Informationssicherheit Datenschutz KI-Compliance Unternehmens-Compliance
BSI C5

BSI C5:2026. Jetzt vorbereiten.

Der BSI hat den überarbeiteten C5:2026 veröffentlicht. Ab Juni 2027 ist er verpflichtend. Wir begleiten Cloud-Provider und Cloud-Kunden durch den Übergang.

C5:2020 Audit ISMS
17
Prüfbereiche (unverändert gegenüber C5:2020)
168
Einzelanforderungen (zuvor 122, davon 46 neue Kriterien)
3-12
Monate rückwirkende Prüfung durch Wirtschaftsprüfer
Was ist neu?

C5:2026 schärft den Standard für die Cloud-Realität von heute.

Am 7. April 2026 hat das BSI den C5:2026 veröffentlicht. Es ist die zweite größere Überarbeitung des Kriterienkatalogs seit 2016. Der neue Standard umfasst 168 Kriterien in 17 Domänen (bisher 122) und reagiert auf neue Technologien, veränderte Bedrohungslagen sowie aktuelle regulatorische Anforderungen wie NIS2, DORA und den ISO/IEC 27001:2022.

Für bestehende C5-Attestierungen gilt: Neue Attestierungen müssen ab Juni 2027 zwingend auf Basis des C5:2026 erfolgen. Wer jetzt mit der Gap-Analyse beginnt, hat ausreichend Zeit für eine geordnete Transition.

Zeitplan auf einen Blick

7. April 2026

BSI veröffentlicht C5:2026 (DE/EN + erstmals maschinenlesbar)

Jetzt

Gap-Analyse und Transitionsplanung starten

Ab Juni 2027

C5:2026 verpflichtend für alle neuen Attestierungen

Wesentliche Änderungen

Was sich gegenüber C5:2020 ändert.

Neue Technologien im OPS-Bereich

  • Container Management: neue Kriterien OPS-34 und OPS-35
  • Confidential Computing: eigene Anforderungen OPS-32 und OPS-33
  • Post-Quantum-Kryptografie: hybride Verschlüsselungsverfahren verpflichtend
  • Verschärfte Tenant-Isolation für Multi-Cloud-Umgebungen

Lieferkette & Supply Chain (SSO)

  • Neues Kriteriencluster SSO-01 bis SSO-08 für Lieferkettenmanagement
  • Pflicht zur Überprüfung und Überwachung von Subdienstleistern
  • Nachweis der Weiterreichung von Sicherheitsanforderungen
  • NIS2-konformes Lieferkettenrisikomanagement direkt abbildbar

Regulatorische Verzahnung

  • Vollständige Angleichung an ISO/IEC 27001:2022 und CSA CCM v4
  • Abstimmung mit EUCS (EU Cloud Certification Scheme)
  • NIS2- und DORA-Anforderungen strukturell berücksichtigt
  • Erleichterte kombinierte Attestierung mit ISO 27001

Struktur & Nutzbarkeit

  • Sub-Kriterien für präzisere Prüfungsabgrenzung und Evidenzzuordnung
  • Unterscheidung: Kriterien „additional sharpen" vs. „additional complement"
  • Erstmals maschinenlesbar verfügbar (YAML und XLSX)
  • Veröffentlicht auf Deutsch und Englisch
Leistungen

Was wir für die Transition übernehmen.

Transition Gap-Analyse

  • Abgleich bestehender C5:2020-Dokumentation mit C5:2026
  • Identifikation neuer und geänderter Anforderungen
  • Priorisierter Maßnahmenplan für den Übergang
  • Einschätzung des Aufwands bis zur nächsten Attestierung

Umsetzungsbegleitung

  • Implementierung neuer Kontrollanforderungen
  • Anpassung und Ergänzung bestehender Dokumentation
  • Aufbau fehlender Evidenzen je Prüfbereich
  • Abstimmung mit internen Teams und externen Auditoren

Erstmalige C5:2026-Attestierung

  • Vollständiger Aufbau nach neuem Standard
  • System-Security-Plan und Control-Beschreibungen
  • Mock-Assessment als Generalprobe
  • Begleitung bis zur Typ-1- oder Typ-2-Attestierung

Cloud-Kunden-Beratung

  • Prüfung vorliegender C5:2020-Attestate auf Übergangsstatus
  • Anforderungen an Provider vertraglich verankern
  • Risikoeinschätzung bis zur C5:2026-Attestierung des Providers
  • Eigene Sicherheitspflichten im Shared-Responsibility-Modell
Vorgehen

Geordnete Transition in vier Schritten.

01

Gap-Analyse

Systematischer Abgleich Ihrer bestehenden C5:2020-Basis mit den neuen Anforderungen des C5:2026.

02

Maßnahmenplan

Priorisierte Roadmap aller offenen Punkte mit realistischen Umsetzungshorizonten vor der Pflichtfrist.

03

Umsetzung

Implementierung neuer Controls, Anpassung der Dokumentation und Evidenzaufbau für den Prüfer.

04

Attestierung

Mock-Assessment, Abstimmung mit dem Wirtschaftsprüfer und Begleitung bis zur erfolgreichen Attestierung.

FAQ

Häufige Fragen zum BSI C5:2026.

Verwandte Themen

BSI C5:2026 bringt wesentliche Erweiterungen gegenüber dem Vorgänger. Besonders auffällig sind neue Anforderungen zur KI-Sicherheit und ein deutlich stärkerer Fokus auf Lieferkettensicherheit, abgebildet im neuen Kriteriencluster SSO. Anforderungen zu Verschlüsselung und Kryptographie wurden aktualisiert und um Post-Quantum-Kryptografie erweitert. Viele Anforderungen wurden darüber hinaus präzisiert und strukturell an NIS2, DORA sowie ISO/IEC 27001:2022 angeglichen.

BSI C5:2026 gilt für Testate, die nach dem Veröffentlichungsdatum ausgestellt werden. Bereits bestehende C5:2020-Testate behalten ihre Gültigkeit bis zum Ablauf. Wir empfehlen frühzeitige Gap-Analyse und Planung, um rechtzeitig umzustellen.

C5:2026 enthält neue Kontrollen zu KI-gestützten Diensten, erweitertes Supply-Chain-Management, stärkere Anforderungen an Incident Response sowie detailliertere Vorgaben zu Penetrationstests und Schwachstellenmanagement.

Ja, C5 ist auf ISO 27001 aufgebaut und kompatibel. Viele Anforderungen aus C5:2026 lassen sich direkt auf ISO 27001 Annex-A-Controls mappen. Eine ISO 27001 Zertifizierung deckt einen wesentlichen Teil der C5-Anforderungen ab, reicht aber allein nicht für ein C5-Testat aus.

Bestehende C5:2020 Testate behalten ihre Gültigkeit bis zum regulären Ablauf. Neue Testate werden jedoch nach dem neuen Standard ausgestellt. Cloud-Dienstleister sollten frühzeitig prüfen, welche neuen Anforderungen auf sie zukommen, und die Umstellung in ihre reguläre Erneuerungsplanung integrieren, um aufwändige Nacharbeiten kurz vor dem Audittermin zu vermeiden.

Die Kosten hängen von der Ausgangssituation und dem Umstellungsaufwand ab. Nach einem kostenlosen Erstgespräch erhalten Sie eine transparente Aufwandsschätzung.

Transition jetzt angehen.

Bis Juni 2027 bleibt Zeit für eine geordnete Umstellung. Wer früh startet, vermeidet Zeitdruck vor der Pflichtfrist.

Erstgespräch buchen