Anbei mal eine Nachricht für die Mandanten, die es angeht, was bei meinen Mandaten nur ein paar sind.
Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) hat in seiner Pressemitteilung vom 7. April 2026 mitgeteilt, dass der Cloud Computing Compliance Criteria Catalogue (C5) in der neuen Version 2026 zur Verfügung steht.
Aktuell gibt es den Katalog nur in englisch, eine deutsche Übersetzung soll aber in Kürze folgen. Eine Kreuzreferenztabelle zu internationalen Standards wird es auch wieder geben. Diese wird bis Mitte des Jahres erwartet.
Der bisherige Katalog stammte aus dem Jahr 2020 und wie wir wissen haben sich seitdem verschiedene regulatorische, gesetzliche Vorgeban geändert ( NIS-2 Umsetzunggesetz, CSA Cloud Controls Matrix Version 4 und ISO/IEC 27001:2022). Berücksichtigt wurde auch die interessen der betroffenen Kreise.
Für Cloud-Anbieter bedeutet das vor allem mehr Granularität, strengere Nachweisführung und eine engere Verzahnung mit aktuellen Sicherheits- und Regulierungsanforderungen. Für Prüfer und Nutzer wird der Standard dadurch vergleichbarer und auditierbarer, aber in der Umsetzung auch anspruchsvoller
Was sich im Einzelnen geändert hat, kann man etwas mühsam aus der veröffentlichten Changelog Excel Tabelle entnehmen.
Eine Zusammenfassung findet man aber auch schon hier.
Die wesentlichen Änderungen von C5:2020 zu C5:2026 sind vor allem eine deutliche Erweiterung, Präzisierung und strukturelle Neuordnung des Kriterienkatalogs. C5:2026 ersetzt C5:2020 und umfasst nun 168 Kriterien in 17 Themengebieten; zusätzlich gibt es eine Übergangsfrist für bestehende C5:2020-Testate bis 1. Juni 2027 bzw. den Start des Typ-2-Betrachtungszeitraums ab 1. Juni 2027.
Wesentliche Änderungen
- Neue Struktur mit Unterkriterien. Der Katalog wurde granularer aufgebaut; Kriterien sind nun klarer in Unterkriterien gegliedert, um Prüfung, Zuordnung und Auswertung zu erleichtern.
- Neue Logik für Zusatzkriterien. Zusatzkriterien werden jetzt in „additional sharpen“ und „additional complement“ unterschieden, also entweder verschärfend oder ergänzend.
- Stärkere Angleichung an internationale und europäische Rahmenwerke. C5:2026 berücksichtigt u. a. EUCS, NIS-2, CSA CCM v4 und ISO/IEC 27001:2022 und stellt weiterhin eine Kreuzreferenztabelle
- Mehr Themenbereiche insgesamt. Der Katalog wurde auf 17 Kontroll-/Themenbereiche mit 168 Kriterien erweitert; gegenüber C5:2020 wird die Anzahl der Kriterien deutlich erhöht.
- Neue Themen in der Cloud-Sicherheit. Erstmals werden unter anderem Post-Quanten-Kryptographie, Confidential Computing und Container-Management systematisch aufgegriffen.
- Stärkeres Supply-Chain- und Mandantentrennungs-Fokus. Diese Bereiche werden nach den Berichten gezielter und strenger adressiert als zuvor.
- Erweiterungen im Asset Management. Neu aufgenommen wurden Anforderungen zu Asset-Definition, -Identifikation und -Verwaltung einschließlich Hard- und Softwareinventaren.
- Neue Anforderungen an physische Sicherheit. Arbeitsplatzsicherheit, Zugangskontrolle, Sichtschutz, sichere Entsorgung, Verbot von Drittanbietergeräten sowie Alarm- und Videoüberwachung sind nun expliziter verankert.
- Ausgebautes Operations-/Incident- und Vulnerability-Management. Neue Basiskriterien betreffen Management von Vorfällen, Abstürzen und Schwachstellen sowie entsprechende Richtlinien und Prozeduren.
- Neues Sicherheitsvorfall-Management. Ein eigenes Basiskriterium verlangt Pläne zum Umgang mit Sicherheitsvorfällen.
- Erweiterungen bei Kryptographie und Schlüsselmanagement. Vorgaben zu Kryptographie-Nutzung, Änderungsmanagement, sicherer Aufbewahrung, Archivierung und externer Schlüsselverwaltung wurden verschärft bzw. ergänzt.
- Mehr Vorgaben für Entwicklung und Änderung von Systemen. Neue Basis- und Zusatzkriterien betreffen Fremdvergabe von Entwicklung, Dokumentation von Sicherheitsfunktionen, Änderungsmanagement sowie Test-, Entwicklungs- und Produktionsumgebungen.
- Stärkere Anforderungen an Dienstleister und Lieferanten. Der Bereich SSO wurde ausgebaut, insbesondere mit Fokus auf Datenflüsse und Kontrolle beteiligter Dienstleister-Komponenten.
- Neue Regeln zu behördlichen Anfragen. Für Anfragen von Behörden wurden Dokumentations- und Überwachungsanforderungen zur Offenlegung von Kundendaten aufgenommen.
- Neue Anforderungen an Produkt- und Serviceinformationen. Es gibt neue Zusatzkriterien zu Vorabinformationen bei geplanten Änderungen sowie zu Regionen, in denen Daten verarbeitet oder vorgehalten werden.
