Typ-2-Prüfung über den Zeitraum 01.06.2027 bis 31.05.2028 bedeutet das: Das IKS muss spätestens zum 31.05.2027 vollständig überarbeitet und produktiv sein. Faktisch verschiebt sich der Zieltermin damit um ein Jahr nach vorn. Der Übergang muss also bereits während des letzten C5:2020-Prüfungszeitraums vollzogen werden. 

Effizient ist eine parallele Vorgehensweise: Die anstehenden C5:2020-Prüfungen können als Gap-Analyse für den C5:2026 genutzt werden. Defizite werden so frühzeitig und mit minimalem Zusatzaufwand sichtbar – und es bleibt Zeit, sie vor dem Wirksamkeitsbeginn zu schließen. 

Wer den Übergang verpasst, riskiert mehr als einen Imageschaden. Im Gesundheitswesen führt ein abgelaufenes oder fehlendes C5-Typ-2-Testat zum unmittelbaren Marktausschluss, weil die Verarbeitung von Sozial- und Gesundheitsdaten ohne gültigen Nachweis unzulässig ist. Im öffentlichen Sektor und bei KRITIS-nahen Kunden ist das C5-Testat regelmäßig Vergabevoraussetzung. Hinzu kommt: Eine Lücke zwischen zwei Testatzeiträumen ist gegenüber Bestandskunden vertraglich häufig nicht abgedeckt. Bereits wenige Wochen ohne gültiges Testat können zu Vertragsstörungen oder Sonderkündigungsrechten führen. 

Wie wir Sie unterstützen 

Bei Baker Tilly begleiten wir Cloud-Anbieter durch alle Phasen: von der Gap-Analyse über die revisorische Begleitung bei der Umsetzung bis zur C5-Testierung (Erst- oder Folgetestat).  

Sprechen Sie uns an – gemeinsam definieren wir den schnellsten und effizientesten Weg von C5:2020 zu C5:2026 für Ihre Organisation.  

Diesen Beitrag teilen:

Autor dieses Artikels

Boris Ortolf

Boris Ortolf

Director

Certified Information Systems Security Professional (CISSP), Certified Cloud Security Professional (CCSP)

Was können wir für Sie tun?

Sprechen Sie mit uns – einfach unverbindlich

Jetzt Kontakt aufnehmen

Diese Newsbeiträge könnten Sie auch interessieren

Alle Beiträge anzeigen