Informationssicherheit Datenschutz KI-Compliance Unternehmens-Compliance

BSI C5 klar nachweisen.

122 Controls, 17 Bereiche und klare Provider-Kunden-Abgrenzung.

ISMS Audit C5:2026 neu

C5:2026 veröffentlicht. Das BSI hat am 7. April 2026 den neuen Kriterienkatalog C5:2026 veröffentlicht. Ab Juni 2027 ist er verpflichtend. Diese Seite beschreibt C5:2020.

Zu C5:2026 →
17
Prüfbereiche
122
Einzelanforderungen
3-12
Monate rückwirkende Prüfung durch Wirtschaftsprüfer
Hintergrund

C5:2020: Transparenz für sichere Cloud-Dienste.

Der Cloud Computing Compliance Criteria Catalogue C5:2020 ist der BSI-Standard für sichere Cloud-Dienste. Mit 122 Anforderungen in 17 Bereichen schafft C5:2020 Transparenz für Cloud-Provider und ihre Kunden und ist zunehmend Voraussetzung für öffentliche Auftraggeber und regulierte Branchen in Deutschland. Wir unterstützen sowohl Cloud-Provider bei der C5-Attestierung als auch Cloud-Kunden bei der Due Diligence und dem Nachweis eigener Sicherheitspflichten.

Alle 17 C5:2020-Prüfbereiche

OIS – Informationssicherheit COS – Kommunikationssicherheit SP – Sicherheitsrichtlinien PI – Portabilität & Interoperabilität HR – Personal DEV – Entwicklung & Beschaffung AM – Asset Management SSO – Dienstleister & Lieferanten PS – Physische Sicherheit SIM – Sicherheitsvorfälle OPS – Regelbetrieb BCM – Business Continuity IDM – Identitäts- & Zugriffsmanagement COM – Compliance CRY – Kryptographie & Schlüssel INQ – Ermittlungsanfragen PSS – Produktsicherheit
Leistungen

Was wir für Sie übernehmen.

C5-Gap-Analyse

  • Systematische Prüfung aller 122 Anforderungen
  • Verantwortungsabgrenzung Provider vs. Kunde
  • Identifikation offener Controls und Nachweise
  • Priorisierter Umsetzungsplan

Attestierungsvorbereitung

  • Aufbau der erforderlichen Dokumentation
  • Evidenzsammlung je Prüfbereich
  • Mock-Assessment als Generalprobe
  • Koordination mit Wirtschaftsprüfer (WP) für Attestierung

Provider-Dokumentation

  • System-Security-Plan und Control-Beschreibungen
  • Transparenzberichte und Kundenkommunikation
  • Vorbereitung auf Prüfer-Interviews

Cloud-Kunden-Due-Diligence

  • Prüfung vorhandener C5-Attestate von Providern
  • Abgleich mit eigenen Compliance-Anforderungen
  • Vertragliche Verankerung von C5-Pflichten
  • Risikoeinschätzung bei C5-Lücken
Vorgehen

Von der Analyse zur Attestierung.

01

Analyse

Prüfung aller 122 C5-Anforderungen.

02

Aufbau

Controls implementieren, Dokumentation erstellen, Evidenzen aufbauen.

03

Pre-Assessment

Mock-Assessment und Abstimmung mit Wirtschaftsprüfern.

04

Attestierung

Begleitung bis zur Typ-1- oder Typ-2-Attestierung.

C5-Attestierung. Nachweisbar sicher.

Lassen Sie Ihre Sicherheit attestieren, bevor Ihre Kunden fragen.

Erstgespräch buchen