Securance logo

C5:2026 vs. C5:2020: Was sich für Cloud-Anbieter wirklich ändert

Das BSI hat C5:2026 am 7. April 2026 veröffentlicht. Der Kriterienkatalog wächst von 121 auf 168 Kriterien, gegliedert weiterhin in 17 Themengebiete, nun zusätzlich in Unterkriterien aufgeteilt. Neue Schwerpunkte sind Container-Management, Post-Quanten-Kryptographie und Confidential Computing. Verbindlich wird C5:2026 für Prüfungen ab dem 1. Juni 2027, eine Offenlegungspflicht zu geplanten Anpassungen gilt bereits ab dem 28. Februar 2027.

Chat GPT Image 30 Juni 2026 17 47 55

Wer bislang C5:2020-Testate erstellt hat oder eine Erstprüfung plant, merkt beim Lesen der neuen Version schnell: Es handelt sich nicht um eine kosmetische Überarbeitung. Mehr Kriterien, neue Themenschwerpunkte, eine geänderte Zusatzkriterien-Logik und erstmals maschinenlesbare YAML-Dateien verändern die Vorbereitung auf das Audit spürbar. Und mit dem 1. Juni 2027 steht inzwischen auch ein verbindliches Datum fest, ab dem die alte Version nicht mehr genutzt werden darf.

Im Folgenden ordnen wir die wichtigsten Änderungen ein, zeigen die sinnvolle Reihenfolge für die Umstellung und benennen die Fallstricke, die uns aus der Praxis am häufigsten begegnen.

Das Wichtigste in Kürze

  • Umfang: 121 Kriterien (C5:2020) wachsen auf 168 Kriterien (C5:2026), unverändert gegliedert in 17 Themengebiete.
  • Struktur: Die Kriterien sind nun in Unterkriterien aufgeteilt, was das Mapping auf interne Controls erleichtert.
  • Neue Schwerpunkte: Container-Management, Post-Quanten-Kryptographie und Confidential Computing kommen als neue Kriterien innerhalb bestehender Themengebiete hinzu, vor allem im Bereich Operations und Kryptographie.
  • Zusatzkriterien-Logik: „additional sharpen“ (ersetzt Basisunterkriterien) und „additional complement“ (ergänzt sie) werden erstmals explizit unterschieden.
  • Verbindlichkeit: C5:2026 gilt für Typ-1-Berichte mit Stichtag und Typ-2-Berichte mit Prüfzeitraum-Beginn ab dem 1. Juni 2027. Eine frühere Anwendung ist möglich.
  • Maschinenlesbarkeit: YAML-Dateien für die GRC-Integration ergänzen PDF und editierbare Excel-Tabelle; inhaltlich ist C5:2026 an EUCS (Substantial), CSA CCM v4, ISO/IEC 27001:2022 und die NIS2-Direktive angelehnt.

Was der BSI C5 ist und wie die Prüfung funktioniert

Der BSI Cloud Computing Compliance Controls Catalogue (C5) definiert Mindestanforderungen an die Informationssicherheit von Cloud-Diensten und dient Kunden als standardisierte Grundlage für ihr Risikomanagement gegenüber Cloud-Anbietern.

Geprüft wird nach dem internationalen Standard ISAE 3000. Der BSI unterscheidet zwei Berichtstypen:

  • Typ 1 beurteilt die Angemessenheit der Ausgestaltung der Kontrollen zu einem Stichtag (Angemessenheitsprüfung)
  • Typ 2 beurteilt zusätzlich die Wirksamkeit der Kontrollen über einen definierten Prüfzeitraum (Wirksamkeitsprüfung).

In der Praxis sind Typ-2-Berichte deutlich aussagekräftiger, weil sie belegen, dass Kontrollen nicht nur existieren, sondern über einen Zeitraum tatsächlich funktioniert haben. Das BSI empfiehlt Typ-1-Berichte ausdrücklich nur für die Erstprüfung eines Cloud-Dienstes. Bei Anbietern, die wiederholt Typ-1-Berichte vorlegen, lohnt sich eine gezielte Nachfrage. Für alle weiteren Prüfjahre gilt Typ 2 als Standard.

121 auf 168 Kriterien: Was die neue Struktur für die Praxis bedeutet

Der auffälligste strukturelle Unterschied zwischen C5:2020 und C5:2026 ist der Kriterienumfang. Die Zahl der Kriterien steigt von 121 auf 168, verteilt auf weiterhin 17 Themengebiete. Gleichzeitig sind die Kriterien jetzt zusätzlich in Unterkriterien aufgegliedert.

Mehr Kriterien bedeuten zunächst mehr Aufwand. An mehreren Stellen erleichtert die neue Struktur die Arbeit aber auch: Unterkriterien lassen sich direkt auf einzelne Controls im internen Kontrollsystem mappen. Das reduziert Interpretationsspielraum im Audit und Rückfragen vom Prüfer. Für das Evidence-Pack heißt das, Nachweise lassen sich präziser zuordnen, statt ganze Kontrollen pauschal auf ein Kriterium zu referenzieren.

Der BSI stellt für C5:2020 bereits Kreuzreferenztabellen bereit; für C5:2026 sind entsprechende Mapping-Tabellen im Downloadbereich für das zweite Quartal 2026 angekündigt.

Neue Schwerpunkte: Container-Management, Post-Quanten-Kryptographie und Confidential Computing

Drei Themen verankert das BSI als neue Kriterien innerhalb der bestehenden Themengebiete, vor allem im Bereich Operations und im Bereich Kryptographie:

Container-Management

Container-Plattformen sind aus modernen Cloud-Architekturen nicht mehr wegzudenken. C5:2026 adressiert Container-Härtung, Lifecycle-Management und Monitoring-Nachweise. Wer Kubernetes oder vergleichbare Plattformen betreibt, muss entsprechende Evidences für den Prüfzeitraum vorhalten.

Post-Quanten-Kryptographie (PQC)

PQC wird als strategisches Planungsthema im Bereich Kryptographie aufgenommen. Eine vollständige Umstellung wird noch nicht verlangt. Anbieter müssen aber nachweisen, dass ein PQC-Migrationsplan existiert und ihre Kryptographie-Controls entsprechend eingeordnet sind.

Confidential Computing

Confidential Computing betrifft den Schutz von Daten während der Verarbeitung. C5:2026 fordert hierzu Nachweise zu Schutzzielen und Betriebsanforderungen für vertrauenswürdige Ausführungsumgebungen (Trusted Execution Environments).

Daneben adressiert C5:2026 Mandantentrennung und Supply Chain Management gezielter als bisher. Subdienstleister-Abhängigkeiten, Lieferkettensicherheit und aktuelle Drittparteien-Nachweise sind nicht nur Audit-Anforderungen, sondern bei fehlender Vorbereitung auch ein häufiger Grund für Projektverzögerungen.

Die Zusatzkriterien-Logik: „additional sharpen“ vs. „additional complement“

Diese Änderung wirkt im täglichen Audit-Betrieb am stärksten und ist gleichzeitig am wenigsten selbsterklärend. C5:2026 unterscheidet zwei Typen von Zusatzunterkriterien:

  • „additional sharpen“: Verschärfende Zusatzunterkriterien ersetzen das jeweilige Basisunterkriterium. Ist ein solches Kriterium relevant, gilt nicht mehr das Basisunterkriterium, sondern die schärfere Fassung.
  • „additional complement“: Ergänzende Zusatzunterkriterien kommen zu den Basiskriterien hinzu und erweitern den Prüfumfang. Sie sind zusätzlich im Audit nachzuweisen.

Für die Praxis bedeutet das: Fehlen im Evidence-Pack „sharpen“-Unterkriterien oder sind „complement“-Kriterien nicht separat dokumentiert, ist der Audit-Scope unvollständig. Im C5-Bericht werden betroffene Basisunterkriterien entsprechend vermerkt, mit direkten Auswirkungen auf die Nachweisqualität.

Warum C5:2026 europäisch enger verzahnt ist

C5:2026 ist inhaltlich und strukturell eng am europäischen Zertifizierungsschema EUCS (Substantial) ausgerichtet. Das BSI hat an den EUCS-Arbeiten mitgewirkt; C5:2020 diente dabei als eine der Grundlagen für EUCS Substantial.

Zusätzlich berücksichtigt wurden bei der Erarbeitung die CSA Cloud Controls Matrix Version 4, ISO/IEC 27001:2022 und die NIS2-Direktive. Wer bereits ein ISMS nach ISO/IEC 27001:2022 betreibt, wird viele Kontrollanforderungen inhaltlich wiedererkennen. Ein ISO-Zertifikat ersetzt das C5-Testat allerdings nicht: Der BSI weist darauf hin, dass Zertifikate anderer Standards im Rahmen eines C5-Testats vom Prüfer in der Regel nicht anerkannt werden, da die Prüfungsmethodik abweicht. Synergien entstehen vor allem bei simultaner Prüfung, nicht durch Substitution.

Praktischer Vorteil der Harmonisierung: GRC-Artefakte, die bereits EUCS oder ISO/IEC 27001:2022 abbilden, lassen sich leichter auf C5:2026 mappen. Der Detailaufwand bleibt davon unberührt.

YAML, Excel und maschinenlesbare Formate für die GRC-Integration

C5:2026 wird erstmals zusätzlich als maschinenlesbare YAML-Datei bereitgestellt, zunächst in englischer Sprache. Neben PDF und der editierbaren Excel-Tabelle steht damit ein Format zur Verfügung, das sich direkt in GRC-Tools einlesen lässt.

Der praktische Nutzen: Statt manueller Übertragung aus PDF-Dokumenten lässt sich der Kriterienkatalog direkt in Governance-, Risiko- und Compliance-Prozesse integrieren. Das verkürzt den Weg vom Katalog zur internen Kontrolle erheblich. Der schnellste Einstieg gelingt über ein technisches Kontroll-Mapping in Excel oder im GRC-Tool, vor der dokumentenbasierten Einzelabstimmung.

Chat GPT Image 30 Juni 2026 17 58 30

Wichtig: Diese Stichtage gelten für C5:2026

Verbindlichkeit ab 1. Juni 2027:

C5:2026 ist anzuwenden für Typ-1-Berichte mit Stichtag ab dem 1. Juni 2027 und für Typ-2-Berichte, deren Prüfzeitraum ab dem 1. Juni 2027 beginnt. Eine frühere Anwendung ist zulässig.

Offenlegungspflicht ab 28. Februar 2027:

Liegt der Berichtsstichtag beziehungsweise das Ende des Prüfzeitraums zwischen dem 28. Februar 2027 und dem 1. Juni 2027, muss die Systembeschreibung zusätzliche Angaben zu geplanten Änderungen enthalten: betroffene Kriterien, Art der Anpassung, Umsetzungsstatus und geplantes Implementierungsdatum.

Keine Vermischung:

C5:2020- und C5:2026-Kriterien dürfen nicht innerhalb eines Prüfauftrags gemischt werden.

C5:2020 und C5:2026 im Vergleich

Vergleich C5 2020 zu C5 2026

Roadmap: Was Cloud-Anbieter jetzt konkret tun sollten

Phase 1: Mapping und Gap-Analyse

Ein systematisches C5:2020-zu-C5:2026-Mapping bildet den Ausgangspunkt. Welche bestehenden Controls decken welche neuen Kriterien ab? Wo entstehen Lücken, besonders bei den neuen Schwerpunkten? Welche Unterkriterien sind als „sharpen“ oder „complement“ klassifiziert, und fehlen diese bisher im Evidence-Pack?

Phase 2: Technische Umsetzung und Nachweisplanung

Für Container-Management, Confidential Computing und PQC braucht es konkrete, Prüfzeitraum-bezogene Nachweise: Monitoring-Logs, Härtungsprotokolle, Planungsdokumentationen. Diese Evidences lassen sich nicht rückwirkend erzeugen, wer mit der Umsetzung wartet, verliert Prüfzeitraum. C5 schreibt dabei nicht vor, wie ein Kriterium erfüllt wird, der Katalog formuliert prüfbare Anforderungen, die Wahl der Maßnahmen liegt beim Anbieter, mit entsprechendem Begründungsaufwand.

Phase 3: Audit-Design

Wer bereits ein C5:2020-Testat hatte, plant konsequent mit Typ 2. Der Prüfzeitraum sollte realistisch angesetzt werden, die Rolle von Subdienstleistern frühzeitig geklärt sein (aktuelle Nachweise zu Abhängigkeiten, geografischer Lage, Verfügbarkeiten), und die Verantwortung für die Systembeschreibung eindeutig zugeordnet sein, inklusive der ab 2027 geforderten Angaben zu geplanten Anpassungen.

Typische Fehler beim Übergang auf C5:2026

  • Zusatzunterkriterien („sharpen“/„complement“) fehlen im Evidence-Pack, obwohl sie zum Audit-Scope gehören.
  • Wiederholte Typ-1-Planung, ohne Wirksamkeitsnachweise über den Prüfzeitraum aufzubauen.
  • Subdienstleister-Nachweise sind nicht aktuell oder unvollständig (geografische Lage, Ermittlungsanfragen, Verfügbarkeiten).
  • Mapping erfolgt nur auf Kriterienebene statt auf Unterkriterienebene, was im Audit zu Zuordnungsproblemen führt.
  • ISO-Zertifikate werden fälschlich als Ersatz für C5-Nachweise verstanden, obwohl der BSI das ausschließt.
  • Die Stichtage 28. Februar und 1. Juni 2027 werden zu spät in die Audit-Planung aufgenommen.

Nächster Schritt: Gap-Analyse für den C5:2026-Übergang

Der Übergang von C5:2020 auf C5:2026 lässt sich nicht im Vorbeigehen erledigen. Mehr Kriterien, neue technische Nachweisanforderungen, die veränderte Zusatzkriterien-Logik und feste Stichtage erfordern eine strukturierte Herangehensweise.

Securance begleitet Cloud-Anbieter über den gesamten Weg: von der initialen Gap-Analyse und dem Kriterien-Mapping über die Umsetzungsbegleitung bis zur Audit-Vorbereitung. Ergänzt wird das durch technische Cyberservices wie Penetrationstests, monatliche Scans und Codeprüfungen, die genau die Nachweisqualität liefern, die ein Typ-2-Bericht für neue Themenfelder wie Container-Management oder Confidential Computing braucht. Alles aus einer Hand, ohne Koordinationsaufwand zwischen mehreren Dienstleistern.

Wo steht Ihr Unternehmen heute, und was fehlt noch bis zum nächsten Audit?

Vereinbaren Sie ein unverbindliches Kennenlerngespräch und stoßen Sie Ihre C5:2026-Gap-Analyse an.

Häufige Fragen zu C5:2020 vs. C5:2026

Ab wann ist C5:2026 verpflichtend?

C5:2026 ist anzuwenden für Typ-1-Berichte mit Stichtag ab dem 1. Juni 2027 und für Typ-2-Berichte, deren Prüfzeitraum ab diesem Datum beginnt. Eine frühere Anwendung ist zulässig. Bereits ab dem 28. Februar 2027 gilt eine Offenlegungspflicht zu geplanten Anpassungen in der Systembeschreibung.

Wie viele Kriterien hat C5:2026, und wie viele Themengebiete sind es?

C5:2026 umfasst 168 Kriterien, gegliedert in weiterhin 17 Themengebiete. C5:2020 umfasste 121 Kriterien in denselben 17 Themengebieten.

Was, wenn ein Anbieter wiederholt Typ-1-Berichte vorlegt?

Das BSI sieht Typ-1-Berichte ausdrücklich nur für die Erstprüfung vor. Kunden, die wiederholt Typ-1-Berichte erhalten, sollten den Anbieter aktiv darauf ansprechen.

Werden ISO-27001-Zertifikate im C5-Testat anerkannt?

In der Regel nicht. Der BSI weist darauf hin, dass Zertifikate anderer Standards im Rahmen eines C5-Testats vom Prüfer üblicherweise nicht anerkannt werden, da sich die Prüfungsmethodik unterscheidet. Ein bestehendes ISMS nach ISO/IEC 27001:2022 ist ein guter Ausgangspunkt für das Mapping, aber kein Ersatz für den C5-Prüfnachweis.

Welche konkreten Nachweise braucht ein Typ-2-Bericht?

Dazu zählen unter anderem Protokolldateien, Ereignisnachweise mit Zeitstempeln, Schwellenwertdokumentationen und Stichproben aus dem Prüfzeitraum. Für die neuen Schwerpunkte wie Container-Monitoring oder PQC-Planung sind entsprechende Evidences frühzeitig aufzubauen.

Begriffe verständlich erklärt, auch ohne Compliance-Hintergrund

Glossar

Testat: Prüfungsurteil eines Wirtschaftsprüfers über die Einhaltung der C5-Kriterien; kein Zertifikat.

Typ 1 / Typ 2: Typ 1 prüft die Angemessenheit der Kontrollausgestaltung zu einem Stichtag, Typ 2 zusätzlich deren Wirksamkeit über einen Prüfzeitraum.

ISAE 3000: Internationaler Prüfungsstandard, nach dem C5-Testate erstellt werden.

Additional sharpen: Zusatzunterkriterium, das ein Basisunterkriterium durch strengere Anforderungen ersetzt.

Additional complement: Zusatzunterkriterium, das ein Basiskriterium um zusätzliche Anforderungen ergänzt.

EUCS (Substantial): Europäisches Cloud-Zertifizierungsschema; C5:2026 ist inhaltlich darauf abgestimmt.

Systembeschreibung: Dokumentation des Cloud-Anbieters über Systeme, Kontrollen und (ab 2027) geplante Anpassungen.