Cloud Computing ist längst das Rückgrat moderner, industrieller IT-Landschaften. Ob in der Wirtschaft, der öffentlichen Verwaltung oder in kritischen Infrastrukturen: Skalierbare Cloud-Services ermöglichen Innovation, Effizienz und Geschwindigkeit auf einem bisher unerreichten Niveau. Gleichzeitig wächst mit der zunehmenden Abhängigkeit von Cloud-Technologien auch der Anspruch an Sicherheit, Transparenz und regulatorische Konformität. Genau hier setzen anerkannte Sicherheitsstandards an. Sie schaffen Vergleichbarkeit, stärken Vertrauen und bilden die Grundlage für eine nachhaltige digitale Transformation in Europa.
Mit der Veröffentlichung von C5:2026 hat das Bundesamt für Sicherheit in der Informationstechnik einen entscheidenden Schritt gemacht, um diesen Anforderungen gerecht zu werden. Der neue Cloud Computing Compliance Criteria Catalogue knüpft an den etablierten C5:2020 an, berücksichtigt jedoch die tiefgreifenden technologischen, regulatorischen und operativen Entwicklungen der vergangenen sechs Jahre. Seit Ende März 2026 liegt C5:2026 als finale Version vor und setzt neue Maßstäbe für sicheres Cloud Computing im europäischen Kontext.
Ein zentrales Merkmal von C5:2026 ist die enge Ausrichtung an europäischen und internationalen Normen und Regulierungen. Während C5:2020 bereits als Grundlage für viele Cloud-Audits diente, schlägt C5:2026 nun eine klare Brücke zum European Cybersecurity Certification Scheme for Cloud Services auf dem Sicherheitsniveau „Substantial“. Damit wird der Katalog zu einem wichtigen Bindeglied zwischen nationalen Anforderungen und europäischen Zertifizierungszielen. Für Cloud-Anbieter und -Nutzer bedeutet dies eine deutlich verbesserte Anschlussfähigkeit an zukünftige europäische Compliance-Strukturen.
Darüber hinaus berücksichtigt C5:2026 aktuelle Weiterentwicklungen etablierter Standards wie ISO/IEC 27001:2022 sowie die Cloud Controls Matrix Version 4 der Cloud Security Alliance. Auch die Anforderungen der NIS2-Richtlinie finden systematisch Eingang in den Kriterienkatalog. Damit wird C5:2026 nicht nur zu einem Prüfrahmen für Cloud-Dienste, sondern auch zu einem strategischen Instrument für Organisationen, die ihre Informationssicherheits- und Compliance-Landschaft konsistent und zukunftssicher ausrichten möchten.
Inhaltlich reagiert C5:2026 auf eine Reihe neuer Themenfelder, die in der Praxis zunehmend an Bedeutung gewinnen. Dazu gehört insbesondere die Absicherung von Container-Technologien und Software-Lieferketten. Angesichts komplexer Abhängigkeiten in modernen Cloud-Architekturen wird Supply Chain Security zu einem kritischen Erfolgsfaktor. Ebenso adressiert der neue Katalog Confidential Computing, also den Schutz sensibler Daten während der Verarbeitung, etwa durch hardwarebasierte Sicherheitsmechanismen.
Ein weiteres zentrales Zukunftsthema ist die Post-Quantum-Kryptographie. C5:2026 trägt der Tatsache Rechnung, dass heutige kryptographische Verfahren langfristig durch leistungsfähige Quantencomputer bedroht sein könnten, und fordert eine strategische Auseinandersetzung mit quantenresistenten Verfahren. Zusätzlich rücken Aspekte wie Mandantentrennung, Datenlokalisierung und digitale Souveränität stärker in den Fokus. Diese Themen sind nicht nur sicherheitsrelevant, sondern auch politisch und wirtschaftlich hoch sensibel, insbesondere im europäischen Kontext.
Neben den inhaltlichen Erweiterungen wurde auch die Struktur des Kriterienkatalogs grundlegend überarbeitet. Die Anforderungen sind nun klarer in Unterkriterien gegliedert, was die Nachvollziehbarkeit und Prüfbarkeit erheblich verbessert. Eine wesentliche Neuerung ist die explizite Unterscheidung zwischen sogenannten „additional sharpen“ und „additional complement“ Kriterien. Dadurch wird transparenter, welche Anforderungen bestehende Kontrollen schärfen und welche zusätzliche Maßnahmen ergänzend erforderlich machen. Für Prüfer wie auch für geprüfte Organisationen erhöht dies die Planungssicherheit und Effizienz von Audits.
Ein echtes Novum stellt die erstmalige Veröffentlichung des gesamten Katalogs in einer maschinenlesbaren YAML-Version dar. Dieser Schritt eröffnet neue Möglichkeiten für die Integration von C5-Anforderungen in automatisierte Governance-, Risk- und Compliance-Prozesse. Perspektivisch unterstützt dies Continuous Compliance-Ansätze und eine stärkere Verzahnung von Sicherheit, Betrieb und Kontrolle in Cloud-Umgebungen.
Auch international setzt C5:2026 ein deutliches Signal. Die Erstveröffentlichung erfolgte in englischer Sprache, um den global agierenden Cloud-Anbietern einen direkten Zugang zu ermöglichen. Deutsche Fassungen sowie detaillierte Referenztabellen zu anderen Standards sind für das zweite Quartal 2026 angekündigt. Damit unterstreicht das BSI den Anspruch, C5 als international anschlussfähigen Qualitätsmaßstab für Cloud-Sicherheit zu etablieren.
Die Bedeutung von C5:2026 geht jedoch über technische Detailfragen hinaus. Der neue Katalog leistet einen wichtigen Beitrag zur Stärkung der europäischen Cyber-Resilienz. Er unterstützt Organisationen dabei, regulatorische Anforderungen systematisch umzusetzen, ohne Innovation zu bremsen. In einer Zeit zunehmender geopolitischer Spannungen und wachsender Cyber-Bedrohungen ist dies ein zentraler Baustein auf dem Weg zu einer widerstandsfähigen digitalen Gesellschaft.
Syngenity® GmbH begleitet Organisationen umfassend bei der Einordnung und Umsetzung von C5:2026. Dazu zählen fundierte Readiness- und Gap-Analysen, die Integration der C5-Anforderungen in bestehende ISMS- und interne Kontrollsysteme sowie die gezielte Vorbereitung und Begleitung von C5-Audits. Darüber hinaus unterstützt Syngenity® GmbH bei der strategischen Abstimmung von C5 mit EUCS, NIS2 und modernen Cloud-Governance-Ansätzen.
Der neue C5:2026-Katalog steht unter Cloud Computing Compliance Criteria Catalogue (C5:2026) zum Download zur Verfügung. Wer verstehen möchte, was C5:2026 konkret für die eigene Cloud-Strategie, das Risikomanagement und die regulatorische Zukunft bedeutet, sollte sich frühzeitig mit den neuen Anforderungen befassen. Die Weichen für ein sicheres, souveränes und zukunftsfähiges Cloud Computing in Europa werden jetzt gestellt.
