Informationssicherheit Datenschutz KI-Compliance Unternehmens-Compliance

BSI C5 klar nachweisen.

122 Controls, 17 Bereiche und klare Provider-Kunden-Abgrenzung.

ISMS Audit C5:2026 neu

C5:2026 veröffentlicht. Das BSI hat am 7. April 2026 den neuen Kriterienkatalog C5:2026 veröffentlicht. Ab Juni 2027 ist er verpflichtend. Diese Seite beschreibt C5:2020.

Zu C5:2026 →
17
Prüfbereiche
122
Einzelanforderungen
3-12
Monate rückwirkende Prüfung durch Wirtschaftsprüfer
Hintergrund

C5:2020: Transparenz für sichere Cloud-Dienste.

Der Cloud Computing Compliance Criteria Catalogue C5:2020 ist der BSI-Standard für sichere Cloud-Dienste. Mit 122 Anforderungen in 17 Bereichen schafft C5:2020 Transparenz für Cloud-Provider und ihre Kunden und ist zunehmend Voraussetzung für öffentliche Auftraggeber und regulierte Branchen in Deutschland. Wir unterstützen sowohl Cloud-Provider bei der C5-Attestierung als auch Cloud-Kunden bei der Due Diligence und dem Nachweis eigener Sicherheitspflichten.

Alle 17 C5:2020-Prüfbereiche

OIS:Informationssicherheit COS:Kommunikationssicherheit SP:Sicherheitsrichtlinien PI:Portabilität & Interoperabilität HR:Personal DEV:Entwicklung & Beschaffung AM:Asset Management SSO:Dienstleister & Lieferanten PS:Physische Sicherheit SIM:Sicherheitsvorfälle OPS:Regelbetrieb BCM:Business Continuity IDM:Identitäts- & Zugriffsmanagement COM:Compliance CRY:Kryptographie & Schlüssel INQ:Ermittlungsanfragen PSS:Produktsicherheit
Leistungen

Was wir für Sie übernehmen.

C5-Gap-Analyse

  • Systematische Prüfung aller 122 Anforderungen
  • Verantwortungsabgrenzung Provider vs. Kunde
  • Identifikation offener Controls und Nachweise
  • Priorisierter Umsetzungsplan

Attestierungsvorbereitung

  • Aufbau der erforderlichen Dokumentation
  • Evidenzsammlung je Prüfbereich
  • Mock-Assessment als Generalprobe
  • Koordination mit Wirtschaftsprüfer (WP) für Attestierung

Provider-Dokumentation

  • System-Security-Plan und Control-Beschreibungen
  • Transparenzberichte und Kundenkommunikation
  • Vorbereitung auf Prüfer-Interviews

Cloud-Kunden-Due-Diligence

  • Prüfung vorhandener C5-Attestate von Providern
  • Abgleich mit eigenen Compliance-Anforderungen
  • Vertragliche Verankerung von C5-Pflichten
  • Risikoeinschätzung bei C5-Lücken
Vorgehen

Von der Analyse zur Attestierung.

01

Analyse

Prüfung aller 122 C5-Anforderungen.

02

Aufbau

Controls implementieren, Dokumentation erstellen, Evidenzen aufbauen.

03

Pre-Assessment

Mock-Assessment und Abstimmung mit Wirtschaftsprüfern.

04

Attestierung

Begleitung bis zur Typ-1- oder Typ-2-Attestierung.

FAQ

Häufige Fragen zum BSI Cloud Computing Compliance Criteria Catalogue (C5).

Verwandte Themen

Ein C5-Testat darf ausschließlich von Wirtschaftsprüfern oder Wirtschaftsprüfungsgesellschaften ausgestellt werden, die nach der Wirtschaftsprüferordnung (WPO) zugelassen sind. Das BSI selbst stellt keine Testate aus. Unternehmen sollten darauf achten, dass der beauftragte Prüfer über ausreichende Cloud-Expertise verfügt, da C5 ein technisch anspruchsvolles Prüffeld mit spezifischen Anforderungen an Mandantentrennung, Portabilität und Transparenz ist.

Ein C5-Testat ist primär relevant für Cloud-Dienstleister, die an Bundesbehörden, kritische Infrastrukturen oder Unternehmen mit hohem Sicherheitsbedarf liefern. Auch privatwirtschaftliche Unternehmen fordern zunehmend C5-Testate als Nachweis der Sicherheitsstandards ihrer Cloud-Anbieter.

Ein Typ-1-Testat bescheinigt, dass die Sicherheitskontrollen zu einem Stichtag angemessen gestaltet sind. Ein Typ-2-Testat prüft darüber hinaus die Wirksamkeit der Kontrollen über einen Beobachtungszeitraum von typischerweise 6 bis 12 Monaten und ist damit deutlich aussagekräftiger.

C5 basiert methodisch auf ISO 27001, geht in vielen Bereichen aber deutlich darüber hinaus, insbesondere bei Cloud-spezifischen Anforderungen wie Mandantentrennung, Portabilität und Transparenzpflichten. Eine ISO 27001 Zertifizierung ist eine gute Basis, ersetzt ein C5-Testat aber nicht.

Bei einem Unternehmen ohne bestehende Sicherheitsdokumentation rechnen wir mit 9 bis 18 Monaten. Gibt es bereits ein ISMS oder eine ISO 27001 Zertifizierung, kann der Aufwand auf 6 bis 12 Monate reduziert werden.

Die Kosten hängen von der Ausgangssituation, dem Umfang der Cloud-Services und der angestrebten Testat-Tiefe ab. Nach einem kostenlosen Erstgespräch erhalten Sie eine transparente Aufwandsschätzung.

C5-Attestierung. Nachweisbar sicher.

Lassen Sie Ihre Sicherheit attestieren, bevor Ihre Kunden fragen.

Erstgespräch buchen