![[interface] image of software security protocols (for a ai fintech company)](https://cdn.prod.website-files.com/699c7648302f682a7e5d774f/69ce3b7bed397585bb95389b_charlesdeluvio-rRWiVQzLm7k-unsplash.jpg)
Der BSI C5 (Cloud Computing Compliance Criteria Catalogue) gilt nicht pauschal für alle Organisationen. Für Cloud-Dienstleister und deren Kunden in bestimmten Branchen und Rechtsgebieten hat sich die C5-Attestierung jedoch von einer freiwilligen Best Practice zu einer handfesten Compliance-Pflicht entwickelt. Wer in der zunehmend regulierten deutschen Cloud-Landschaft als Compliance-Verantwortlicher, CISO oder Technologieentscheider agiert, muss wissen, wann C5 verbindlich wird.
Die stärkste gesetzliche Verankerung von C5 betrifft den deutschen Gesundheitssektor. § 393 SGB V, eingeführt durch das Digitalgesetz (DigiG), schreibt seit dem 1. Juli 2024 vor, dass alle Leistungserbringer im Sinne des Vierten Kapitels SGB V – darunter Krankenhäuser, Arztpraxen, MVZ und Apotheken –, Kranken- und Pflegekassen sowie ihre Auftragsdatenverarbeiter für genutzte Cloud-Dienste eine gültige C5 Typ II-Attestierung der datenverarbeitenden Stelle vorhalten müssen.
Dies gilt für:
Das Typ II-Testat ist keine einmalige Hürde: Anbieter müssen die Wirksamkeit ihrer Kontrollen fortlaufend über einen Zeitraum von sechs bis zwölf Monaten nachweisen. Für IT-Systeme, die nach dem 30. Juni 2025 erstmals auf den Markt kommen, gilt eine Übergangsregelung: In den ersten 18 Monaten nach Markteinführung reicht ein Typ I-Testat aus; ab dem 19. Monat ist das Typ II-Testat verpflichtend (§ 393 Abs. 4 SGB V).
Seit 2020 orientieren sich deutsche Bundesbehörden bei der Beschaffung von Cloud-Diensten an den C5-Kriterien als Sicherheitsmaßstab.
Obwohl der BSI C5 technisch gesehen als Leitlinie und nicht als Gesetz positioniert ist, verlangen öffentliche Vergabeverfahren und Ausschreibungen ausdrücklich C5-Attestierungen. Für Anbieter, die Bundes- oder Landesbehörden ansprechen, ist C5-Konformität damit faktisch verpflichtend.
Organisationen, die gemäß deutschem Recht als Kritische Infrastruktur eingestuft sind – insbesondere in den Sektoren Energie, Wasser, Telekommunikation und Gesundheit – unterliegen strengen Anforderungen an die Cloud-Sicherheit. Nach den KRITIS-Anforderungen des § 30 BSIG (neue Fassung seit Dezember 2025) müssen KRITIS-Betreiber nachweisen, dass sie geeignete, verhältnismäßige und wirksame technische und organisatorische Sicherheitsmaßnahmen umsetzen.
Eine gültige C5-Attestierung kann diesen Nachweis erbringen – vorausgesetzt, der Prüfungsumfang deckt das gesamte betroffene System ab. C5 kann für KRITIS-Betreiber, die Cloud-Dienste nutzen, ein geeignetes Nachweismittel sein – ist aber nicht gesetzlich vorgeschrieben. Wird der Prüfungsumfang nicht vollständig abgedeckt, müssen Betreiber ihn erweitern oder ergänzende Prüfungen durchführen.
Auch ohne gesetzliche Pflicht hat sich C5 im deutschen Finanzsektor faktisch zum Branchenstandard entwickelt. Banken, Versicherungen und Finanzdienstleister verlangen von ihren Cloud-Anbietern regelmäßig eine C5-Attestierung – als Beleg dafür, dass Sicherheitskontrollen nicht nur auf dem Papier existieren, sondern im Betrieb wirksam sind.
Seit Januar 2025 verstärkt der Digital Operational Resilience Act (DORA) diesen Druck: Die EU-Verordnung verpflichtet Finanzunternehmen und ihre IKT-Drittanbieter zu nachweisbarer digitaler Betriebsstabilität. Eine C5-Attestierung kann dabei unterstützend zur Erfüllung der Drittanbieter-Governance-Anforderungen nach DORA beitragen.
Die BaFin erwartet von beaufsichtigten Instituten eine robuste Steuerung ihrer Cloud-Dienstleister. Für Anbieter, die in diesem Markt aktiv sind, ist C5 damit weniger optionales Qualitätsmerkmal als faktische Marktzugangsvoraussetzung.
Auch außerhalb Deutschlands fordern europäische Organisationen mit strengen Datenschutz- und Sicherheitsanforderungen zunehmend die C5-Attestierung als Nachweis der Cloud-Sicherheitsreife. Dies gilt insbesondere für:
Wer keine C5-Attestierung vorweisen kann, scheidet in diesen Märkten häufig schon in der Vorauswahl aus. Securance unterstützt SaaS- und Technologieunternehmen dabei, die sich überschneidenden Anforderungen aus C5, NIS2 und DSGVO effizient zu managen.
Hält ein Cloud-Dienstleister eine C5-Attestierung, erbringt aber Teile seiner Leistung über Unterauftragnehmer, müssen die von diesen erbrachten Leistungen im Prüfungsansatz des Hauptanbieters angemessen abgedeckt sein. Das BSI definiert dafür zwei Wege: Bei der Inclusive-Methode werden die Leistungen des Unterauftragnehmers vollständig in den Prüfungsumfang des Hauptanbieters einbezogen. Beim Carve-out-Ansatz bleibt der Unterauftragnehmer außen vor – muss dann aber eigene Testate oder Nachweise vorweisen.
Das bedeutet in der Praxis: Auch Unternehmen, die selbst nicht direkt unter eine C5-Pflicht fallen, können in die Nachweispflicht geraten – nämlich dann, wenn sie einen Hauptanbieter beliefern, der Kunden aus dem Gesundheitswesen, der öffentlichen Hand oder dem KRITIS-Bereich bedient.
Auch wenn es keine gesetzliche Pflicht ist, streben viele Cloud-Anbieter die C5-Attestierung freiwillig an, um ihre Marktposition zu stärken und das Kundenvertrauen zu festigen. In Deutschland und europaübergreifend hat sich C5 zu einem Vertrauenssignal entwickelt, das mit SOC 2 in Nordamerika oder ISO 27001 weltweit vergleichbar ist.
Große Cloud-Plattformen – darunter AWS, Microsoft Azure und Google Cloud – halten C5-Attestierungen nicht deshalb aufrecht, weil sie gesetzlich vorgeschrieben sind, sondern weil ihre Unternehmens- und öffentlichen Kunden dies verlangen. Für SaaS-Unternehmen und Technologieanbieter kann C5 neue Märkte erschließen, Vertriebszyklen beschleunigen und Angebote in Wettbewerbsausschreibungen differenzieren.
BSI C5 ist in folgenden Szenarien verpflichtend:
Außerhalb dieser Kontexte ist BSI C5 nicht gesetzlich verpflichtend. Für Cloud-Anbieter, die sicherheitskritische und regulierte Kunden in Deutschland und Europa ansprechen, ist es jedoch faktisch zur Marktzugangsvoraussetzung geworden. Wer C5 anstrebt, braucht einen klar definierten Prüfungsumfang, belastbare Risikoanalysen und eine saubere Ausrichtung auf verwandte Rahmenwerke wie ISO 27001 und SOC 2.
