ISO 27001ISO 9001ISO 42001NIS2GDPRBSI C5:2026NIST CSF 2.0SOC 2
BSI C5:2026 · Segurança em nuvem

BSI C5:2026: Tornando a Segurança em Nuvem Comprovável

O Cloud Computing Compliance Criteria Catalogue (C5) do BSI é a principal norma de segurança da Alemanha para serviços em nuvem desde 2016. Em abril de 2026, o BSI publicou a terceira geração, o C5:2026 — que substitui o C5:2020 e agora reúne 168 critérios em 17 áreas temáticas. Esta página explica o que é o C5, quem precisa de uma atestação C5 (e quem não precisa), o que mudou com o C5:2026 e como se preparar para os critérios com a Sightadel — sem montar um projeto de consultoria a cada ciclo de auditoria.

O Que É o BSI C5?

O C5 é um catálogo de critérios emitido pelo Escritório Federal de Segurança da Informação da Alemanha (BSI). Ele define os requisitos mínimos de segurança da informação para serviços em nuvem e torna comparável o nível de segurança de diferentes provedores.

É importante notar que o C5 não é um certificado clássico do BSI. A conformidade com os critérios é atestada por auditores independentes sob a norma internacional de asseguração ISAE 3000. O resultado é um relatório de atestação C5 que os clientes de nuvem solicitam e avaliam.

Há dois tipos de asseguração:

  • Tipo 1 (avaliação de concepção): o auditor confirma que as medidas de segurança estão adequadamente concebidas em uma data específica.
  • Tipo 2 (eficácia operacional): o auditor confirma adicionalmente que as medidas operaram de forma eficaz ao longo de um período. O Tipo 2 é a variante mais significativa e é cada vez mais exigida em setores regulados.

Para Quem uma Atestação C5 É Relevante — e Para Quem Não?

O C5 é relevante para você se …

… você fornece serviços em nuvem e precisa demonstrar confiança e comparabilidade no mercado alemão ou europeu. Em diversos setores, uma atestação C5 é, na prática, um requisito de entrada no mercado:

  • Saúde: desde julho de 2025, uma atestação C5 Tipo 2 é obrigatória para serviços em nuvem que processam dados de pacientes (Seção 393 SGB V / DigiG).
  • Administração pública: para a aquisição de nuvem por autoridades federais alemãs, o C5 é de fato obrigatório.
  • Setor financeiro: a atestação C5 é reconhecida como evidência complementar para os requisitos de gestão de risco de TIC sob a DORA.

… ou se você consome serviços em nuvem e precisa avaliar o nível de segurança dos seus provedores de forma estruturada, como parte da sua própria gestão de risco.

O C5 provavelmente não é diretamente relevante para você se …

… sua organização não oferece serviços em nuvem e não adquire nuvem para dados regulados ou particularmente sensíveis. Para uma TI operada puramente de forma local, sem envolvimento de nuvem, o C5 não tem papel imediato.

Vale aqui a mesma ressalva: se você faz parte de uma cadeia de fornecimento de nuvem como fornecedor ou subprocessador, seus clientes ainda podem exigir de você evidências de C5.

O Que Mudou com o C5:2026?

O C5:2026 se baseia no C5:2020, mas responde a seis anos de mudanças tecnológicas e regulatórias. As principais atualizações:

  • Mais critérios, nova estrutura. 168 em vez de 121 critérios, agora com subcritérios claramente delimitados, mais fáceis de mapear para controles internos.
  • Novas áreas temáticas. Tratadas especificamente pela primeira vez: gestão de contêineres, confidential computing e criptografia pós-quântica.
  • Requisitos mais rigorosos. Entre outros, a separação de tenants, a gestão da cadeia de fornecimento e a gestão de identidade e acesso ficaram mais rigorosas (com referência explícita a modelos zero-trust).
  • Compatibilidade europeia. O C5:2026 está alinhado ao esquema europeu de certificação EUCS (nível Substantial) e leva em conta a ISO/IEC 27001:2022, a CSA Cloud Controls Matrix v4 e a NIS2.
  • Critérios adicionais diferenciados. Os critérios adicionais passam agora a ser distinguidos em "de reforço" e "complementares".

Um período de transição se aplica às atestações C5:2020 existentes: espera-se que o C5:2026 se torne vinculante para novos períodos de avaliação Tipo 2 a partir de junho de 2027.

O Desafio Típico na Preparação para o C5

Uma auditoria C5 é extensa e custosa. Na preparação, vemos três problemas recorrentes:

  • Evidências espalhadas por equipes e ferramentas. As evidências dos 168 critérios vivem em tickets, wikis, e-mails e planilhas. O auditor as solicita — e a busca recomeça do zero a cada vez.
  • Esforço anual em vez de prontidão contínua. Para atestações Tipo 2, a eficácia deve ser demonstrada ao longo de todo o período. Organizações que só começam a coletar pouco antes da auditoria acabam com lacunas.
  • O salto de versão como risco de projeto. Migrar do C5:2020 para o C5:2026 implica trabalho de delta. Sem um mapeamento limpo das medidas existentes, isso vira um recomeço.

Como a Sightadel Simplifica a Preparação para o C5

A Sightadel é o portal de conformidade dentro da Pervigon Security Suite. Ela representa o C5:2026 como um catálogo estruturado de critérios ao qual você atribui medidas, responsáveis e evidências — com um status de conclusão que você pode consultar a qualquer momento.

Mais rápido para ficar pronto para auditoria. O catálogo C5:2026 já está incorporado ao portal. Em vez de começar com uma lista no Excel, você mapeia as medidas existentes para os critérios e vê imediatamente onde faltam evidências.
Continuamente pronto para auditoria, e não de última hora. Evidências e responsabilidades são mantidas de forma contínua. Para uma atestação Tipo 2, isso permite demonstrar a eficácia contínua, em vez de reconstruí-la depois.
Mudança de versão sem recomeço. Ao migrar do C5:2020 para o C5:2026, a Sightadel mostra quais das suas medidas existentes cobrem quais critérios novos ou reforçados — e onde permanecem lacunas reais.
Reutilização de evidências. Como o C5:2026 segue de perto a ISO/IEC 27001:2022 e a NIS2, uma evidência inserida uma vez é automaticamente mapeada para os requisitos relacionados dessas normas. Você a mantém uma vez, não por framework.
Sem consultores externos como muleta permanente. A lógica de mapeamento do domínio é incorporada ao portal e apoiada pelo núcleo neoAI. O auditor continua responsável pela atestação — a preparação contínua fica a cargo da sua própria equipe.

O C5 com a Sightadel na Prática

  1. 1
    Mapeie.Atribua as medidas existentes aos 168 critérios do C5:2026. Resultado: um status inicial de conclusão por área temática.
  2. 2
    Feche lacunas.Análise de lacunas, um plano de ação priorizado com responsáveis e prazos — focado nos novos temas (contêineres, confidential computing, pós-quântica).
  3. 3
    Mantenha as evidências.Anexe evidências de forma contínua, documente a eficácia ao longo do período do Tipo 2.
  4. 4
    Apoie a atestação.Forneça ao auditor o estado exigido de maneira estruturada.

Perguntas Frequentes Sobre o BSI C5

Não. O C5 é um catálogo de critérios. A conformidade é atestada por um auditor sob a ISAE 3000; o resultado é um relatório de atestação, não um certificado do BSI.

Prontidão para o C5 Como um Estado, Não um Projeto Anual

Uma atestação C5 não é um evento pontual, mas uma prova recorrente. A Sightadel mantém seu status de conclusão continuamente atualizado — entre mudanças de versão, auditável e sem que cada auditoria desencadeie um novo projeto.

Veja seu status de C5:2026 na Sightadel.

Agende uma demonstração