Der neue C5:2026‑Standard des Bundesamts für Sicherheit in der Informationstechnik (BSI) stellt die bislang umfassendste Weiterentwicklung des deutschen Cloud‑Sicherheitsstandards dar. Er wurde am 7. April 2026 durch das BSI veröffentlicht und ersetzt den bisherigen C5:2020 inhaltlich wie strukturell. Die Überarbeitung reagiert auf technologische Entwicklungen wie Containerisierung, Confidential Computing und Post‑Quanten‑Kryptografie sowie auf neue regulatorische Anforderungen aus NIS2, DORA und ISO/IEC 27001:2022.

Einordnung des überarbeiteten Standards

Mit dem neuen C5:2026 verfolgt das BSI das Ziel, Cloud‑Sicherheit auf ein Niveau zu heben, das sowohl der aktuellen Bedrohungslage als auch der technologischen Realität moderner Cloud‑Architekturen entspricht. Der Standard bleibt weiterhin ein prüfbarer Kriterienkatalog, der durch Wirtschaftsprüfer im Rahmen eines ISAE‑3000‑basierten Prüfverfahrens attestiert wird.

Wesentliche Neuerungen gegenüber C5:2020

  • Stärkere regulatorische Einbettung
     C5:2026 verweist deutlicher auf europäische Vorgaben wie NIS-2, DORA und den Cyber Resilience Act. Dies entspricht der zunehmenden Erwartungshaltung an Cloud‑Provider, regulatorische Anforderungen systematisch in ihre Governance zu integrieren.
  • Erweiterte Anforderungen an Cloud‑Souveränität
     Das BSI präzisiert Anforderungen zu Datenlokalisierung, Zugriffsbeschränkungen, Schlüsselmanagement und jurisdiktionaler Kontrolle. Ergänzend zu den im C5:2026 beschriebenen Sicherheitskriterien für Cloud-Dienste hat das BSI kürzlich allgemeine Souveränitätskriterien für Cloud-Computing-Lösungen C3A („Criteria enabling Cloud Computing Autonomy“) am 27. April 2026 veröffentlicht.
  • Modernisierte Kontrollstruktur
    Einzelne Controls wurden zusammengeführt, präzisiert oder neu strukturiert, um Redundanzen zu reduzieren und die Prüfbarkeit zu erhöhen. Dies entspricht der Entwicklung, die auch in internationalen Assurance‑Frameworks (z. B. SOC‑Berichten) zu beobachten ist.
  • Erhöhte Transparenzanforderungen
     Cloud‑Provider müssen künftig detaillierter über Sub‑Service‑Provider, Architekturentscheidungen und Risikoannahmen berichten. Diese Erweiterung folgt der Linie, die das BSI bereits in C5:2020 begonnen hatte, nun aber deutlich ausbaut.

 

Anwendbarkeit nach Prüfungszeitraum

Die Frage, ob C5:2020 oder C5:2026 anzuwenden ist, richtet sich grundsätzlich nach dem Prüfungszeitraum. Die folgende Übergangslogik wird von der Prüfungsbranche breit getragen:

  • Seit Veröffentlichung: Eine freiwillige, vorzeitige Prüfung nach dem neuen Standard C5:2026 ist bereits möglich. Wir empfehlen Cloud-Anbietern den frühen Umstieg, welcher i.d.R. mit einer Gap-Analyse beginnt, in der Cloud Provider ihre bestehenden Kontrollen mit den neuen Anforderungen abgleichen. Bis dahin sind Prüfungen nach dem „alten“ Standard C5:2020 möglich.
  • 28. Februar 2027 bis 31. Mai 2027 (Übergangsphase): Wer in diesem Zeitraum noch einen Prüfbericht nach dem alten C5:2020-Standard erstellt, sind durch den Cloud Anbieter in der Systembeschreibung zusätzliche Informationen über die durchzuführenden Änderungen seines internen Kontrollsystems auf den neuen Standard bereitzustellen.
  • Ab 1. Juni 2027: Anwendung des neuen Kriterienkatalogs C5:2026.

 

Was BDO bietet

BDO begleitet Unternehmen prüferisch bei Planung und Durchführung von Prüfungen nach dem Kriterienkatalog C5 des BSI – u. a. durch:

  1. Readiness Assessment: Scoping & Mapping - Definition der Prüfungsvoraussetzungen
  2. Auditplanung: Koordinierter Prüfprozess mit geringem Zusatzaufwand
  3. Berichterstattung: ISAE 3000 Typ 1 und Typ 2 Berichterstattung – konsistent und qualitätsgesichert

Sprechen Sie uns an – wir unterstützen Sie gerne.

Dieser Artikel wurde verfasst von