¿Cuál es la diferencia entre Type 1 y Type 2?

Type 1 evalúa la adecuación del diseño de las medidas en una fecha concreta. Type 2 evalúa además su efectividad a lo largo de un periodo.

¿Necesito necesariamente una atestación C5?

Eso depende del sector. En sanidad (datos de pacientes en la nube), una atestación Type 2 es obligatoria desde julio de 2025; en la contratación pública es de facto obligatoria. En otros ámbitos es una ventaja competitiva.

¿Cuándo aplica C5:2026?

C5:2026 es definitivo desde abril de 2026. Para los nuevos periodos de evaluación Type 2 se espera que sea vinculante a partir de junio de 2027; las atestaciones C5:2020 existentes se benefician de un periodo de transición.

¿Ayuda una certificación ISO 27001?

Sí. C5:2026 sigue de cerca ISO/IEC 27001:2022. La evidencia existente del ISMS puede asignarse a los criterios C5 en Sightadel y reutilizarse.

ISO 27001 ISO 9001 ISO 42001 NIS2 RGPD BSI C5:2026 NIST CSF 2.0 SOC 2

BSI C5:2026 · Seguridad en la nube

BSI C5:2026: hacer demostrable la seguridad en la nube

El Cloud Computing Compliance Criteria Catalogue (C5) del BSI ha sido la norma de seguridad de referencia en Alemania para los servicios en la nube desde 2016. En abril de 2026, el BSI publicó la tercera generación, C5:2026 — que sustituye a C5:2020 y ahora comprende 168 criterios en 17 áreas temáticas. Esta página explica qué es el C5, quién necesita una atestación C5 (y quién no), qué ha cambiado con C5:2026 y cómo prepararse para los criterios con Sightadel — sin montar un proyecto de asesoría en torno a cada ciclo de auditoría.

¿Qué es el BSI C5?

El C5 es un catálogo de criterios emitido por la Oficina Federal de Seguridad de la Información de Alemania (BSI). Define los requisitos mínimos de seguridad de la información para los servicios en la nube y hace comparable el nivel de seguridad de distintos proveedores.

Es importante señalar que el C5 no es un certificado clásico del BSI. El cumplimiento de los criterios es atestado por auditores independientes bajo la norma internacional de aseguramiento ISAE 3000. El resultado es un informe de atestación C5 que los clientes de la nube solicitan y evalúan.

Existen dos tipos de aseguramiento:

Type 1 (evaluación del diseño): el auditor confirma que las medidas de seguridad están diseñadas adecuadamente en una fecha concreta.
Type 2 (efectividad operativa): el auditor confirma además que las medidas funcionaron de manera efectiva durante un periodo de tiempo. Type 2 es la variante más significativa y cada vez se exige más en sectores regulados.

¿Para quién es relevante una atestación C5 — y para quién no?

El C5 es relevante para usted si …

… presta servicios en la nube y necesita demostrar confianza y comparabilidad en el mercado alemán o europeo. En varios sectores, una atestación C5 es prácticamente un requisito de entrada al mercado:

Sanidad: desde julio de 2025, una atestación C5 Type 2 es obligatoria para los servicios en la nube que procesan datos de pacientes (Sección 393 SGB V / DigiG).
Administración pública: para la contratación de nube por parte de las autoridades federales alemanas, el C5 es de facto obligatorio.
Sector financiero: la atestación C5 se reconoce como evidencia complementaria para los requisitos de gestión del riesgo de las TIC bajo DORA.

… o si consume servicios en la nube y necesita evaluar de forma estructurada el nivel de seguridad de sus proveedores como parte de su propia gestión de riesgos.

El C5 probablemente no es directamente relevante para usted si …

… su organización no ofrece servicios en la nube y no contrata nube para datos regulados o especialmente sensibles. Para una TI operada puramente en local sin implicación de la nube, el C5 no desempeña ningún papel inmediato.

Aquí se aplica la misma advertencia: si forma parte de una cadena de suministro en la nube como proveedor o subencargado, sus clientes pueden exigirle igualmente evidencia C5.

¿Qué ha cambiado con C5:2026?

C5:2026 se basa en C5:2020 pero responde a seis años de cambio tecnológico y regulatorio. Las actualizaciones clave:

Más criterios, nueva estructura. 168 en lugar de 121 criterios, ahora con subcriterios claramente delimitados que son más fáciles de asignar a los controles internos.
Nuevas áreas temáticas. Abordadas específicamente por primera vez: gestión de contenedores, confidential computing y criptografía poscuántica.
Requisitos endurecidos. Entre otros, la separación de inquilinos, la gestión de la cadena de suministro y la gestión de identidades y accesos se hicieron más estrictas (con una referencia explícita a los modelos zero-trust).
Compatibilidad europea. C5:2026 está alineado con el esquema europeo de certificación EUCS (nivel Substantial) y tiene en cuenta ISO/IEC 27001:2022, la CSA Cloud Controls Matrix v4 y NIS2.
Criterios adicionales diferenciados. Los criterios adicionales ahora se distinguen entre "de refuerzo" y "complementarios."

Se aplica un periodo de transición a las atestaciones C5:2020 existentes: se espera que C5:2026 sea vinculante para los nuevos periodos de evaluación Type 2 a partir de junio de 2027.

El reto típico en la preparación del C5

Una auditoría C5 es extensa y costosa. En la preparación, observamos tres problemas recurrentes:

Evidencia dispersa entre equipos y herramientas. La evidencia de los 168 criterios vive en tickets, wikis, correos electrónicos y hojas de cálculo. El auditor la pide — y la búsqueda empieza de cero cada vez.
Esfuerzo anual en lugar de disponibilidad continua. Para las atestaciones Type 2, la efectividad debe demostrarse a lo largo de todo el periodo. Las organizaciones que solo empiezan a recopilar poco antes de la auditoría terminan con lagunas.
El salto de versión como riesgo de proyecto. Pasar de C5:2020 a C5:2026 implica un trabajo de diferencias. Sin una asignación limpia de las medidas existentes, se convierte en un comienzo desde cero.

Cómo Sightadel simplifica la preparación del C5

Sightadel es el portal de cumplimiento dentro de la Pervigon Security Suite. Representa C5:2026 como un catálogo de criterios estructurado al que asigna medidas, responsables y evidencias — con un estado de avance que puede consultar en cualquier momento.

Más rápido hacia el estado listo para auditoría. El catálogo C5:2026 está integrado en el portal. En lugar de empezar con una lista de Excel, asigna las medidas existentes a los criterios y ve de inmediato dónde falta evidencia.

Continuamente listo para auditoría, no a última hora. La evidencia y la responsabilidad se mantienen de forma continua. Para una atestación Type 2, esto le permite demostrar una efectividad continua en lugar de reconstruirla después.

Cambio de versión sin empezar de cero. Al pasar de C5:2020 a C5:2026, Sightadel muestra cuáles de sus medidas existentes cubren qué criterios nuevos o reforzados — y dónde quedan lagunas reales.

Reutilización de la evidencia. Como C5:2026 sigue de cerca ISO/IEC 27001:2022 y NIS2, una evidencia introducida una vez se asigna automáticamente a los requisitos relacionados de esas normas. La mantiene una vez, no por marco.

Sin consultores externos como muleta permanente. La lógica de asignación del dominio está integrada en el portal y respaldada por el núcleo neoAI. El auditor sigue siendo responsable de la atestación — la preparación continua la lleva a cabo su propio equipo.

El C5 con Sightadel en la práctica

1
Asignar.Asigne las medidas existentes a los 168 criterios de C5:2026. Resultado: un estado de avance inicial por área temática.
2
Cerrar lagunas.Análisis de brechas, un plan de acción priorizado con responsables y plazos — centrado en los nuevos temas (contenedores, confidential computing, poscuántica).
3
Mantener la evidencia.Adjunte evidencia de forma continua, documente la efectividad a lo largo del periodo de Type 2.
4
Apoyar la atestación.Proporcione al auditor el estado requerido de forma estructurada.

Preguntas frecuentes sobre el BSI C5

No. El C5 es un catálogo de criterios. El cumplimiento es atestado por un auditor bajo ISAE 3000; el resultado es un informe de atestación, no un certificado del BSI.

La disponibilidad para el C5 como estado, no como proyecto anual

Una atestación C5 no es un evento puntual, sino una prueba recurrente. Sightadel mantiene su estado de avance continuamente actualizado — a través de los cambios de versión, auditable y sin que cada auditoría desencadene un nuevo proyecto.

Vea su estado de C5:2026 en Sightadel.

Solicitar una demo