Home/Insights/BSI C5: Etablierung als branchenübergreifender Standard zur Cloud-Security
Veröffentlicht am 17. Dezember 2025
Lesedauer ca. 3 Minuten
Advisory & IT Audit & Assurance

BSI C5: Etablierung als branchenübergreifender Standard zur Cloud-Security

  • Der BSI C5 ist im Gesundheitswesen verpflichtend, seit 01.07.2025 nur noch mit C5 Typ 2-Testat.
  • C5 schafft prüfbare Transparenz und geht über klassische ISMS-Zertifizierungen hinaus.
  • Der C5:2025 erweitert den Fokus auf Supply Chain, KI und technische Sicherheit.
Frank Reutter
Partner
CISA, Dipl.-Wirtschaftsinformatiker, Steuerberater, Wirtschaftsprüfer
T +49 221 949 909 316
Anfrage senden
Nicolas Fehrenbach
Manager
T +49 6196 76114 718
Anfrage senden
Kontaktieren Sie uns:
Jetzt Kontakt aufnehmen
Der BSI C5 etabliert sich als Standard für sicheres Cloud Computing in Deutschland. Für das Gesundheitswesen ist er durch DigiG und § 393 SGB V verbindlich. Seit dem 01.07.2025 ist ein C5 Typ 2-Testat Pflicht, das die wirksame Umsetzung der Anforderungen über einen Zeitraum nachweist. Der Beitrag gibt einen Überblick und Ausblick auf den BSI C5:2025.

Aus dem Newsletter Reporting Trends & Solutions  Newsletter abonnieren

Der BSI C5: Mehr als ein Kriterienkatalog

Der „Cloud Computing Compliance Criteria Catalogue“ (C5) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) (kurz: BSI C5) spezifiziert die Mindestanforderungen an sicheres Cloud Computing. Das primäre Ziel ist es, ein objektivierbares Vertrauensniveau in die Informationssicherheit von Cloud-Anbietern und ihre Cloud-Dienstleistungen zu schaffen. Für Cloud-Anbieter dient der BSI C5 als Leitfaden zum sicheren Cloud-Computing, während er Cloud-Kunden eine verlässliche Basis für das eigene Risikomanagement und die Steuerung ihrer Dienstleister bietet.

Die Einhaltung der Anforderungen des BSI C5 wird mittels eines Testats auf Basis des internationalen Prüfungsstandards ISAE 3000 (Revised) durch unabhängige Wirtschaftsprüfer nachgewiesen. Dies unterstreicht den hohen Grad an Verbindlichkeit und die prüferische Tiefe, die über eine Zertifizierung eines Managementsystems (z.B. eines Informationssicherheitsmanagementsystems – ISMS), hinausgeht.

Regulatorische Grundlagen

Die Kriterien des BSI C5 sind für Organisationen im Gesundheitswesen keine Empfehlung, sondern stellen eine verbindliche regulatorische Anforderung dar. Der durch das Digital-Gesetz (DigiG) begründete § 393 SGB V, welcher am 1. Juli 2024 in Kraft trat, fordert von Leistungserbringern, Kassen und deren Auftragsverarbeitern einen Nachweis zur Einhaltung der Anforderungen des BSI C5, sobald Patientendaten in einer Cloud verarbeitet werden. Bis zum 30. Juni 2025 genügte ein C5 Typ 1-Testat zum Nachweis der Erfüllung der Anforderungen des BSI C5. Seit dem 1. Juli 2025 wird vom BSI der Nachweis eines C5 Typ 2-Test gefordert.

Das BSI bietet unter bestimmten Voraussetzungen die Möglichkeit einer Übergangsfrist bei fehlendem C5 Typ 2-Testat zum 1. Juli 2025. Für Organisationen im Gesundheitswesen, die die Anforderungen (noch) nicht vollumfänglich erfüllen, sieht das Gesetz (§ 393 Abs. 4 SGB V) eine befristete und temporäre Übergangsmöglichkeit zur Anerkennung alternativer Nachweise vor (z.B. ein gültiges ISO/IEC 27001 Zertifikat). Diese Möglichkeit ist jedoch an folgende Bedingungen geknüpft:

  1. Gap-Analyse: Es ist eine systematische Gegenüberstellung der Kontrollen (z.B. aus ISO/IEC 27001) mit den C5-Basiskriterien nachzuweisen.
  2. Maßnahmenplan: Es ist ein verbindlicher Plan zur Schließung der identifizierten Lücken vorzulegen (i.d.R. mit einer 12-monatigen Umsetzungsfrist).

Einordnung in der Praxis

Obwohl die gesetzliche Verpflichtung zur Vorlage eines C5-Nachweises derzeit ausschließlich im Rahmen der Verarbeitung von Patientendaten Anwendung findet, etabliert sich der BSI C5 zunehmend auch branchenübergreifend als relevantes Qualitätsmerkmal für sichere Cloud-Dienstleistungen.

Immer mehr Unternehmen – auch außerhalb des Gesundheitswesens – fordern von ihren Cloud-Dienstleistern ein C5-Testat, um ein transparent nachweisbares Sicherheitsniveau zu gewährleisten. Damit wird der BSI C5 zunehmend zu einem marktgetriebenen Gütesiegel, das Vertrauen schafft und für Cloud-Anbieter bereits zu einem wichtigen Differenzierungsmerkmal geworden ist.

Ausblick auf den BSI C5:2025

Das BSI entwickelt den C5 kontinuierlich weiter. Der aktuelle Community-Draft des C5:2025 (die finale Version wird für Ende 2025 erwartet) zeigt bereits eindeutige Weiterentwicklungen, die auf die Angleichung an das europäische Zertifizierungsschema – EUCS (Level Substantial) – sowie neue technologische Risiken abzielen.

Basierend auf den bisherigen BSI-Veröffentlichungen werden insbesondere folgende Themen verstärkt Berücksichtigung finden:

  • Supply Chain: Verstärkte Anforderungen an die Steuerung von Dienstleistern.
  • Neue Technologien: Adressierung neuer Risikofelder durch Anforderungen beim Einsatz von künstlicher Intelligenz.
  • Technische Vertiefung: Konkretisierte Anforderungen an die Produktsicherheit, die Trennung von Umgebungen und das Schwachstellenmanagement.

Fazit

Der BSI C5 entwickelt sich zunehmend zu einem zentralen Referenzrahmen für nachweisbare Sicherheit und Transparenz im Cloud Computing. Unabhängig von gesetzlichen Verpflichtungen gewinnt er als allgemein anerkannter Standard an Bedeutung und dient Unternehmen als verlässliche Grundlage für die Risikobewertung und die Auswahl von Cloud-Anbietern. Die stetige Weiterentwicklung des BSI C5 unterstreicht, dass Cloud-Sicherheit auch zukünftig ein aktuelles und dynamisches Thema bleiben wird.

Ähnliche Beiträge

Alle Beiträge zu diesem Thema
18.12.2025

Ready for 2026: Überblick wesentlicher Neuerungen ab 2026

Das neue Jahr 2026 hält für Unternehmen einige Neuerungen bereit, die es zu beachten und deren Auswirkungen es zu prüfen...
Advisory & IT
18.12.2025

ESMA & BaFin: Prüfungsschwerpunkte für das Geschäftsjahr 2025

ESMA und BaFin haben ihre Prüfungsschwerpunkte für 2025 veröffentlicht. Für kapitalmarktorientierte Unternehmen stehen dabei geopolitische Risiken, Segmentberichterstattung sowie spezifische Aspekte...
Audit & Assurance