BSI C5:2026: Tornar a Segurança na Nuvem Comprovável
O Catálogo de Critérios de Conformidade de Computação em Nuvem (C5) do BSI tem sido a principal norma de segurança da Alemanha para serviços em nuvem desde 2016. Em abril de 2026, o BSI publicou a terceira geração, C5:2026 — substitui a C5:2020 e compreende agora 168 critérios em 17 áreas temáticas. Esta página explica o que é o C5, quem precisa de uma atestação C5 (e quem não precisa), o que mudou com a C5:2026 e como se preparar para os critérios com a Sightadel — sem montar um projeto de consultoria em torno de cada ciclo de auditoria.
O que é o BSI C5?
O C5 é um catálogo de critérios emitido pelo Gabinete Federal de Segurança da Informação (BSI) da Alemanha. Define requisitos mínimos de segurança da informação para serviços em nuvem e torna o nível de segurança de diferentes fornecedores comparável.
Importante: o C5 não é um certificado BSI clássico. A conformidade com os critérios é atestada por auditores independentes sob a norma internacional de garantia ISAE 3000. O resultado é um relatório de atestação C5 que os clientes de nuvem solicitam e avaliam.
Existem dois tipos de garantia:
- Tipo 1 (avaliação de design): O auditor confirma que as medidas de segurança são adequadamente concebidas numa data específica.
- Tipo 2 (eficácia operacional): O auditor confirma adicionalmente que as medidas operaram eficazmente durante um período de tempo. O Tipo 2 é a variante mais significativa e é cada vez mais exigida em setores regulamentados.
Para quem é relevante uma atestação C5 — e para quem não é?
O C5 é relevante para si se…
… prestar serviços em nuvem e precisar de demonstrar confiança e comparabilidade no mercado alemão ou europeu. Em vários setores, uma atestação C5 é efetivamente um requisito de entrada no mercado:
- Saúde: Desde julho de 2025, uma atestação C5 Tipo 2 é obrigatória para serviços em nuvem que processam dados de pacientes (Secção 393 SGB V / DigiG).
- Administração pública: Para a aquisição de nuvem por autoridades federais alemãs, o C5 é de facto obrigatório.
- Setor financeiro: A atestação C5 é reconhecida como evidência complementar para requisitos de gestão de risco de TIC sob o DORA.
… ou se consumir serviços em nuvem e precisar de avaliar o nível de segurança dos seus fornecedores de forma estruturada como parte da sua própria gestão de risco.
O C5 provavelmente não é diretamente relevante para si se…
… a sua organização não oferece serviços em nuvem e não adquire nuvem para dados regulamentados ou particularmente sensíveis. Para TI operada puramente localmente sem envolvimento de nuvem, o C5 não desempenha qualquer papel imediato.
A mesma ressalva aplica-se aqui: se fizer parte de uma cadeia de fornecimento de nuvem como fornecedor ou subcontratante, os seus clientes podem ainda exigir evidências C5 de si.
O que mudou com a C5:2026?
A C5:2026 baseia-se na C5:2020, mas responde a seis anos de mudanças tecnológicas e regulamentares. As principais atualizações:
- Mais critérios, nova estrutura. 168 em vez de 121 critérios, agora com subcritérios claramente delineados que são mais fáceis de mapear para controlos internos.
- Novas áreas temáticas. Abordadas especificamente pela primeira vez: gestão de contentores, computação confidencial e criptografia pós-quântica.
- Requisitos mais rigorosos. Entre outros, a separação de inquilinos, gestão da cadeia de fornecimento e gestão de identidade e acesso foram tornadas mais rigorosas (com uma referência explícita a modelos de zero-trust).
- Compatibilidade europeia. A C5:2026 está alinhada com o esquema de certificação europeu EUCS (nível Substantial) e tem em conta a ISO/IEC 27001:2022, a CSA Cloud Controls Matrix v4 e a NIS2.
- Critérios adicionais diferenciados. Os critérios adicionais são agora distinguidos em "aprimoramento" e "complementação."
Aplica-se um período de transição às atestações C5:2020 existentes: espera-se que a C5:2026 se torne vinculativa para novos períodos de avaliação Tipo 2 a partir de junho de 2027.
O Desafio Típico na Preparação para o C5
Uma auditoria C5 é extensa e intensiva em custos. Na preparação, vemos três problemas recorrentes:
- Evidência dispersa por equipas e ferramentas. A evidência para 168 critérios vive em tickets, wikis, e-mails e folhas de cálculo. O auditor pede-a — e a pesquisa começa de novo de cada vez.
- Esforço anual em vez de prontidão contínua. Para atestações Tipo 2, a eficácia deve ser demonstrada durante todo o período. As organizações que só começam a recolher pouco antes da auditoria acabam com lacunas.
- Salto de versão como um risco de projeto. Mover da C5:2020 para a C5:2026 significa trabalho delta. Sem um mapeamento limpo das medidas existentes, transforma-se num recomeço.
Como a Sightadel Simplifica a Preparação para o C5
A Sightadel é o portal de conformidade dentro da Pervigon Security Suite. Representa a C5:2026 como um catálogo de critérios estruturado ao qual atribui medidas, proprietários e evidências — com um estado de conclusão que pode consultar a qualquer momento.
C5 com a Sightadel na Prática
- Mapear.Atribua medidas existentes aos 168 critérios C5:2026. Resultado: um estado de conclusão inicial por área temática.
- Fechar lacunas.Análise de lacunas, um plano de ação priorizado com proprietários e prazos — focado nos novos tópicos (contentores, computação confidencial, pós-quântica).
- Manter evidência.Anexe evidência de forma contínua, documente a eficácia durante o período do Tipo 2.
- Apoiar a atestação.Forneça ao auditor o estado necessário de forma estruturada.
Perguntas Frequentes Sobre o BSI C5
Prontidão C5 como um Estado, Não um Projeto Anual
Uma atestação C5 não é um evento único, mas uma prova recorrente. A Sightadel mantém o seu estado de conclusão continuamente atualizado — através de mudanças de versão, auditável e sem que cada auditoria desencadeie um novo projeto.