Ab dem 1. Juli 2025 gilt in Deutschland eine neue verbindliche Anforderung für Cloud-Dienstleister: Die Testierung nach dem Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) des Bundesamts für Sicherheit in der Informationstechnik (BSI) wird für viele Anbieter zur Pflicht. Die Grundlage dafür bildet die am 10. April 2024 veröffentlichte novellierte BSI-Kritisverordnung (BSI-KritisV 2024), in der der Einsatz geprüfter Cloud-Dienste in sicherheitsrelevanten Bereichen ausdrücklich vorgeschrieben wird.
Seit seiner Einführung im Jahr 2016 gilt der C5-Katalog des BSI als etabliertes Prüf- und Nachweismittel für IT-Sicherheit im Cloud-Umfeld. Bisher war die Anwendung freiwillig – viele Unternehmen nutzten C5-Testate als vertrauensbildendes Signal gegenüber Kunden, insbesondere im industriellen und behördlichen Kontext. Mit dem Schritt zur verpflichtenden Testierung markiert das BSI nun eine klare Richtungsänderung: Cloud-Sicherheit ist nicht länger Kür, sondern Pflicht. Ziel ist eine flächendeckend höhere IT-Sicherheit – insbesondere in kritischen Infrastrukturen und im öffentlichen Sektor.
Die neue Pflicht ist auch eine Chance: Anbieter, die frühzeitig ein Testat vorweisen können, sichern sich Zugang zu öffentlichen und KRITIS-bezogenen Projekten und stärken das Vertrauen bei sicherheitsbewussten Kunden. Zudem etabliert sich C5 immer stärker als Marktstandard, auch außerhalb gesetzlicher Anforderungen. Die Investition in Sicherheit zahlt sich somit doppelt aus: in Compliance – und in Wettbewerbsvorteile.
Was ist die C5-Testierung eigentlich?
Die C5-Testierung basiert auf dem „Cloud Computing Compliance Criteria Catalogue“ (C5), den das Bundesamt für Sicherheit in der Informationstechnik (BSI) erstmals 2016 veröffentlicht und zuletzt 2023 umfassend überarbeitet hat. C5 definiert einheitliche Prüfanforderungen für Anbieter von Cloud-Diensten – von technischen Sicherheitsmaßnahmen über organisatorische Kontrollen bis hin zur Transparenz gegenüber Kunden.
Ziel des Kriterienkatalogs ist es, Sicherheit und Nachvollziehbarkeit bei der Nutzung von Cloud-Services systematisch zu verbessern. Dies gilt besonders in Bereichen, in denen sensible oder besonders schützenswerte Daten verarbeitet werden – etwa Gesundheits-, Sozial- oder Personaldaten, aber auch Betriebs- und Geschäftsgeheimnisse.
C5 macht Sicherheitsvorkehrungen prüfbar und dokumentierbar – und liefert Unternehmen eine objektive Entscheidungsgrundlage bei der Auswahl von Cloud-Diensten. Gleichzeitig schafft es Vertrauen und Rechtssicherheit für Anbieter, Anwender und Aufsichtsbehörden gleichermaßen.
Die C5-Testierung wird von unabhängigen, qualifizierten Auditoren durchgeführt und beinhaltet die Prüfung aller im Katalog enthaltenen Kriterien – darunter u. a.:
- Informationssicherheitsmanagement (ISMS)
- Zugriffskontrolle und Berechtigungsmanagement
- Verschlüsselung und Datenlokalität
- Betriebssicherheit, Incident Response, Logging
- Auslagerung und Drittanbietersteuerung
- Transparenzpflichten gegenüber Kunden
Mit der gesetzlichen Verankerung der C5-Testierungspflicht ab 2025 wird aus einem freiwilligen Prüfstandard nun ein zentrales Element der Cloud-Governance in Deutschland.
Was konkret ändert sich? – Die C5-Testierung wird zur regulatorischen Pflicht
Mit Inkrafttreten der BSI-Kritisverordnung 2024 wird der Nachweis einer gültigen C5-Testierung ab dem 1. Juli 2025 zur verbindlichen Voraussetzung für Cloud-Dienste, die in kritischen oder besonders schützenswerten Anwendungsbereichen eingesetzt werden. Die wichtigsten Veränderungen:
1. Verpflichtung zur C5-Testierung bei bestimmten Einsatzkontexten
Die C5-Testierung ist künftig verpflichtend für Cloud-Service-Provider, wenn deren Dienste:
- von KRITIS-Betreibern gemäß BSI-Gesetz (§ 8a BSIG) genutzt werden,
- von öffentlichen Stellen und Behörden für besonders schützenswerte Informationen eingesetzt werden,
- im Kontext sicherheitsrelevanter Lieferketten verwendet werden (z. B. in der Energie- oder Gesundheitsversorgung),
- Teil von Geschäftsprozessen mit erhöhtem Schutzbedarf nach dem IT-Grundschutz-Kompendium sind.
Die Pflicht gilt unabhängig davon, ob der Anbieter aus Deutschland stammt – entscheidend ist, ob der Dienst in der deutschen KRITIS-Landschaft oder Verwaltung eingesetzt wird.
2. Anerkennung ausschließlich geprüfter Nachweise
Die C5-Testierung muss:
- auf dem aktuellen Kriterienkatalog C5:2023 basieren,
- jährlich von einer unabhängigen, qualifizierten Prüfgesellschaft durchgeführt werden,
- in Form eines prüfbaren Berichts mit vollständigem Kontrollrahmen gemäß IDW PS 880 oder ISAE 3000 vorliegen,
- vollständig dokumentiert und nachweispflichtig gegenüber Kunden und Aufsichtsbehörden sein.
Selbstauskünfte oder interne Bewertungen werden nicht mehr anerkannt.
3. Erweiterung der Prüfpflicht auf Unterauftragnehmer
Die Verpflichtung zur C5-Testierung erstreckt sich künftig auch auf:
- Unterauftragnehmer, sofern deren Leistungen sicherheitsrelevant sind (z. B. IaaS-Betreiber für PaaS- oder SaaS-Dienste),
- technische Betreiber oder Managed Service Provider, die Cloud-Plattformen im Auftrag anderer Unternehmen bereitstellen,
- nicht-europäische Anbieter, sofern deren Dienste für deutsche KRITIS-Betreiber oder Behörden verarbeitet werden.
Damit müssen auch global agierende Hyperscaler sicherstellen, dass ihre Plattformdienste über ein gültiges C5-Testat verfügen oder alternative gleichwertige Nachweise nach deutschem Recht erbringen.
4. Verpflichtung zur Bereitstellung von Nachweisen gegenüber Kunden und Behörden
Anbieter müssen den Prüfbericht (mindestens in einer Kurzfassung) bereitstellen:
- auf Anforderung von Kunden oder Behörden,
- im Rahmen von Vertragsverhandlungen oder Sicherheitsprüfungen,
- teilweise sogar öffentlich zugänglich auf ihrer Website (Transparenzpflicht nach § 8a BSIG i.V.m. KritisV).
Das erhöht den Prüfaufwand – aber auch die Sichtbarkeit gut aufgestellter Anbieter.
5. Integration in Ausschreibungen und IT-Beschaffungsrichtlinien
Viele öffentliche Auftraggeber und KRITIS-Betreiber sind laut BSI verpflichtet, in neuen IT-Ausschreibungen ab 1. Juli 2025 die C5-Testierung als zwingendes Kriterium aufzunehmen. Wer kein gültiges Testat vorweisen kann, wird von solchen Ausschreibungen künftig ausgeschlossen.
Dies betrifft insbesondere:
- Cloud-Angebote in der Verwaltung (z. B. OZG-Umsetzung),
- kommunale IT-Dienstleister und Rechenzentren,
- IT-Systemhäuser mit Integrationsverantwortung,
- Anbieter von Sicherheits-, Überwachungs- oder Verwaltungsplattformen in der Cloud.
6. Auswirkungen auf Vertragsgestaltung, Haftung und Governance
- Vertraglich müssen C5-Anforderungen explizit geregelt werden, z. B. in Auftragsverarbeitungsverträgen oder Rahmenvereinbarungen.
- Haftungsfragen ändern sich: Fehlende Testate oder Mängel im Sicherheitsnachweis können zu Vertragsstrafen, Ausschluss oder Rücktritt führen.
- Unternehmen müssen interne Prozesse anpassen, z. B. durch ein zentrales Nachweis- und Kontrollmanagement, das regelmäßig aktualisiert wird.
7. Übergangsfristen und Sanktionen
- Es gilt eine Übergangsfrist bis zum 30. Juni 2025 – danach darf der produktive Einsatz nicht getesteter Cloud-Dienste in sicherheitskritischen Bereichen nicht mehr erfolgen.
- Bei Nichteinhaltung drohen Bußgelder, Vertragsausschlüsse oder Maßnahmen durch Aufsichtsbehörden (z. B. BNetzA, BSI, Landesdatenschutzbehörden).
Wer ist betroffen – und wie sollten Unternehmen reagieren?
Betroffen sind:
- Rechenzentrums- und Cloud-Anbieter mit Kunden im KRITIS- oder Behördenumfeld,
- IT-Dienstleister mit sicherheitskritischer Verantwortung (z. B. Hosting, SaaS, IaaS),
- Unternehmen, die Plattformen oder Applikationen für öffentliche Stellen bereitstellen.
Empfohlen wird eine frühzeitige Gap-Analyse durchzuführen, um den Reifegrad des eigenen Systems zu bewerten: Welche Anforderungen sind bereits erfüllt, und wo bestehen noch Lücken? Abhängig von der Ausgangslage sollte für die Vorbereitung und Umsetzung einer C5-Testierung ein Zeitraum von etwa drei bis neun Monaten eingeplant werden.
Mit der verpflichtenden Einführung des C5-Standards geht Deutschland einen weiteren wichtigen Schritt in Richtung einer sicheren digitalen Infrastruktur. Auch wenn der Umstellungsaufwand nicht zu unterschätzen ist, bietet die neue Regelung sowohl mehr Schutz vor Cyberbedrohungen als auch neue Chancen im Markt. Wer jetzt vorbereitet ist, kann profitieren.
Unser Beratungsangebot: GRC Factory unterstützt bei der C5-Testierung
Die Umsetzung der neuen C5-Pflicht stellt viele Unternehmen vor organisatorische und technische Herausforderungen. Als erfahrene Beratungspartner im Bereich Governance, Risk & Compliance (GRC) begleiten wir von der GRC Factory Sie auf dem Weg zur erfolgreichen C5-Testierung.
Unser Angebot reicht von initialen Gap-Analysen über die Begleitung bei der Einführung fehlender Sicherheitsmaßnahmen bis hin zur Vorbereitung und Unterstützung von Audits durch unabhängige Prüfer. Dabei setzen wir auf pragmatische, zielgerichtete Lösungen – zugeschnitten auf Ihre IT-Struktur und Ihr Geschäftsmodell.
Wir legen großen Wert darauf, bereits frühzeitig Kontakt mit dem zertifizierenden Wirtschaftsprüfungsunternehmen in Kontakt zu treten. Bei Bedarf können wir auch ausgewählte, in der Zusammenarbeit bewährte Wirtschaftsprüfungsunternehmen empfehlen und den Kontakt herstellen.
Profitieren Sie von unserer Expertise in der Umsetzung regulatorischer Anforderungen und unserer Erfahrung aus zahlreichen Projekten in regulierten Branchen, insbesondere im KRITIS- und Public-Sector-Umfeld. Gemeinsam schaffen wir die Grundlage für Ihre C5-Konformität – effizient, transparent und nachhaltig.