Am 7. April 2026 hat das BSI die finale Version des Cloud Computing Compliance Criteria Catalogue unter der Bezeichnung BSI C5:2026 veröffentlicht. Damit liegt der Nachfolger des C5:2020 offiziell vor – mit 168 Kriterien, neuer Unterkriterien-Struktur und erstmals expliziten Anforderungen zu Container-Management, Post-Quanten-Kryptographie und KI-Transparenz.

Die Veröffentlichung war ursprünglich für Dezember 2025 angekündigt worden und verzögerte sich um rund vier Monate. Maßgeblicher Stichtag laut BSI-FAQ: Ab dem 1. Juni 2027 ist C5:2026 für alle C5-Audits verbindlich – wobei sich die Frist auf den Beginn des Prüfzeitraums bezieht. Wer ein C5 Typ-2-Testat anstrebt, das nach dem 1. Juni 2027 endet, muss nach C5:2026 prüfen lassen.

Was ist der BSI C5:2026 – und warum ist er verpflichtend?

Der Cloud Computing Compliance Criteria Catalogue (C5) ist seit 2016 der zentrale deutsche Sicherheitsstandard für Cloud-Dienste. Er wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben und durch Wirtschaftsprüfer im Rahmen einer Attestierung geprüft. Mit dem BSI C5:2026 liegt nun die dritte große Version vor – und sie ist für weite Teile des Markts rechtlich bindend.

Mehrere gesetzliche Grundlagen machen das C5-Testat zur Pflicht:

§ 44 Abs. 1 BSIG: Bundesbehörden müssen den C5 als Mindeststandard bei Cloud-Nutzung einhalten. Die Rechtsgrundlage für die Mindeststandards wurde mit dem NIS2-Umsetzungsgesetz (Inkrafttreten 6. Dezember 2025) von § 8 auf § 44 BSIG verschoben (externe Rechtsquelle; der C5:2026-Katalog enthält keine BSIG-Paragrafenreferenz). Das BSI empfiehlt ausdrücklich das C5 Typ-2-Testat.
§ 393 SGB V (Digital-Gesetz): Im Gesundheitswesen ist seit dem 1. Juli 2025 ein C5 Typ-2-Testat Pflicht für alle Cloud-Dienste, die Gesundheits- oder Sozialdaten verarbeiten.
EVB-IT Cloud: Die Vertragsbedingungen für Cloud-Beschaffung der öffentlichen Hand verlangen C5-Basiskonformität als vertragliche Voraussetzung.
KRITIS (§ 8a BSIG): Der C5 gilt als Nachweis für IT-Sicherheit nach Stand der Technik.

Wer in einem dieser Segmente tätig ist oder es werden will, kommt an einem gültigen C5-Testat nicht vorbei.

C5:2020 und C5:2026 im Vergleich: Was hat sich geändert?

Der BSI C5:2026 ist der direkte Nachfolger des C5:2020 – aber kein inkrementelles Update. Die Unterschiede zwischen C5:2020 und C5:2026 sind sowohl strukturell als auch inhaltlich erheblich.

Merkmal	C5:2020	BSI C5:2026
Kriterien gesamt	121	168
Struktur	Einzelkriterien	Kriterien + Unterkriterien
Zusatzkriterien	Eine Kategorie	Sharpen + Complement
Formate	PDF, XLSX	PDF, XLSX, YAML
Verbindlich ab	15.02.2021	01.06.2027 (Beginn des Prüfzeitraums)
EUCS-Alignment	Grundlage für Substantial	Inhaltliche Kongruenz (CEN/TS 18026:2024 als Grundlage für C5:2026)
Container / PQC / KI	Nicht adressiert	Container (OPS-34/35), Confidential Computing (OPS-32/33), PQC, ESG (GC-06)

Von 121 auf 168 Kriterien: quantitativer Zuwachs

Der BSI C5:2026 umfasst 168 Kriterien – rund 39 Prozent mehr als C5:2020. Wichtig für alle, die mit dem Community Draft gearbeitet haben: Dieser wies noch 169 Kriterien aus. In der finalen Version wurde ein Kriterium reduziert. Die inhaltliche Verteilung: 48 vollständig neue Kriterien, 37 Kriterien mit modifizierten Titeln, 83 unverändert aus C5:2020 übernommene Kriterien.

Unterkriterien: strukturelle Neuerung mit praktischer Wirkung

Der wichtigste strukturelle Unterschied zwischen C5:2020 und C5:2026 liegt in der Einführung von Unterkriterien. Während C5:2020 mehrere Anforderungen oft in einem Textabsatz bündelte, listet C5:2026 diese separat. Das Ziel: Jede Anforderung soll direkt einer Kontrolle im internen Kontrollsystem (IKS) des Anbieters zugeordnet werden können. Für die BSI C5 Gap-Analyse bedeutet das mehr Granularität – es ist nun genau erkennbar, welches Unterkriterium bereits abgedeckt ist und wo konkrete Lücken bestehen.

Neue Klassifizierung der Zusatzkriterien

Ein weiterer Unterschied zwischen C5:2020 und C5:2026 betrifft die Zusatzkriterien. C5:2020 kannte eine einzige Kategorie; C5:2026 differenziert in zwei:

Additional Sharpen: Verschärft bestehende Basiskriterien durch strengere technische Standards oder engere Toleranzen.
Additional Complement: Ergänzt neue Inhalte zu Technologien oder Governance-Aspekten, die in den Basiskriterien nicht adressiert werden.

Cloud-Kunden mit erhöhtem Schutzbedarf können diese Zusatzkriterien vertraglich einfordern, bevor sie eigene individuelle Anforderungen definieren.

YAML-Format: Neuerung für GRC-Tool-Integration

Erstmals wird der BSI C5:2026 neben PDF und XLSX auch im maschinenlesbaren YAML-Format bereitgestellt. Für Anbieter, die GRC-Plattformen nutzen, ermöglicht das automatisierte Importe, strukturiertes Framework-Mapping und die Integration in kontinuierliche Compliance-Überwachung.

Die wichtigsten inhaltlichen Neuerungen im BSI C5:2026

Container-Management (OPS-34 und OPS-35)

Container-Technologien wie Kubernetes und Docker sind in produktiven Cloud-Umgebungen längst Standard – C5:2020 adressierte sie nicht explizit. BSI C5:2026 schließt diese Lücke mit zwei neuen Kriterien:

OPS-34 (Container Management – Policies and Procedures): Dokumentierte Maßnahmen für den gesamten Container-Lebenszyklus: Image-Erstellung, -Speicherung, Deployment, Betrieb und Dekommissionierung. Eingeschlossen sind Anforderungen an Inventarisierung, Malware-Schutz, Logging, Datentrennung, Zugriffskontrolle, Verschlüsselung und Netzwerksicherheit.
OPS-35 (Container Management – Implementation): Umsetzung der in OPS-34 definierten Maßnahmen.

Diese Kriterien gelten nur, wenn Container-Technologien produktiv eingesetzt werden. Wer keine Container nutzt, dokumentiert das in der Systembeschreibung als „Not Applicable“ mit Begründung. Hinweis: OPS-30 und OPS-31 adressieren im finalen C5:2026-Katalog die Mandantentrennung (Separation of Datasets), OPS-32 und OPS-33 das Confidential Computing.

Post-Quanten-Kryptographie (CRY-Bereich)

BSI C5:2026 verpflichtet Cloud-Anbieter nicht zum sofortigen Einsatz quantenresistenter Algorithmen. Gefordert ist ein dreistufiger Nachweis:

Inventarisierung aller kryptographischen Systeme
Bewertung der Quantenvulnerabilität: Welche Systeme sind betroffen?
Migrationsplan mit Zeitschiene zu quantenresistenten Algorithmen

Hintergrund: Das NIST hat 2024 die ersten Standards für Post-Quanten-Kryptographie veröffentlicht (FIPS 203, 204, 205). ISO 27001 und SOC 2 behandeln das Thema bisher nicht dediziert – der BSI C5:2026 ist hier Vorreiter unter den Cloud-Sicherheitsstandards.

KI-Transparenz im internen Kontrollsystem

Der C5:2026 enthält Anforderungen zum Umgang mit KI-basierten Systemen im internen Kontrollsystem. Während der Community Draft noch eine explizite Kriteriumsnummer vorgesehen hatte, ist die finale Version hier strukturell verändert. KI-Nutzung wird im Kontext von Risikobewertung, Kontrolldesign und Auditorqualifikation adressiert. Organisationen, die KI in sicherheitsrelevanten Kontrollen einsetzen, sollten dies in ihrer Systembeschreibung transparent machen und die menschliche Überwachung kritischer Entscheidungen sicherstellen (Human-in-the-Loop). Diese Transparenzerwartung ist ein charakteristisches Merkmal des BSI-Ansatzes gegenüber ISO 27001 und SOC 2.

ESG und Nachhaltigkeit (GC-06)

Unter Kriterium GC-06 (Information on certifications or attestations) verlangt der C5:2026, dass Cloud-Anbieter auch Zertifizierungen und Attestierungen zu ESG-Standards (Environmental, Social and Governance) offenlegen. Als Beispiele nennt der Katalog Berichte nach der EU-CSRD sowie Zertifizierungen wie ISO 50001, ISO 14001 und das deutsche Umweltzeichen Blauer Engel. Eine Pflicht zum Vorliegen solcher Zertifizierungen besteht nicht – die Transparenzpflicht gilt für vorhandene Nachweise.

Supply-Chain-Security und SBOM

Die Anforderungen an Lieferkettensteuerung wurden gegenüber C5:2020 erheblich ausgebaut. Cloud-Anbieter müssen im Rahmen von C5:2026:

Eine Software Bill of Materials (SBOM) für kritische Softwarekomponenten erstellen
Subdienstleister regelmäßig auditieren und deren Sicherheitsnachweise (C5, ISO 27001, SOC 2) dokumentieren
Exit-Strategien gegen Vendor-Lock-in nachweisen
Vertragliche Security-Standards mit Subdienstleistern festlegen

Confidential Computing (OPS-32 und OPS-33)

Im finalen C5:2026 ist Confidential Computing ein eigenständiger Themenblock. OPS-32 verlangt dokumentierte Richtlinien für den Einsatz von Trusted Execution Environments (TEEs) sowie Remote-Attestation-Verfahren; OPS-33 regelt die technische Umsetzung der Remote-Attestation. Diese Kriterien gelten nur, wenn der Cloud-Dienst Confidential-Computing-Fähigkeiten bereitstellt.

Europäische Harmonisierung: EUCS

Die Beziehung zwischen C5 und EUCS ist eine wechselseitige Entwicklung: C5:2020 diente als inhaltliche Grundlage für das EUCS-Level „Substantial“ (European Union Cybersecurity Certification Scheme for Cloud Services). Der daraus entstandene europäische Standard CEN/TS 18026:2024 bildete seinerseits die inhaltliche Grundlage für C5:2026 – so beschreibt es der Katalog selbst in Abschnitt 1.1. Zwischen C5:2026 und EUCS Substantial besteht damit eine enge inhaltliche Kongruenz, die für international tätige Cloud-Anbieter den Mehraufwand bei parallelen Zertifizierungen reduziert.

Fristen und Übergangsregelungen im Überblick

Datum	Ereignis	Betroffen
14.07.2025	Community Draft C5:2026 veröffentlicht	Alle Cloud-Anbieter
01.07.2025	C5 Typ-2-Testat verpflichtend (§ 393 SGB V)	Gesundheitswesen
07.04.2026	Finale Version BSI C5:2026 veröffentlicht	Alle Cloud-Anbieter
Ende Q2 2026	Kreuzreferenztabelle C5:2026 erwartet	Alle Cloud-Anbieter
bis 27.02.2027	C5:2020-Prüfungen möglich, keine Zusatzpflicht	Alle Cloud-Anbieter
28.02.–31.05.2027	C5:2020 noch möglich, aber Roadmap zu C5:2026 in Systembeschreibung Pflicht	Alle Cloud-Anbieter
ab 01.06.2027	BSI C5:2026 verbindlich für alle Prüfzeiträume, die ab diesem Datum beginnen	Alle Cloud-Anbieter
01.07.2027	Ende Gleichwertigkeitsverordnung (§ 393 SGB V)	Gesundheitswesen

Maßgeblich ist laut BSI-FAQ und Katalog-Abschnitt 3.5 der Beginn des Prüfzeitraums: Typ-2-Prüfungen, deren Berichtszeitraum vor dem 1. Juni 2027 beginnt, werden noch nach C5:2020 durchgeführt – unabhängig davon, wann der Zeitraum endet. Erst Prüfungen mit einem Berichtszeitraum, der am oder nach dem 1. Juni 2027 beginnt, müssen nach C5:2026 durchgeführt werden. In einer Übergangsphase gilt: Endet ein nach C5:2020 durchgeführtes Testat nach dem 28. Februar 2027, müssen in der Systembeschreibung zusätzliche Informationen zu den geplanten Änderungen für C5:2026 bereitgestellt werden.

Gesundheitswesen: Separate Fristenlogik und C5 Typ-2-Testat

Unabhängig vom allgemeinen Katalogübergang gelten für das Gesundheitswesen eigene Fristen gemäß § 393 SGB V. Seit dem 1. Juli 2025 ist das C5 Typ-2-Testat Pflicht für alle Cloud-Dienste, die Gesundheits- oder Sozialdaten verarbeiten – Krankenhäuser, Arztpraxen, MVZ, Apotheken, Kranken- und Pflegekassen sowie deren Cloud-Dienstleister und Auftragsverarbeiter. Hintergrund und Erläuterungen bietet das FAQ zum Digital-Gesetz des Bundesgesundheitsministeriums. Die C5-Gleichwertigkeitsverordnung ermöglicht übergangsweise alternative Nachweise (ISO 27001 mit SOC 2 Type II oder CSA STAR Level 2), läuft aber definitiv am 1. Juli 2027 aus.

Was nach der BSI C5:2026-Veröffentlichung noch aussteht

Mit der Veröffentlichung am 7. April 2026 ist der Katalog selbst final. Zwei Folgedokumente stehen noch aus:

Kreuzreferenztabellen C5:2026: Das BSI plant die Veröffentlichung bis Ende Q2 2026. Bis dahin können die Kreuzreferenztabellen des C5:2020 als erste Näherung für die BSI C5 Gap-Analyse genutzt werden – unter Vorbehalt, da Granularität und Abstraktionsniveau abweichen können.
Souveränitätskriterien: Das BSI hat angekündigt, ergänzend allgemeine Souveränitätskriterien für Cloud-Computing-Lösungen zu veröffentlichen. Ein Termin wurde nicht kommuniziert.

BSI C5 Gap-Analyse und Migrationsplanung: So gehen Sie vor

Mit der Veröffentlichung des BSI C5:2026 am 7. April 2026 ist die Planungsgrundlage klar. Ab dem 1. Juni 2027 ist C5:2026 für alle C5-Audits verbindlich. Da ein Typ-2-Testat einen Beobachtungszeitraum von mindestens drei Monaten erfordert – in der Praxis typischerweise sechs bis zwölf Monate –, empfiehlt es sich, die Vorbereitung so zu takten, dass ausreichend Zeit für Gap-Analyse, Implementierung und Beobachtungszeitraum bleibt.

Phase 1: BSI C5 Gap-Analyse

Vergleichen Sie Ihre bestehenden Kontrollen systematisch mit den 168 Kriterien des BSI C5:2026. Eine fundierte BSI C5 Gap-Analyse berücksichtigt alle relevanten Themenfelder: Container-Management (falls produktiv eingesetzt), Krypto-Inventar, KI-Register, SBOM-Dokumentation und Subdienstleister-Nachweise. Nutzen Sie als erste Orientierung die BSI-Einführungsseite zum C5:2026 und – sobald verfügbar – die Kreuzreferenztabellen. Wer bereits ein C5:2020-Testat oder eine ISO-27001-Zertifizierung hat, kann die Kreuzreferenztabellen des C5:2020 als Ausgangsbasis verwenden und die bekannten Unterschiede zwischen C5:2020 und C5:2026 als Checkliste ergänzen.

Phase 2: Implementierung

Priorisieren Sie die Lücken aus der BSI C5 Gap-Analyse nach Implementierungsaufwand. Container-Security-Tools, Krypto-Inventarisierung und SBOM-Generierung sind typischerweise aufwändiger als andere Kontrollen. Starten Sie parallel mit der Dokumentationsanpassung für die neue Unterkriterien-Struktur. Für das C5 Typ-2-Testat ist zudem ein Beobachtungszeitraum für die Kontrollen erforderlich – dieser beginnt erst, wenn die Kontrollen aktiv implementiert sind.

Phase 3: Pre-Assessment und Audit

Führen Sie vor dem formellen Audit ein internes Pre-Assessment durch. Identifizieren Sie verbleibende Lücken und schließen Sie diese, bevor der Wirtschaftsprüfer beauftragt wird. Das C5 Typ-2-Testat setzt eine Wirksamkeitsprüfung über einen definierten Beobachtungszeitraum voraus – kein anderer Prüftyp ist für die vollständige Compliance-Anerkennung ausreichend.

BSI C5:2026: Securance begleitet Sie von der ersten Einschätzung bis zum Testat

Securance unterstützt Cloud-Anbieter entlang des gesamten Weges zum C5-Testat – aus einer Hand und abgestimmt auf Ihren individuellen Ausgangspunkt.

Den Einstieg bildet der Readiness-Check: eine strukturierte Ersteinschätzung Ihrer aktuellen Compliance-Situation gegenüber den Anforderungen des BSI C5:2026. Darauf aufbauend begleiten wir Sie durch Gap-Analyse, Kontrolldokumentation und Auditvorbereitung bis zum abschließenden C5-Testat – durchgeführt durch unsere erfahrenen IT-Auditoren.

Wenn Sie wissen möchten, wo Sie beim Übergang zu BSI C5:2026 stehen und wie ein realistischer Zeitplan für Ihren nächsten Auditrahmen aussieht, sprechen Sie uns an. Weitere Informationen finden Sie unter audit-professionals.de/bsi-c5.

Gerne entwickeln wir gemeinsam mit Ihnen eine realistische Migrationsplanung – abgestimmt auf Ihren aktuellen Prüfstatus, Ihren nächsten Auditrahmen und die spezifischen Anforderungen Ihres Dienstes. Nehmen Sie Kontakt mit uns auf:

Quellen

BSI C5-FAQ (Übergangsregelung C5:2026)
BSI Pressemitteilung C5:2026 (07.04.2026)
BSI C5:2026 Einführungsseite
BSI C5:2026 Katalog (PDF)
§ 393 SGB V (Digital-Gesetz), Bundesgesetzblatt
NIST Post-Quantum Cryptography Standards FIPS 203/204/205 (2024)

FAQ – BSI C5:2026

Was ist der Unterschied zwischen C5:2020 und C5:2026?

BSI C5:2026 ist der Nachfolger des C5:2020 und umfasst 168 statt 121 Kriterien – ein Zuwachs von rund 39 Prozent. Neu ist die Einführung von Unterkriterien, die eine präzisere Zuordnung zu internen Kontrollen ermöglichen. Inhaltlich adressiert C5:2026 erstmals explizit Container-Management (OPS-34/35), Confidential Computing (OPS-32/33), Post-Quanten-Kryptographie und ESG-Transparenz (GC-06). Zusatzkriterien werden neu in „Additional Sharpen“ und „Additional Complement“ unterteilt. Der Katalog ist erstmals auch im YAML-Format verfügbar. C5:2020 war inhaltliche Grundlage für EUCS Substantial; CEN/TS 18026:2024 (EUCS) bildete wiederum die inhaltliche Grundlage für C5:2026.

Bis wann kann ich noch nach C5:2020 prüfen lassen?

Maßgeblich ist der Beginn des Prüfzeitraums. Typ-2-Prüfungen, deren Berichtszeitraum vor dem 1. Juni 2027 beginnt, werden nach C5:2020 durchgeführt – unabhängig davon, wann der Zeitraum endet. Ein Testat mit dem Berichtszeitraum Januar bis Dezember 2027 beginnt am 1. Januar 2027 und wird daher noch nach C5:2020 geprüft. Erst Prüfungen mit einem Berichtszeitraum, der am oder nach dem 1. Juni 2027 beginnt, müssen nach C5:2026 durchgeführt werden. So steht es explizit im C5:2026-Katalog, Abschnitt 3.5. Endet ein nach C5:2020 durchgeführtes Testat nach dem 28. Februar 2027, müssen in der Systembeschreibung zusätzliche Informationen zu den geplanten Änderungen für C5:2026 bereitgestellt werden.

Bleibt mein bestehendes C5:2020-Testat gültig?

Ja. Ein bestehendes C5:2020-Testat behält seine Gültigkeit bis zum aufgedruckten Ablaufdatum und kann weiterhin in Ausschreibungen und Kundenanfragen verwendet werden. Die Umstellung auf C5:2026 ist erst relevant, wenn der Berichtszeitraum einer neuen Prüfung am oder nach dem 1. Juni 2027 beginnt. Cloud-Anbieter können also auch einen Prüfzeitraum wählen, der nach dem 1. Juni 2027 endet, aber vor diesem Datum beginnt – und dann noch nach C5:2020 prüfen lassen.

Welche neuen Anforderungen bringt C5:2026 für Cloud-Anbieter?

Die wesentlichen neuen Anforderungen betreffen fünf Bereiche: Container-Management (OPS-34/35: Richtlinien und Umsetzung für den gesamten Container-Lebenszyklus), Confidential Computing (OPS-32/33: Trusted Execution Environments, Remote Attestation), Post-Quanten-Kryptographie (CRY-Bereich: Inventarisierung und Migrationsplan zu quantenresistenten Algorithmen), Transparenz zum Einsatz von KI in internen Kontrollsystemen sowie Supply-Chain-Security (SBOM, dokumentierte Subdienstleister-Audits). Zusätzlich verlangt GC-06 die Offenlegung vorhandener ESG-Zertifizierungen.

Wann sollte ich mit der Vorbereitung auf C5:2026 beginnen?

Der richtige Zeitpunkt hängt vom geplanten Prüfzeitraum ab. Maßgeblich ist der Beginn des Berichtszeitraums: Wer erstmals nach C5:2026 prüfen will, muss einen Berichtszeitraum wählen, der am oder nach dem 1. Juni 2027 beginnt. Für ein solches Testat – z. B. Juli 2027 bis Juni 2028 – müssen die Kontrollen spätestens mit Beginn des Beobachtungszeitraums aktiv sein. Da ein Typ-2-Testat mindestens drei Monate Beobachtungszeitraum erfordert (in der Praxis typischerweise sechs bis zwölf Monate), empfiehlt es sich, Implementierung und Gap-Analyse entsprechend frühzeitig einzuplanen. Für komplexe Themenfelder wie Container-Security, Post-Quanten-Kryptographie oder SBOM-Aufbau ist erfahrungsgemäß mehr Vorlaufzeit einzuplanen als für dokumentarische Anpassungen.