BSI C5: Was Cloud-Anbieter jetzt wissen müssen – Wer betroffen ist, welche Fristen gelten und was Typ 1 und Typ 2 unterscheidet
Cloud-Technologien sind längst ein fester Bestandteil der digitalen Infrastruktur und besonders in sicherheitskritischen Bereichen wie z.B. Gesundheitswesen. Mit dem wachsenden Vertrauen in die Cloud steigen jedoch auch die Anforderungen an die Informationssicherheit. Ein zentraler Maßstab in Deutschland ist hier der C5-Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Doch wer genau ist von dieser Anforderung betroffen? Ab wann wird der Nachweis verpflichtend? Und wie unterscheiden sich die beiden Prüfarten – Typ 1 und Typ 2 – voneinander? In diesem Beitrag klären wir die wichtigsten Punkte kompakt und verständlich.
Was ist der C5-Katalog des BSI?
Der C5-Katalog („Cloud Computing Compliance Criteria Catalogue“) definiert grundlegende Anforderungen an Cloud-Anbieter in Bezug auf Informationssicherheit. Er dient sowohl Anbietern als auch Kunden und Prüfern als Orientierungshilfe, um den Sicherheitsstatus von Cloud-Diensten nachvollziehbar und prüfbar zu machen.
Der Katalog wurde so konzipiert, dass er mit nationalen und internationalen Standards kompatibel ist und gleichzeitig die Besonderheiten des deutschen Rechtsrahmens berücksichtigt. Er ist besonders hilfreich für Unternehmen, die Cloud-Dienste einkaufen und auf eine transparente Sicherheitsbasis angewiesen sind. Der C5 Katalog hat sehr viele Überschneidungen mit der bekannteren ISO 27001 Norm, geht aber in einigen Bereichen der Informationssicherheit für Cloud-Dienste noch sehr viel tiefer. Trotz des hohen Standards ist es jedoch wichtig zu erwähnen, dass der C5-Katalog eine deutsche Norm ist und nicht, wie beispielsweise die ISO 27001, international anerkannt ist.
Für cloudbasierte Unternehmen ist außerdem relevant, wie folgenden Begriffe im Rahmen des C5 Katalog definiert sind:
Cloud Computing:
Darunter versteht man ein Modell, bei dem IT-Dienstleistungen flexibel, je nach Bedarf und über ein Netzwerk bereitgestellt, genutzt und abgerechnet werden. Diese Dienste werden ausschließlich über klar festgelegte technische Schnittstellen und Protokolle angeboten und genutzt.
Cloud-Dienst:
Das sind IT-Leistungen, die im Rahmen des Cloud Computing angeboten werden. Dazu zählen unter anderem Rechenleistung, Speicherplatz, Plattformen oder Software – also alles, was Nutzerinnen und Nutzer je nach Bedarf aus der Cloud beziehen können.
Für wen ist das C5-Testat verpflichtend?
Betroffen von der Pflicht sind Unternehmen, die in der Gesundheitsbranche cloudbasierte Dienste anbieten. Da sie unter anderem mit personenbezogene Gesundheitsdaten arbeiten (z. B. im Rahmen digitaler Patientenakten oder medizinischer Plattformen), müssen solche Unternehmen ab dem 01.Juli 2025 ein Testat nach nach Typ 2 nachweisen können. Zuvor war ein Testat nach Typ 1 ausreichend.
Unternehmen sollten also frühzeitig mit der Umstellung beginnen, da die Dokumentation über mehrere Monate hinweg erfolgt.
In anderen Branchen ist das C5-Testat zwar (noch) keine zwingende Voraussetzung, wird jedoch zunehmend zum Standard bei Ausschreibungen oder Compliance-Audits, etwa im Rahmen von DORA, NIS2 oder ISO-Standards.
Typ 1 und Typ 2: Was ist der Unterschied?
Ein zentrales Merkmal des C5-Katalogs ist die Unterscheidung in zwei Arten von Prüfberichten:
Typ 1 beschreibt die Umsetzung der Sicherheitsmaßnahmen zu einem bestimmten Zeitpunkt. Die Prüfung konzentriert sich darauf, ob geeignete Prozesse und Strukturen vorhanden sind. Die Prüfung ist sozusagen eine Momentaufnahme der C5-Einhaltung.
Typ 2 geht darüber hinaus. Hier wird über einen längeren Zeitraum überprüft, ob die Sicherheitsmaßnahmen nicht nur implementiert, sondern auch wirksam sind. Dabei werden regelmäßige Nachweise eingefordert und der Betrieb der Systeme aktiv beobachtet. Dieser Prüfungszeitraum erstreckt sich über mind.6 Monate.
Typ 2 gilt als der aussagekräftigere Berichtstyp – und ist wie oben bereits erwähnt ab 1.Juli 2025 in vielen Fällen verpflichtend.
Fazit: Eine frühzeitige Auseinandersetzung mit dem C5-Katalog lohnt sich
Gerade für Anbieter im Gesundheitsbereich ist die Einhaltung des C5-Katalogs längst keine Option mehr, sondern Pflicht. Die Übergangsfrist für Typ 1 läuft nur noch bis 30.Juni 2025. Danach ist Typ 2 der neue Standard und muss verpflichtend eingehalten werden .
Auch für andere Cloud-Anbieter lohnt es sich, sich frühzeitig mit C5 auseinanderzusetzen: Ein entsprechendes Testat erhöht die Marktchancen, verbessert die Verhandlungsposition bei Ausschreibungen und stärkt das Vertrauen potenzieller Kunden.
Wer jetzt handelt, sichert sich nicht nur regulatorische Konformität, sondern auch einen wichtigen Wettbewerbsvorteil.
Quellen:
Cloud Computing Compliance Criteria Catalogue – C5:2020 – Kriterienkatalog Cloud Computing