Partner
CISA, Diplom-Kaufmann, ISO 27001 Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager, Zertifizierter IT-Security-Auditor, Zertifizierter IT-Sicherheitsbeauftragter
Der neue C5-Katalog ist da – was Sie jetzt beachten müssen
- § 393 SGB V verpflichtet Krankenhäuser zur Nutzung C5-testierter Cloud-Anbieter.
- C5:2026 ersetzt C5:2020 – mehr Kriterien, höhere Anforderungen, granularere Prüfung.
- Übergangsfristen beachten: Ab Juni 2027 gilt ausschließlich der neue C5:2026-Standard.
- Verantwortung liegt beim Anwender – aktives Testat-Management ist Pflicht.
Das BSI hat mit dem C5:2026 die Anforderungen an Cloud-Sicherheit im Gesundheitswesen deutlich verschärft. Krankenhäuser und andere Leistungserbringer sind nach § 393 SGB V für die Verarbeitung von Gesundheits- und Sozialdaten im Wege des Cloud-Computing-Dienstes verpflichtet, ausschließlich C5-testierte Cloud-Anbieter zu nutzen – und tragen dafür die volle Verantwortung.
Der neue Katalog bringt mehr Kriterien, tiefere Prüftiefe und kurze Übergangsfristen. Wer jetzt handelt, bleibt compliant und auf der sicheren Seite. Wir zeigen, was C5:2026 für Anbieter und Anwender konkret bedeutet.
Der C5-Katalog (Cloud Computing Compliance Criteria Catalogue) des BSI bildet gemäß § 393 SGB V die verbindliche Grundlage für den Einsatz von Cloud-Diensten im deutschen Gesundheitswesen. Krankenhäuser und andere Leistungserbringer nach dem 4. Kapitel des SGB V sind verpflichtet, ausschließlich Cloud-Anbieter zu nutzen, die ein gültiges C5-Testat nachweisen können – also eine durch einen unabhängigen Wirtschaftsprüfer bestätigte Konformität mit den BSI-Anforderungen.
Die Cloud-Anbieter ihrerseits müssen die im C5-Katalog definierten Anforderungen an Informationssicherheit, Transparenz und Nachvollziehbarkeit erfüllen und dies regelmäßig auditieren lassen. Ziel dieser Regelung ist es, die Verarbeitung hochsensibler Gesundheitsdaten in der Cloud auf ein nachweislich hohes Sicherheitsniveau zu heben und die Souveränität über diese Daten zu wahren.
Allgemeine Informationen
Der neue C5-Katalog C5:2026 wurde Ende März vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht. Im direkten Vergleich der beiden Standards zeigen sich erste Unterschiede:
| C5:2020 | C5:2026 | |
| Anzahl Basiskriterien | 121 | 168 |
| Anzahl Zusatzkriterien | 55 | 89 |
Für eine C5-Testierung aufgrund der gesetzlichen Verpflichtung nach § 393 SGB V sind ausschließlich die Basiskriterien verpflichtend vorgeschrieben.
Die 168 Basiskriterien sind allerdings in insgesamt 462 Subkriterien aufgeteilt, die im Rahmen einer Prüfung betrachtet werden müssen. Die Prüfung wird damit sehr viel granularer. Gleichzeitig steigt aber auch das Niveau der Anforderungen. Eine C5-Prüfung wird daher deutlich aufwändiger, sowohl in der Vorbereitung durch den Cloud-Anbieter als auch im Rahmen der C5-Prüfung.
Was bedeutet dies für Cloud-Anbieter?
Cloud-Anbieter, die ihren Kunden C5-Testate als Nachweise für die sichere Datenverarbeitung in der Cloud liefern müssen, sollten sich zeitnah mit den neuen Anforderungen auseinandersetzen.
Während manche Themen wie Vorgaben für das Homeoffice/mobiles Arbeiten der Mitarbeiter leicht umzusetzen sind, müssen allerdings auch zahlreiche technische Maßnahmen umgesetzt werden.
Es sollte daher eine GAP-Analyse durchgeführt und die neuen Anforderungen analysiert werden. Durch eine Gegenüberstellung der Anforderungen und der aktuellen Umsetzung lässt sich der Handlungsbedarf ableiten. Darauf aufbauend sollten zeitnah Umsetzungsprojekte gestartet werden.
Der neue C5-Katalog ist zwar nicht sofort verpflichtend anzuwenden, aber es gelten nur kurze Übergangsfristen. Hierfür ist es wichtig, dass bei C5-Testaten zwischen zwei Typen unterschieden wird:
- Typ-1-Prüfungen bestätigen die Angemessenheit zu einem gewissen Stichtag, z.B. 31.08.2027.
- Typ-2-Prüfungen bestätigen neben der Angemessenheit auch die Wirksamkeit über einen festgelegten Betrachtungszeitraum hinweg, z.B. 1.1.2027 bis 31.12.2027.
Dies ist bei der Betrachtung von Übergangsfristen von großer Bedeutung:
| Variante | Anforderungen an die Testierung |
| Typ-1-Stichtag oder Typ-2-Zeitraum endet vor 28.2.2027 | Prüfung noch vollständig nach C5:2020 möglich, keine Zusatzinfos notwendig |
| Typ-1-Stichtag oder Typ-2-Zeitraum endet zwischen 28.2.2027 und 31.5.2027 | Prüfung noch nach C5:2020 möglich, aber Systembeschreibung muss geplante Änderungen Richtung C5:2026 dokumentieren |
| Typ-2-Berichtszeitraum beginnt ab 1.6.2027 | Ausschließlich C5:2026 anwendbar |
Bitte berücksichtigen Sie bei der Zeitplanung auch, dass für Typ-2-Prüfungen die notwendigen Kontrollen frühzeitig eingerichtet, dokumentiert und im Alltag verankert sein müssen – die Vorbereitung beginnt daher bereits jetzt.
Gerne unterstützen wir Sie bei der Vorbereitung auf eine C5-Testierung oder mit der Durchführung der Prüfung.
Was bedeutet dies für Anwender, z.B. Krankenhäuser?
Bestehende C5-Testate der Cloud-Anbieter nach dem alten Standard werden nicht ungültig – Sie können sich daher vorübergehend immer noch darauf stützen.
Achten Sie aber auch darauf, dass Ihr Cloud-Anbieter fristgerecht auf den neuen Kriterienkatalog umsteigt, denn ansonsten sind die Anforderungen des § 393 SGB V nicht erfüllt. Dies hätte zur Folge, dass die Auslagerung in die Cloud nicht gesetzeskonform erfolgte, da u.a. auch wesentliche neue Aspekte wie die NIS-2 Konformität im Testat nicht abgedeckt sind.
Sie sollten hier unbedingt darauf achten, dass die Vorgaben des BSI entsprechend eingehalten werden. Dies gilt gleichfalls dafür, dass die Prüfung auf Basis des Prüfungsstandards ISAE 3000 durchgeführt wird und das C5-Testat somit ausschließlich durch Wirtschaftsprüfungsgesellschaften erstellt werden darf. Ansonsten droht im Falle eines Schadens der Verlust der Versicherung, da kein gültiges C5-Testat vorlag.
Die gesetzliche Verpflichtung und damit die Verantwortung liegt am Ende beim auslagernden Unternehmen. Der Cloud-Anbieter ist selbst nicht gesetzlich verpflichtet, über ein C5-Testat zu verfügen – allerdings dürfte er ein großes Interesse daran haben, da ihn sonst seine Kunden aus der Gesundheitswirtschaft nicht mehr verwenden dürften.
Ein C5-Testat muss immer als vollständiger Bericht herausgegeben werden, da nur so eine Würdigung im Rahmen des Risikomanagements des auslagernden Unternehmens erfolgen kann. Im Bericht werden ggf. Abweichungen adressiert, die nicht zu einer Versagung des C5-Testats führen, auf die das auslagernde Unternehmen aber dennoch mit eigenen mitigierenden Maßnahmen zur Risikoreduktion reagieren muss.
Weiterhin enthält ein C5-Testat eine Beschreibung von korrespondierenden Kontrollen, die vom auslagernden Unternehmen umgesetzt werden müssen, damit die Sicherheit durchgehend gewährleistet werden kann. Ein einfaches Beispiel hierfür ist der Umgang mit Sicherheitsvorfällen: Der Cloud-Anbieter muss seine Kunden über entsprechende Vorfälle informieren und der Kunde ist verpflichtet, entsprechende Meldungen zu verarbeiten und darauf zu reagieren. Tut er das nicht, liegt ggf. ein Organisationsverschulden vor.
Gerne beantworten wir Ihnen alle Fragen zum Umgang mit C5-Testaten.
Fazit
Die Einführung des C5:2026 ist mehr als eine regulatorische Pflichtübung – sie ist eine Chance, das Vertrauen in die digitale Gesundheitsversorgung nachhaltig zu stärken. Wer jetzt als Cloud-Anbieter frühzeitig handelt, eine GAP-Analyse durchführt und Umsetzungsprojekte anstößt, wird die Übergangsfristen souverän meistern und seinen Kunden sowie Partnern gegenüber als verlässlicher Akteur auftreten. Sicherheit und Compliance sind kein Hindernis für Innovation – sie sind ihr Fundament. Gestalten Sie den Wandel aktiv mit und machen Sie Ihre Cloud-Umgebung fit für die Anforderungen von morgen.
Aus dem Newsletter
„Gesundheits- und Sozialwirtschaft“ Hier Newsletter
abonnieren