C5-Testat

BSI C5 steht für den „Cloud Computing Compliance Criteria Catalogue“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Es handelt sich um einen umfangreichen Kriterienkatalog, der Mindestanforderungen an die Informationssicherheit von Cloud-Diensten definiert. Ziel von BSI C5 ist es, die Sicherheitsmaßnahmen von Cloud-Anbietern für Kunden, Auditoren und Anbieter selbst transparent und nachvollziehbar zu machen.

Der Katalog umfasst rund 125 Einzelkriterien aus 17 Themenbereichen – darunter Informationssicherheit, physische Sicherheit, Zugriffsmanagement, Incident Management und Datenschutz. Diese Anforderungen sind in Basiskriterien für allgemeinen Schutzbedarf und Zusatzkriterien für besonders schützenswerte Szenarien unterteilt. C5 soll Unternehmen und Behörden bei der Risikobewertung und Auswahl geeigneter Cloud-Lösungen unterstützen und bildet einen anerkannten Standard für IT-Sicherheit im Cloud-Umfeld.

Ein C5-Testat ist ein offiziell bestätigter Nachweis, dass ein Cloud-Anbieter die Vorgaben des BSI C5 erfüllt. Für das Testat prüft eine unabhängige Wirtschaftsprüfungsgesellschaft oder ein zertifizierter Auditor, ob die Sicherheitsmaßnahmen des Anbieters den Anforderungen entsprechen.

Mit einem C5-Testat können Cloud-Anbieter nachweisen, dass sie hohe Standards für die Sicherheit und den Schutz von Daten erfüllen, was besonders für Behörden und Unternehmen mit hohen Anforderungen an Datenschutz und IT-Sicherheit entscheidend ist.

Kunden nutzen das Testat als verlässliche Grundlage bei ihrer eigenen Risikoabwägung – es sorgt für Orientierung, Transparenz und Vertrauen bei der Auswahl von Cloud-Diensten.

Ein C5-Testat ist für Unternehmen im deutschen Gesundheitswesen verpflichtend, wenn sie Cloud-Dienste zur Verarbeitung von Gesundheits- oder Sozialdaten nutzen oder anbieten. Die Verpflichtung betrifft insbesondere:

• Krankenhäuser, Arztpraxen, Krankenkassen und sonstige Leistungserbringer nach SGB V.

• Cloud-Dienstleister, die im Auftrag dieser Organisationen Gesundheitsdaten speichern, verarbeiten oder hosten (z.B. Anbieter von SaaS-Lösungen, Storage, Infrastruktur).

• Auftragsverarbeiter und deren Subdienstleister, sofern sie Zugang zu diesen sensiblen Daten haben.

Rechtsgrundlage ist § 393 SGB V, eingeführt durch das Digitalgesetz (DigiG). Dieser Paragraph schreibt ausdrücklich vor, dass die Verarbeitung von Gesundheits-/Sozialdaten mittels Cloud-Computing nur dann zulässig ist, wenn für die verwendeten Cloud-Systeme ein aktuelles C5-Testat nach den Kriterien des Bundesamts für Sicherheit in der Informationstechnik (BSI) vorliegt. Bis zum 30. Juni 2025 reicht ein C5-Testat vom Typ 1 aus, ab dem 1. Juli 2025 ist zwingend ein C5-Testat vom Typ 2 gefordert.

Die Pflicht gilt sowohl für direkt verarbeitende Unternehmen als auch für deren Dienstleister entlang der gesamten digitalen Lieferkette, sobald sie Zugang zu relevanten Gesundheits- oder Sozialdaten haben. Wer als Cloud-Anbieter oder SaaS-Provider solche Leistungen für den Gesundheitssektor bereitstellt, muss diese Anforderungen zwingend erfüllen, andernfalls droht der Ausschluss als Lieferant oder erhebliche rechtliche Risiken.

Die gesetzliche Verpflichtung ergibt sich damit klar aus dem SGB V (§393) und wird durch branchenspezifische Vorgaben (etwa für KRITIS-Betreiber oder gemäß IT-Sicherheitsgesetz) noch ergänzt bzw. verstärkt. Alternativ anerkannte Zertifikate (ISO 27001 o.ä.) gelten nur noch als Übergangslösung und werden mittel- bis langfristig durch das C5-Testat ersetzt.

Es besteht eine Pflicht, dass Leistungserbringer sicherstellen, dass ihre Cloud-Anbieter das Testat besitzen. Ob Krankenhäuser und Leistungserbringer selbst zusätzlich ein eigenes Testat benötigen, ist derzeit noch in Diskussion, wobei das Gesetz primär den Cloud-Dienstleister in der Pflicht sieht.

Das Ziel ist, den Schutz der Gesundheitsdaten auf hohen IT-Sicherheitsstandard sicherzustellen und Transparenz sowie Vertrauen in Cloud-Dienste zu schaffen.

Wir bereiten Ihr Unternehmen zunächst auf die Typ 1 Prüfung vor. Dabei wird, dass Kontrollsystem zu einem bestimmten Zeitpunkt untersucht um zu prüfen, ob die bestehenden Kontrollmechanismen geeignet sind, die bestehenden Risiken zu behandeln.

• Analyse des bestehenden Kontrollsystems

• Identifizierung von Verbesserungsvorschlägen

• Prüfung der Dokumentation

• Prüfungsvorbereitung

Die Typ 2 Prüfung ist die sogenannte Wirksamkeitsprüfung. Bei dieser Prüfung werden neben der Angemessenheit (wie Typ 1) auch die tatsächliche wirksame Umsetzung der Massnahmen über einen längeren Zeitraum (typischerweise 6 oder 12 Monate) geprüft.

Zu diesem Zweck werden Stichproben der Kontrollen über den gesamten Prüfungszeitraum erhoben. Das Typ 2 Testat ist ab 1. Juli 2025 für Cloud-Dienste, welche Gesundheits- und Sozialdaten verarbeiten gesetzlich verpflichtend.

• Laufende Überwachung der Kontrollen

• Nachweis der Wirksamkeit des Kontrollsystems

• Identifizierung von Optimierungsmöglichkeiten für den Verbesserungsprozess

• Prüfungsbegleitung bis zum C5 Testat

Gerne unterstützen wir - als berufene Auditoren - Sie bzw. Ihr Unternehmen auch bei der Umsetzung anderer Anforderungen wie beispielsweise ISO9001, ISO27001, TISAX, DORA oder NIS2.

Wir verfügen über langjährige Erfahrung als Auditoren bei nationalen und internationalen Unternehmen jeder Grössenordnung.