Deutschland April 2026: BSI veröffentlicht C5:2026 mit 168 Kriterien – Validato Regulations digitalisiert C5-Gap-Analyse, Anforderungsmanagement und T

Cloud Computing ist die Basis der modernen industrialisierten IT – und damit Ziel einer wachsenden Zahl von Cyberangriffen. Das BSI stellt diesem Risiko seit 2016 mit dem Cloud Computing Compliance Criteria Catalogue (C5) einen robusten, prüfbaren Sicherheitsstandard entgegen. Am 7. April 2026 veröffentlichte das BSI die dritte und grundlegend überarbeitete Version: den C5:2026.

Mit 168 Kriterien in 17 Themengebieten setzt er neue Masssätze – und Validato unterstützt Cloud-Anbieter, -Nutzer und Compliance-Teams mit dem Modul „Validato Regulations C5-BSI“ bei der strukturierten, digitalen Vorbereitung.

Deutschland: C5:2026 als Meilenstein der Cybernation Deutschland

In Deutschland sind C5-Testate längst nicht mehr freiwillig – in regulierten Sektoren sind sie gesetzliche Pflicht:

• Gesundheitswesen (§ 393 SGB V / DigiG): Seit 1. Juli 2025 ist ein C5-Typ-2-Testat Pflicht für alle Cloud-Dienste, die Patientendaten verarbeiten. Betroffen: Krankenhäuser, Arztpraxen, MVZ, Apotheken, Kranken- und Pflegekassen.
• Finanzsektor (DORA): Seit Januar 2025 wird das C5-Testat als komplementärer Nachweis für IKT-Risikomanagementanforderungen nach DORA anerkannt.
• Öffentliche Verwaltung: C5 ist de-facto-Pflicht bei der Beschaffung von Cloud-Diensten durch Bundesbehörden und öffentliche Einrichtungen.
• NIS2 (NIS2UmsuCG seit Dezember 2025): C5 wird als branchenspezifischer Nachweis für NIS2-Cloud-Sicherheitspflichten in 18 Sektoren anerkannt.

“Mit dem C5:2026 haben wir die nächste Generation unseres etablierten Kriterienkatalogs für sicheres Cloud Computing veröffentlicht. Er ist ein wichtiger Baustein für die Cybernation Deutschland, der auch international auf eine breite Resonanz stösst.”
– BSI-Präsidentin Claudia Plattner, 7. April 2026

Der C5:2026: Was sich fundamental geändert hat

• 168 Kriterien in 17 Themengebieten: C5:2020 umfasste 121 Kriterien. C5:2026 erweitert auf 168 – mit neuer Unterkriterien-Struktur für klarere Zuordnung zu internen Kontrollsystemen.
• Neue Unterscheidung bei Zusätzkriterien: „Additional Complement“ (ergänzt Basiskriterium) und „Additional Sharpen“ (verschärft und ersetzt Basiskriterium) schaffen Klarheit für Organisationen mit erhöhtem Schutzbedarf.
• Drei neue Themenbereiche: Container-Management, Confidential Computing und Post-Quanten-Kryptographie werden erstmals als eigenständige Bereiche verankert.
• Post-Quanten-Kryptographie (Kapitel 5.8): Neue Vorgaben zu Hybridverfahren zum Schutz vor quantencomputerbasierten Angriffen – Cloud-Anbieter müssen diese Vorbereitungen jetzt beginnen.
• Container-Management: Detaillierte Anforderungen für containerisierte Cloud-Architekturen (Docker, Kubernetes).
• Supply-Chain-Sicherheit: Verschärfte Anforderungen an Unterauftragnehmer und Lieferanten im Cloud-Stack.
• Enge Ausrichtung an EUCS: C5:2026 ist inhaltlich und strukturell auf das EU Cybersecurity Certification Scheme for Cloud Services (EUCS) ausgerichtet.

Übergangsfrist bis 1. Juni 2027: Was Cloud-Anbieter in Deutschland jetzt tun müssen

• Ab 1. Juni 2027 verbindlich: Prüfzeiträume für Typ-2-Testate, die am oder nach dem 1. Juni 2027 beginnen, müssen nach C5:2026 durchgeführt werden.
• Übergangsregelung bis 28. Februar 2027: Endet ein C5:2020-Testat nach dem 28. Februar 2027, müssen in der Systembeschreibung bereits zusätzliche Informationen zu geplanten Änderungen auf C5:2026 bereitgestellt werden.
• Bestehende C5:2020-Testate: Bleiben bis zum aufgedruckten Ablaufdatum gültig für Ausschreibungen und Kundenanfragen.
• Kreuzreferenztabelle C5:2026: Veröffentlichung durch das BSI voraussichtlich bis Ende Q2 2026 – erlaubt strukturierten Vergleich zwischen C5:2020 und C5:2026.

Österreich und Europa: C5 im Kontext von EUCS und nationalem Recht

In Österreich erfasst der C5 als de-facto-Standard auch österreichische Behörden und regulierte Unternehmen (Banken, Versicherungen, Gesundheitseinrichtungen). Europäisch entscheidend: C5:2026 ist auf das EUCS ausgerichtet. Für internationale Cloud-Anbieter aus den USA, Japan oder Asien, die den deutschen oder europäischen Markt bedienen, ist das C5-Testat de facto ein Marktzugangsnachweis.

C5-Testat Typ 1 und Typ 2: Der Prüfprozess durch Wirtschaftsprüfer

• C5 Typ 1 (Angemessenheitsprüfung): Wirtschaftsprüfer bestätigt, dass Sicherheitsmassnahmen zum Stichtagszeitpunkt angemessen konzipiert sind. Im Gesundheitswesen bis 30. Juni 2025 ausreichend.
• C5 Typ 2 (Wirksamkeitsprüfung): Bestätigung, dass Massnahmen über einen Beobachtungszeitraum (typisch 6–12 Monate) wirksam betrieben wurden. Seit Juli 2025 Pflicht im Gesundheitswesen.
• Prüferqualifikation: Nachgewiesene Qualifikationen erforderlich – z. B. CISA, CISM, CRISC (ISACA), CCSK (CSA), CCSP oder ISO-27001- und IT-Grundschutz-Auditoren gemäss C5:2026 Abschnitt 3.4.2.
• Vorhandene Zertifikate werden nicht anerkannt: ISO-27001-Zertifikate, SOC 2 o. ä. können im C5-Audit nicht direkt als Nachweis eingesetzt werden.

Validato Regulations C5-BSI: Die digitale Plattform für strukturierte Testat-Vorbereitung

• C5:2026-Anforderungsmanagement: Alle 168 Kriterien in 17 Themengebieten; Unterkriterien-Struktur; getrennte Verwaltung von Basis- und Zusätzkriterien; automatische BSI-Updates.
• C5:2020 → C5:2026-Transition-Workflow: Gap-Analyse auf Basis der BSI-Kreuzreferenztabellen; Priorisierung nach neuen Themenbereichen (Container, Post-Quanten, Confidential Computing, Supply Chain).
• Typ-1 und Typ-2-Audit-Vorbereitung: Dedizierter Workflow für beide Testat-Typen; Systembeschreibung nach ISAE-3000-Standard; Beobachtungszeitraum-Management für Typ-2 inkl. Nachweis-Tracking.
• Gesundheitswesen-Compliance (§ 393 SGB V): Spezielles Modul für DigiG-Anforderungen; Typ-1-zu-Typ-2-Transitionsdokumentation; Gap-Analyse-Dokumente für Ausnahmeregelungen.
• Container-Management und OT-Sicherheit: Anforderungsmanagement für neue C5:2026-Controls zu Docker/Kubernetes; Integration mit DORA-IKT-Drittanbieter-Management.
• Post-Quanten- und Kryptographie-Management: Verwaltung der neuen C5:2026-Anforderungen; Inventarisierung kryptographischer Algorithmen mit Risikobewertung.
• NIS2 / DORA / ISO-27001-Mapping: Automatisches Cross-Referencing der C5:2026-Kriterien mit NIS2, DORA-IKT-Kontrollen und ISO-27001:2022; Lückenidentifikation bei regulatorischen Änderungen.
• EUCS-Vorbereitungsmodul: Frühzeitige Abbildung der EUCS-relevanten C5:2026-Anforderungen für Cloud-Anbieter, die sich auf die europäische Cloud-Zertifizierung vorbereiten.
• Revisionssicherer Audit-Trail: Zeitgestempelt, vollständig bereit für Wirtschaftsprüfer-Prüfprozess und BSI-Überprüfungen.

Zahlen, Daten, Fakten: BSI C5 in Deutschland und Europa

• 2016: Erstveröffentlichung des BSI C5 – erster etablierter Sicherheitsstandard für Cloud Computing in Deutschland.
• 2020: C5:2020 mit 121 Kriterien in 17 Themengebieten.
• April 2026: Veröffentlichung des C5:2026 mit 168 Kriterien – dritte Generation des Kriterienkatalogs.
• Juni 2027: Verbindlichkeit des C5:2026 für alle neuen Typ-2-Testat-Prüfzeiträume.
• Juli 2025: C5-Typ-2-Testat gesetzliche Pflicht im deutschen Gesundheitswesen (§ 393 SGB V / DigiG).
• 100+ C5-Testate bereits für nationale, europäische und weltweite Cloud-Anbieter ausgestellt.
• 168 vs. 121 Kriterien: 47 neue bzw. überarbeitete Kriterien gegenüber C5:2020; drei neue Themenbereiche.
• ISAE 3000 (Revised): Internationaler Prüfungsstandard, nach dem ausschliesslich Wirtschaftsprüfer C5-Testate ausstellen dürfen.

“Der C5:2026 bringt nicht nur mehr Sicherheit, sondern hebt auch die Nutzerfreundlichkeit auf ein neues Level: Die überarbeitete Struktur mit Unterkriterien macht es Cloud-Anbietern einfacher, die Anforderungen ihrem internen Kontrollsystem zuzuordnen.”
– BSI-Vizepräsident Thomas Caspers, April 2026