Partner
CISA, Diplom-Kaufmann, ISO 27001 Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager, Zertifizierter IT-Security-Auditor, Zertifizierter IT-Sicherheitsbeauftragter
C5-Testat nach ISAE 3000
Cloud-Computing hat in den letzten Jahren kontinuierlich an Bedeutung gewonnen. Unternehmen verlagern zunehmend Anwendungen und IT-Umgebungen in öffentliche, private oder hybride Cloud-Umgebungen.
Jonas Buckel
Associate Partner
B.A. Wirtschaftsinformatik, Certified Information Systems Auditor (CISA), IT-Auditor IDW, Zertifizierter IT-Sicherheitsbeauftragter
Keine Auslagerung ohne C5-Testat!
Für Leistungserbringer im Sinne des Vierten Kapitels (z.B. Krankenhäuser) und Kranken- und Pflegekassen war der Weg aufgrund der Sensibilität der verarbeiteten Daten bisher sehr riskant. § 393 SGB V definiert nun die Anforderungen, nach denen eine Auslagerung der Datenverarbeitung von Gesundheits- und Sozialdaten in die Cloud möglich ist.
Unter anderem benötigt der Anbieter eine aktuelle Testierung nach dem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten C5-Standard. Der „BSI Cloud Computing Compliance Criteria Catalogue“ (kurz: BSI C5) ist ein Kriterienkatalog, der Mindestanforderungen an die Informationssicherheit für Cloud-Dienste spezifiziert.
Er richtet sich in erster Linie an professionelle Cloud-Anbieter, deren Prüfer und Kunden. Das Ziel des BSI C5 ist es, die transparente Darstellung der Informationssicherheit eines Cloud-Dienstes auf Basis einer standardisierten Prüfung zu ermöglichen. Durch die Anwendung des C5-Katalogs können Cloud-Kunden eine wichtige Orientierung für die Auswahl eines Anbieters erhalten und ein kundeneigenes Risikomanagement durchführen.
Die C5-Testierung darf ausschließlich durch Wirtschaftsprüferinnen, Wirtschaftsprüfer und Wirtschaftsprüfungsgesellschaften durchgeführt werden.
Welche Versionen des C5-Kriterienkatalogs gibt es?
Aktuell sind zwei Versionen des BSI-Kriterienkatalogs im Umlauf: der bisherige C5:2020 und der seit Ende März 2026 veröffentlichte C5:2026.
Der neue C5:2026 umfasst 168 Basiskriterien (gegenüber 121 im C5:2020), die in 462 Subkriterien aufgeteilt sind, was die Prüfung deutlich granularer und aufwändiger macht. Für die gesetzliche Verpflichtung nach § 393 SGB V sind dabei ausschließlich die Basiskriterien verpflichtend.
Welche Version für eine Prüfung maßgeblich ist, hängt vom Zeitpunkt der Testierung ab – und die Übergangsfristen sind kurz:
| Variante: | Anforderungen an die Testierung: |
| Typ-1-Stichtag oder Typ-2-Zeitraum endet vor 28.02.2027 | Prüfung noch vollständig nach C5:2020 möglich, keine Zusatzinfos notwendig |
| Typ-1-Stichtag oder Typ-2-Zeitraum endet zwischen 28.02.2027 und 31.05.2027 | Prüfung noch nach C5:2020 möglich, aber Systembeschreibung muss geplante Änderungen Richtung C5:2026 dokumentieren |
| Typ-1-Stichtag ist nach oder Typ-2-Berichtszeitraum beginnt ab 01.06.2027 | Ausschließlich C5:2026 anwendbar |
Bitte berücksichtigen Sie bei der Zeitplanung auch, dass für Typ-2-Prüfungen die notwendigen Kontrollen frühzeitig eingerichtet, dokumentiert und im Alltag verankert sein müssen – die Vorbereitung beginnt daher bereits jetzt.
Gerne unterstützen wir Sie bei der Vorbereitung auf eine C5-Testierung oder mit der Durchführung der Prüfung.
Unsere Leistungen:
GAP-Analyse zur Umsetzung des BSI C5-Kriterienkatalogs
Vor einer C5-Testierung steht die strukturierte Bestandsaufnahme. Bei Erstanwendern prüfen wir, ob das bestehende Informationssicherheits-Managementsystem die 168 Basiskriterien des C5:2026 erfüllt. Bei bestehenden C5:2020-Testaten gleichen wir die bisher erfüllten 121 Basiskriterien mit den neuen Anforderungen sowie den vertieften Subkriterien ab. Ergebnis ist ein priorisierter Maßnahmenplan mit Handlungsbedarf, Verantwortlichkeiten und Zeitrahmen.
- Prüfung der bestehenden ISMS-Strukturen
- Abgleich mit C5:2026 und relevanten Subkriterien
- Analyse typischer Lücken, etwa bei Nachweisen, Lieferketten oder Business Continuity
- Maßnahmenplan als Grundlage für die Prüfungsreife
Unterstützung bei der Vorbereitung auf die C5-Testierung
Auf Basis der GAP-Analyse begleiten wir Cloud-Anbieter und auslagernde Einrichtungen auf dem Weg zur Prüfungsreife. Im Fokus stehen die Umsetzung der identifizierten Maßnahmen, die Aufbereitung prüfungsfähiger Nachweise sowie die strukturierte Systembeschreibung als zentrales Prüfungsdokument. Beim Umstieg von C5:2020 auf C5:2026 achten wir besonders auf belastbare Kontrollen zu den neuen Subkriterien.
- Erstellung und Aktualisierung relevanter Richtlinien
- Aufbereitung von Prozessbeschreibungen und Nachweisdokumenten
- Unterstützung bei technischen und organisatorischen Kontrollen
Vorbereitung interner Teams auf Prüfergespräche
Hinweis: Vorbereitung und anschließende Prüfungsdurchführung können aus Unabhängigkeitsgründen nicht durch uns kombiniert werden.
Durchführung von C5-Testierungen nach ISAE 3000
Wir führen C5-Testierungen als Wirtschaftsprüfungsgesellschaft auf Basis von ISAE 3000 durch. Die Prüfung betrachtet nicht nur die technische Infrastruktur, sondern auch die Anwendungsebene von Cloud-Diensten, etwa SaaS-Lösungen in der Gesundheits- und Sozialwirtschaft. Cloud-Anbieter erhalten ein Testat, das sie Kunden, Aufsichtsbehörden oder weiteren Stakeholdern als Nachweis zur Verfügung stellen können.
- Typ-1-Prüfung: bestätigt die Angemessenheit der implementierten Kontrollen zu einem bestimmten Stichtag.
- Typ-2-Prüfung: bewertet die Wirksamkeit der Kontrollen über einen definierten Betrachtungszeitraum. Das Testat ist jährlich zu erneuern.
Newsletter
Mit unserem „Newsletter Gesundheits- und Sozialwirtschaft“ erhalten Sie monatlich aktuelle und praxisnahe Informationen zu den relevanten Themen aus den Bereichen Wirtschaft, Steuern, Recht und IT – speziell für die Gesundheits- und Sozialwirtschaft.