Was ist der Unterschied zwischen Typ 1 und Typ 2?

Typ 1 bewertet die Angemessenheit der Maßnahmen zu einem Stichtag. Typ 2 bewertet zusätzlich deren Wirksamkeit über einen Zeitraum.

Brauche ich zwingend ein C5-Testat?

Das hängt vom Sektor ab. Im Gesundheitswesen (Patientendaten in der Cloud) ist ein Typ-2-Testat seit Juli 2025 Pflicht; in der öffentlichen Beschaffung ist es de facto verpflichtend. In anderen Bereichen ist es ein Wettbewerbsvorteil.

Ab wann gilt der C5:2026?

Der C5:2026 ist seit April 2026 final. Für neue Typ-2-Prüfzeiträume wird er voraussichtlich ab Juni 2027 verbindlich; bestehende C5:2020-Testate genießen eine Übergangsfrist.

Hilft eine ISO-27001-Zertifizierung?

Ja. Der C5:2026 lehnt sich eng an ISO/IEC 27001:2022 an. Bestehende ISMS-Nachweise lassen sich in Sightadel auf C5-Kriterien abbilden und mehrfach nutzen.

ISO 27001 ISO 9001 ISO 42001 NIS2 DSGVO BSI C5:2026 NIST CSF 2.0 SOC 2

BSI C5:2026 · Cloud-Sicherheit

BSI C5:2026: Cloud-Sicherheit nachweisbar machen

Der Cloud Computing Compliance Criteria Catalogue (C5) des BSI ist seit 2016 der maßgebliche deutsche Sicherheitsstandard für Cloud-Dienste. Im April 2026 hat das BSI mit dem C5:2026 die dritte Generation veröffentlicht – sie löst den C5:2020 ab und umfasst nun 168 Kriterien in 17 Themengebieten. Diese Seite erklärt, was der C5 ist, wer ein C5-Testat benötigt (und wer nicht), was sich mit dem C5:2026 geändert hat und wie Sie die Kriterien mit Sightadel strukturiert vorbereiten – ohne ein Beratungsprojekt um jeden Prüfzyklus aufzusetzen.

Was ist der BSI C5?

Der C5 ist ein Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI). Er definiert Mindestanforderungen an die Informationssicherheit von Cloud-Diensten und macht das Sicherheitsniveau verschiedener Anbieter vergleichbar.

Wichtig: Der C5 ist kein klassisches BSI-Zertifikat. Die Erfüllung der Kriterien wird durch unabhängige Wirtschaftsprüfer nach dem internationalen Prüfungsstandard ISAE 3000 testiert. Das Ergebnis ist ein C5-Prüfbericht (Testat), den Cloud-Kunden anfordern und auswerten.

Es gibt zwei Prüfungstypen:

Typ 1 (Angemessenheitsprüfung): Der Prüfer bestätigt, dass die Sicherheitsmaßnahmen zu einem Stichtag angemessen konzipiert sind.
Typ 2 (Wirksamkeitsprüfung): Der Prüfer bestätigt zusätzlich, dass die Maßnahmen über einen Betrachtungszeitraum hinweg wirksam waren. Typ 2 ist die aussagekräftigere und in regulierten Sektoren zunehmend geforderte Variante.

Für wen ist ein C5-Testat relevant – und für wen nicht?

C5 ist relevant für Sie, wenn …

… Sie Cloud-Dienste anbieten und im deutschen oder europäischen Markt Vertrauen und Vergleichbarkeit nachweisen müssen. In mehreren Sektoren ist ein C5-Testat faktisch Marktzugangsvoraussetzung:

Gesundheitswesen: Seit Juli 2025 ist für Cloud-Dienste, die Patientendaten verarbeiten, ein C5-Typ-2-Testat Pflicht (§ 393 SGB V / DigiG).
Öffentliche Verwaltung: Bei der Beschaffung von Cloud-Diensten durch Bundesbehörden ist der C5 de facto verpflichtend.
Finanzsektor: Das C5-Testat wird als ergänzender Nachweis für IKT-Risikomanagementanforderungen nach DORA anerkannt.

… oder wenn Sie Cloud-Dienste beziehen und im Rahmen Ihres eigenen Risikomanagements das Sicherheitsniveau Ihrer Anbieter strukturiert bewerten müssen.

C5 ist für Sie wahrscheinlich nicht direkt relevant, wenn …

… Ihr Unternehmen keine Cloud-Dienste anbietet und keine Cloud für regulierte oder besonders schützenswerte Daten beschafft. Für rein lokal betriebene IT ohne Cloud-Bezug spielt der C5 keine unmittelbare Rolle.

Der Vorbehalt gilt auch hier: Wenn Sie als Zulieferer oder Subdienstleister in eine Cloud-Lieferkette eingebunden sind, kann ein C5-Nachweis trotzdem von Ihren Auftraggebern verlangt werden.

Was hat sich mit dem C5:2026 geändert?

Der C5:2026 baut auf dem C5:2020 auf, reagiert aber auf sechs Jahre technologische und regulatorische Entwicklung. Die wesentlichen Neuerungen:

Mehr Kriterien, neue Struktur. 168 statt 121 Kriterien, jetzt mit klar abgegrenzten Unterkriterien, die sich leichter den internen Kontrollen zuordnen lassen.
Neue Themenbereiche. Erstmals gezielt aufgenommen: Container-Management, Confidential Computing und Post-Quanten-Kryptographie.
Schärfere Anforderungen. Strenger gefasst wurden unter anderem Mandantentrennung, Supply-Chain-Management und Identity & Access Management (mit ausdrücklichem Bezug auf Zero-Trust-Modelle).
Europäische Anschlussfähigkeit. Der C5:2026 ist auf das europäische Zertifizierungsschema EUCS (Level Substantial) ausgerichtet und berücksichtigt ISO/IEC 27001:2022, die CSA Cloud Controls Matrix v4 sowie NIS2.
Differenzierte Zusatzkriterien. Zusatzkriterien werden nun in „verschärfend“ und „ergänzend“ unterschieden.

Für bestehende C5:2020-Testate gilt eine Übergangsfrist: Der C5:2026 wird für neue Typ-2-Prüfzeiträume voraussichtlich ab Juni 2027 verbindlich.

Die typische Herausforderung bei der C5-Vorbereitung

Eine C5-Prüfung ist umfangreich und kostenintensiv. In der Vorbereitung sehen wir drei wiederkehrende Probleme:

Nachweise verstreut über Teams und Tools. Die Belege für 168 Kriterien liegen in Tickets, Wikis, Mails und Tabellen. Der Prüfer fragt sie ab – die Suche beginnt jedes Mal von vorn.
Jährlicher Aufwand statt fortlaufender Bereitschaft. Bei Typ-2-Testaten muss die Wirksamkeit über den gesamten Zeitraum belegt sein. Wer erst kurz vor der Prüfung sammelt, hat Lücken.
Versionssprung als Projektrisiko. Der Wechsel von C5:2020 auf C5:2026 bedeutet Delta-Arbeit. Ohne saubere Zuordnung der bestehenden Maßnahmen wird daraus ein Neuaufsatz.

Wie Sightadel die C5-Vorbereitung vereinfacht

Sightadel ist das Compliance-Portal der Pervigon Security Suite. Es bildet den C5:2026 als strukturierten Kriterienkatalog ab, dem Sie Maßnahmen, Verantwortliche und Nachweise zuordnen – mit jederzeit abrufbarem Erfüllungsstand.

Schneller prüfbereit. Der C5:2026-Katalog ist im Portal hinterlegt. Statt mit einer Excel-Liste zu starten, ordnen Sie vorhandene Maßnahmen den Kriterien zu und sehen sofort, wo Nachweise fehlen.

Dauerhaft prüfbereit statt kurz vor knapp. Nachweise und Verantwortlichkeiten werden laufend gepflegt. Für ein Typ-2-Testat liefern Sie damit die durchgängige Wirksamkeit, statt sie nachträglich zu rekonstruieren.

Versionswechsel ohne Neuaufsatz. Beim Übergang von C5:2020 auf C5:2026 zeigt Sightadel, welche Ihrer bestehenden Maßnahmen welche neuen oder geschärften Kriterien abdecken – und wo echte Lücken bleiben.

Mehrfachnutzung von Nachweisen. Da der C5:2026 eng an ISO/IEC 27001:2022 und NIS2 anschließt, wird ein einmal hinterlegter Nachweis automatisch den verwandten Anforderungen dieser Standards zugeordnet. Sie pflegen ihn einmal, nicht je Framework.

Keine externen Berater als Dauerlösung. Die fachliche Zuordnungslogik ist im Portal hinterlegt und wird durch den KI-Kern neoAI unterstützt. Der Wirtschaftsprüfer bleibt für das Testat zuständig – die laufende Vorbereitung erledigt Ihr Team selbst.

C5 mit Sightadel in der Praxis

1
Zuordnen.Bestehende Maßnahmen den 168 C5:2026-Kriterien zuordnen. Ergebnis: ein erster Erfüllungsstand je Themengebiet.
2
Lücken schließen.Gap-Analyse, priorisierter Maßnahmenplan mit Verantwortlichen und Fristen – mit Fokus auf die neuen Themen (Container, Confidential Computing, Post-Quanten).
3
Nachweise führen.Belege laufend hinterlegen, Wirksamkeit über den Typ-2-Zeitraum dokumentieren.
4
Testat begleiten.Dem Wirtschaftsprüfer den geforderten Stand strukturiert bereitstellen.

Häufige Fragen zum BSI C5

Nein. Der C5 ist ein Kriterienkatalog. Die Erfüllung wird von einem Wirtschaftsprüfer nach ISAE 3000 testiert; das Ergebnis ist ein Prüfbericht, kein BSI-Zertifikat.

C5-Bereitschaft als Zustand, nicht als Jahresprojekt

Ein C5-Testat ist kein einmaliges Ereignis, sondern ein wiederkehrender Nachweis. Sightadel hält Ihren Erfüllungsstand fortlaufend aktuell – über Versionswechsel hinweg, prüfbar und ohne dass jede Prüfung ein neues Projekt auslöst.

Sehen Sie Ihren C5:2026-Stand in Sightadel.

Demo vereinbaren