Informationssicherheit Datenschutz KI-Compliance Unternehmens-Compliance

BSI C5

BSI C5:2026. Jetzt vorbereiten.

Der BSI hat den überarbeiteten C5:2026 veröffentlicht. Ab Juni 2027 ist er verpflichtend. Wir begleiten Cloud-Provider und Cloud-Kunden durch den Übergang.

C5:2020 Audit ISMS

Prüfbereiche (unverändert gegenüber C5:2020)

168

Einzelanforderungen (zuvor 122 – 46 neue Kriterien)

3-12

Monate rückwirkende Prüfung durch Wirtschaftsprüfer

Was ist neu?

C5:2026 schärft den Standard für die Cloud-Realität von heute.

Am 7. April 2026 hat das BSI den C5:2026 veröffentlicht. Es ist die zweite größere Überarbeitung des Kriterienkatalogs seit 2016. Der neue Standard umfasst 168 Kriterien in 17 Domänen (bisher 122) und reagiert auf neue Technologien, veränderte Bedrohungslagen sowie aktuelle regulatorische Anforderungen wie NIS2, DORA und den ISO/IEC 27001:2022.

Für bestehende C5-Attestierungen gilt: Neue Attestierungen müssen ab Juni 2027 zwingend auf Basis des C5:2026 erfolgen. Wer jetzt mit der Gap-Analyse beginnt, hat ausreichend Zeit für eine geordnete Transition.

Zeitplan auf einen Blick

7. April 2026

BSI veröffentlicht C5:2026 (DE/EN + erstmals maschinenlesbar)

Jetzt

Gap-Analyse und Transitionsplanung starten

Ab Juni 2027

C5:2026 verpflichtend für alle neuen Attestierungen

Wesentliche Änderungen

Was sich gegenüber C5:2020 ändert.

Neue Technologien im OPS-Bereich

Container Management: neue Kriterien OPS-34 und OPS-35
Confidential Computing: eigene Anforderungen OPS-32 und OPS-33
Post-Quantum-Kryptografie: hybride Verschlüsselungsverfahren verpflichtend
Verschärfte Tenant-Isolation für Multi-Cloud-Umgebungen

Lieferkette & Supply Chain (SSO)

Neues Kriteriencluster SSO-01 bis SSO-08 für Lieferkettenmanagement
Pflicht zur Überprüfung und Überwachung von Subdienstleistern
Nachweis der Weiterreichung von Sicherheitsanforderungen
NIS2-konformes Lieferkettenrisikomanagement direkt abbildbar

Regulatorische Verzahnung

Vollständige Angleichung an ISO/IEC 27001:2022 und CSA CCM v4
Abstimmung mit EUCS (EU Cloud Certification Scheme)
NIS2- und DORA-Anforderungen strukturell berücksichtigt
Erleichterte kombinierte Attestierung mit ISO 27001

Struktur & Nutzbarkeit

Sub-Kriterien für präzisere Prüfungsabgrenzung und Evidenzzuordnung
Unterscheidung: Kriterien „additional sharpen" vs. „additional complement"
Erstmals maschinenlesbar verfügbar (YAML und XLSX)
Veröffentlicht auf Deutsch und Englisch

Leistungen

Was wir für die Transition übernehmen.

Transition Gap-Analyse

Abgleich bestehender C5:2020-Dokumentation mit C5:2026
Identifikation neuer und geänderter Anforderungen
Priorisierter Maßnahmenplan für den Übergang
Einschätzung des Aufwands bis zur nächsten Attestierung

Umsetzungsbegleitung

Implementierung neuer Kontrollanforderungen
Anpassung und Ergänzung bestehender Dokumentation
Aufbau fehlender Evidenzen je Prüfbereich
Abstimmung mit internen Teams und externen Auditoren

Erstmalige C5:2026-Attestierung

Vollständiger Aufbau nach neuem Standard
System-Security-Plan und Control-Beschreibungen
Mock-Assessment als Generalprobe
Begleitung bis zur Typ-1- oder Typ-2-Attestierung

Cloud-Kunden-Beratung

Prüfung vorliegender C5:2020-Attestate auf Übergangsstatus
Anforderungen an Provider vertraglich verankern
Risikoeinschätzung bis zur C5:2026-Attestierung des Providers
Eigene Sicherheitspflichten im Shared-Responsibility-Modell

Vorgehen

Geordnete Transition in vier Schritten.

Gap-Analyse

Systematischer Abgleich Ihrer bestehenden C5:2020-Basis mit den neuen Anforderungen des C5:2026.

Maßnahmenplan

Priorisierte Roadmap aller offenen Punkte mit realistischen Umsetzungshorizonten vor der Pflichtfrist.

Umsetzung

Implementierung neuer Controls, Anpassung der Dokumentation und Evidenzaufbau für den Prüfer.

Attestierung

Mock-Assessment, Abstimmung mit dem Wirtschaftsprüfer und Begleitung bis zur erfolgreichen Attestierung.