Kriterienkatalog C5 2026 – Was ändert sich ?

Am 7. April 2026 hat das Bundesamt für Sicherheit in der Informationstechnik den neuen Cloud Computing Compliance Criteria Catalogue C5:2026 veröffentlicht. Für Cloud Service Provider ist diese Fassung keine bloße Aktualisierung des C5:2020. Die Grundlogik bleibt erhalten, aber Struktur, Detailtiefe und Nachweisführung ändern sich an mehreren prüfungsrelevanten Stellen.

Damit rücken drei Fragen in den Vordergrund: Was bedeutet C5:2026 für bestehende Testate? Ab wann wird der neue Katalog relevant? Und welcher Anpassungsbedarf entsteht für Systembeschreibungen, interne Kontrollen und Nachweise?

Die kurze Antwort: Bestehende C5:2020-Testate werden nicht allein durch die Veröffentlichung des neuen Katalogs wertlos. Wer aber ab 2027 prüfungsfähig bleiben will, sollte die Umstellung frühzeitig vorbereiten. C5:2026 verlangt eine genauere Zuordnung von Anforderungen, Kontrollen und Evidenzen. Dort entsteht der eigentliche Aufwand.

Der C5:2026 hält an zentralen Bausteinen des bisherigen Katalogs fest. Dazu gehören die General Conditions, die Transparenz über die Rahmenbedingungen des Cloud-Dienstes schaffen, sowie die Kriterien zur Informationssicherheit von Cloud-Diensten.

Auch die Unterscheidung zwischen Basiskriterien und Zusatzkriterien bleibt bestehen. Basiskriterien beschreiben grundlegende Anforderungen. Zusatzkriterien adressieren erhöhte Schutzbedarfe, etwa aus Kundenanforderungen, Risikoanalysen oder besonders sensiblen Nutzungsszenarien.

Ebenfalls erhalten bleibt das Shared-Responsibility-Modell. Der C5 unterscheidet weiterhin zwischen der Verantwortung des Cloud Service Providers und den Mitwirkungspflichten der Cloud-Kunden. Das ist in der Praxis wichtig, weil viele Sicherheitsmaßnahmen nur dann wirksam sind, wenn Anbieterfunktionen und Kundennutzung zusammenpassen.

Die Neuerungen liegen nicht in einem Bruch mit der bisherigen Systematik. Sie liegen darin, dass der Katalog technischer, granularer und besser prüfbar wird. C5:2026 berücksichtigt unter anderem aktuelle Referenzen und Entwicklungen wie EUCS, ISO/IEC 27001:2022, CSA Cloud Controls Matrix Version 4 und NIS2. Auch praktische Erfahrungen aus der Anwendung des C5:2020 sind eingeflossen.

Besonders sichtbar wird die Weiterentwicklung bei Themen, die moderne Cloud-Architekturen unmittelbar betreffen:

• Container Management
• Supply Chain Security
• Post-Quantum-Kryptografie
• Confidential Computing
• Multi-Tenancy
• technische Umsetzung digitaler Souveränität
• genauere Zuordnung einzelner Kriterien zu bestimmten Datentypen

Für Cloud Service Provider bedeutet das: Es reicht voraussichtlich nicht, bestehende Kontrollbeschreibungen nur sprachlich anzupassen. Viele Organisationen müssen prüfen, ob ihre Kontrollen, Nachweise und Zuständigkeiten zur neuen Struktur passen.

Eine der wichtigsten Änderungen ist die feinere Aufteilung der Kriterien in Subkriterien. Dadurch lassen sich Anforderungen präziser internen Kontrollen zuordnen. Für Audits verbessert das die Nachvollziehbarkeit. Für Cloud Service Provider erhöht es die Anforderungen an Dokumentation und Evidenzführung.

Wo im C5:2020 ein größerer Anforderungstext mehrere Aspekte bündelte, trennt C5:2026 häufiger einzelne Anforderungen voneinander. Das macht sichtbarer, ob eine Kontrolle vollständig passt, nur teilweise greift oder zwar vorhanden ist, aber nicht sauber nachgewiesen wird.

Gerade bei bestehenden C5:2020-Testaten ist deshalb ein Mapping sinnvoll: Welche bisherigen Kontrollen decken welche neuen Subkriterien ab? Wo entstehen Lücken? Wo muss nur die Dokumentation präzisiert werden, und wo sind technische oder organisatorische Anpassungen erforderlich?

Eine der wichtigsten Änderungen ist die feinere Aufteilung der Kriterien in Subkriterien. Dadurch lassen sich Anforderungen präziser internen Kontrollen zuordnen. Für Audits verbessert das die Nachvollziehbarkeit. Für Cloud Service Provider erhöht es die Anforderungen an Dokumentation und Evidenzführung.

Wo im C5:2020 ein größerer Anforderungstext mehrere Aspekte bündelte, trennt C5:2026 häufiger einzelne Anforderungen voneinander. Das macht sichtbarer, ob eine Kontrolle vollständig passt, nur teilweise greift oder zwar vorhanden ist, aber nicht sauber nachgewiesen wird.

Gerade bei bestehenden C5:2020-Testaten ist deshalb ein Mapping sinnvoll: Welche bisherigen Kontrollen decken welche neuen Subkriterien ab? Wo entstehen Lücken? Wo muss nur die Dokumentation präzisiert werden, und wo sind technische oder organisatorische Anpassungen erforderlich?

C5:2026 klassifiziert Zusatzkriterien genauer. Sie können ein bestehendes Basiskriterium verschärfen oder durch neue Anforderungen ergänzen.

Diese Unterscheidung ist prüfungsrelevant. Ein verschärfendes Zusatzkriterium tritt nicht einfach neben das Basiskriterium, sondern ersetzt das entsprechende Basisunterkriterium. Ein ergänzendes Zusatzkriterium kommt zusätzlich hinzu. Damit reduziert der neue Katalog Interpretationsspielräume, die in der Anwendung des C5:2020 entstehen konnten.

Für die Umsetzung heißt das: Zusatzkriterien sollten nicht pauschal als „mehr Sicherheit“ verstanden werden. Entscheidend ist, welche Funktion sie im Katalog haben und wie sie in Systembeschreibung, Kontrollset und Nachweiskonzept abgebildet werden.

Das Kriterium PSS-05 zu Authentisierungsmechanismen zeigt die Veränderung gut. Die sicherheitstechnische Zielrichtung bleibt im Kern erhalten: Der Cloud-Dienst soll Authentisierungsmechanismen bereitstellen, mit denen etwa Mehr-Faktor-Authentisierung für Nutzer, IT-Komponenten oder Anwendungen im Verantwortungsbereich des Cloud-Kunden umgesetzt werden kann.

C5:2026 schneidet diese Anforderung jedoch feiner. Aus einem breiteren Anforderungstext werden klarer getrennte Unterkriterien. Auch die korrespondierenden Kriterien für Kunden werden konkreter, etwa mit Blick auf Container-Szenarien.

Für Cloud Service Provider ist das kein rein formaler Unterschied. Eine feinere Kriterienstruktur verlangt eine feinere Nachweisstruktur. Wer bisher mit breit formulierten Kontrollbeschreibungen gearbeitet hat, sollte diese gegen die neuen Subkriterien prüfen.

Nach den begleitenden Veröffentlichungsinformationen soll der C5:2026 neben PDF und Excel auch maschinenlesbar bereitgestellt werden. Für Cloud- und Security-Teams ist das relevant, wenn sie Kontrollbibliotheken, GRC-Systeme oder Compliance-Pipelines betreiben.

Maschinenlesbare Anforderungen lassen sich leichter versionieren, mappen und in automatisierte Prozesse integrieren. Das ersetzt keine fachliche Bewertung und keine Prüfung.

Es schafft aber eine bessere Grundlage, um Anforderungen systematisch in interne Kontrollsysteme zu übernehmen und Änderungen nachvollziehbar zu steuern.

Eine frühere Anwendung von C5:2026 ist zulässig. Verbindlich wird die neue Fassung nach dem Katalog für Type-1-Reports mit Stichtag am oder nach dem 1. Juni 2027 sowie für Type-2-Reports mit Prüfungszeiträumen, die am oder nach dem 1. Juni 2027 beginnen.

Beginnt ein Type-2-Prüfungszeitraum vor dem 1. Juni 2027 und endet danach, soll das Engagement nach der vorherigen Katalogfassung C5:2020 durchgeführt werden. Eine Kombination von C5:2020 und C5:2026 innerhalb desselben Engagements soll vermieden werden, weil sie zu Unklarheiten bei der Anwendbarkeit der Kriterien führen kann.

Für Prüfungszeiträume, die am oder nach dem 28. Februar 2027 enden, verlangt der C5:2026 zusätzliche Informationen zu geplanten Kontrolländerungen in der Systembeschreibung. Dazu gehören, soweit anwendbar, das betroffene Kriterium, die Art der Änderung, der Implementierungsstatus und der geplante Umsetzungstermin.

Der Prüfer beurteilt diese Angaben auf faire Darstellung. Er bewertet dabei noch nicht die Angemessenheit des Designs oder die operative Wirksamkeit der geplanten Kontrolländerungen. Diese Unterscheidung ist wichtig: Die Übergangsinformationen schaffen Transparenz über die Umstellungsplanung, ersetzen aber nicht den späteren Nachweis wirksamer Kontrollen nach C5:2026.

Für Cloud Service Provider werden Umstellungsplanung und transparente Dokumentation damit Teil der Prüfungsfähigkeit. Cloud-Kunden erhalten zugleich eine bessere Grundlage, um einzuschätzen, ob und wie ein Anbieter die Umstellung auf den neuen Katalog vorbereitet.

Der Wechsel auf C5:2026 sollte als Umstellungsprojekt behandelt werden, nicht als redaktionelle Aktualisierung der Systembeschreibung.

Sinnvoll sind vor allem folgende Schritte:

1. bestehende C5:2020-Kontrollen gegen C5:2026 mappen
2. neue, geänderte und granularisierte Anforderungen markieren
3. Systembeschreibung und Kontrollbeschreibungen auf die neue Struktur ausrichten
4. Evidenzen je Subkriterium prüfen
5. Zuständigkeiten zwischen Provider und Kundenbeitrag sauber darstellen
6. geplante Änderungen für die Übergangsphase dokumentieren
7. frühzeitig mit dem Prüfer klären, ab wann C5:2026 angewendet werden soll

Cloud-Kunden sollten parallel prüfen, wann ihre Anbieter auf C5:2026 umstellen und ob bestehende C5:2020-Testate für die eigene Risikobewertung ausreichen. Besonders bei regulierten Workloads oder hohen Schutzbedarfen kann es sinnvoll sein, die Umstellungsplanung des Providers aktiv abzufragen.