Termin Vereinbaren

BSI C5 Äquivalenz-Verordnung – Was bedeutet sie für Unternehmen?

Mit der Einführung des § 393 SGB V durch das Digital-Gesetz wurde für Einrichtungen im Gesundheitswesen eine verpflichtende Testierung von Cloud-Computing-Diensten nach dem C5-Standard eingeführt. Jetzt liegt der Referentenentwurf der BSI C5 Äquivalenz-Verordnung vor. Dies betrifft alle Leistungserbringer, die Patientendaten oder Sozialdaten in der Cloud verarbeiten. Doch was bedeutet das konkret für betroffene Unternehmen, und welche Alternativen gibt es?

Hintergrund: Die C5-Testierungspflicht

Die C5-Testierung (Cloud Computing Compliance Criteria Catalogue) des Bundesamts für Sicherheit in der Informationstechnik (BSI) soll sicherstellen, dass Cloud-Dienstleister ein angemessenes Sicherheitsniveau bieten.

  • Bis zum 30.06.2025 reicht ein C5-Typ-1-Testat aus.
  • Ab dem 01.07.2025 ist ein C5-Typ-2-Testat erforderlich, das zusätzlich die Wirksamkeit der Sicherheitsmaßnahmen überprüft.

Da viele Cloud-Anbieter – insbesondere kleinere Dienstleister – Schwierigkeiten haben, diese Anforderungen zu erfüllen, wurde eine Verordnung angekündigt, die alternative Zertifizierungen als gleichwertig anerkennen soll.

Welche Zertifizierungen können ein C5-Testat ersetzen?

Der nun vorliegende Referentenentwurf der BSI C5 Äquivalenz-Verordnung legt fest, dass folgende Zertifizierungen ein C5-Typ-1-Testat ersetzen können:

  • DIN EN ISO/IEC 27001:2022
  • ISO 27001 auf Basis von IT-Grundschutz (BSI)
  • Cloud Control Matrix Version 4.0

Allerdings reicht das allein nicht aus. Zusätzlich ist ein Maßnahmenplan erforderlich, der dokumentiert:

  1. Welche C5-Basiskriterien durch die alternative Zertifizierung nicht vollständig abgedeckt sind.
  2. Wie diese Lücken durch zusätzliche Maßnahmen geschlossen werden.
  3. Eine Umsetzungsplanung mit einer Frist von maximal 12 Monaten.
  4. Nachweise über die geplante Erlangung eines C5-Typ-1-Testats innerhalb von 18 Monaten.

Kein dauerhafter Ersatz möglich

Die BSI C5 Äquivalenz-Verordnung sieht vor, dass der Ersatz eines C5-Typ-1-Testats nur für maximal 18 Monate möglich ist. Das bedeutet, dass Cloud-Dienstleister früher oder später eine C5-Zertifizierung durchlaufen müssen – eine dauerhafte Alternative gibt es nicht.

Noch problematischer: Die Verordnung trifft keine Regelung für das ab 01.07.2025 erforderliche C5-Typ-2-Testat. Unternehmen müssen dieses somit weiterhin vollständig nachweisen.

Handlungsbedarf für betroffene Unternehmen

Da die Fristen eng gesetzt sind, sollten Unternehmen jetzt aktiv werden:

  • Prüfen, ob der eigene Cloud-Dienstleister bereits über ein C5-Testat verfügt.
  • Falls nicht: Alternativen wie ISO 27001 evaluieren und einen Maßnahmenplan erstellen.
  • Rechtzeitig mit der Vorbereitung auf ein C5-Typ-2-Testat beginnen.

Die BSI C5 Äquivalenz-Verordnung bringt zwar eine kurzfristige Erleichterung, löst aber nicht das grundlegende Problem. Unternehmen sollten sich daher frühzeitig mit der C5-Zertifizierung auseinandersetzen, um langfristige Compliance-Risiken zu vermeiden.

Gerne unterstützen Sie unsere Experten und Wirtschaftsprüfer bei Fragen rund um den BSI C5 sowie die Möglichkeiten der Testierung. Nehmen Sie Kontakt auf.

Justus Franke
Geschäftsführer & Wirtschaftsprüfer

Mobil: +49 151 42082305
E-Mail: jfranke@advanta.de

Vorheriger Beitrag
Prüfungsbericht der Jahresabschlussprüfung – Ein Überblick
Nächster Beitrag
Auslagerung & Co-Sourcing als Werkzeuge der Internen Revision
Diese Website verwendet Cookies, um Ihr Erlebnis zu verbessern. Wenn Sie diese Website weiter nutzen, erklären Sie sich damit einverstanden.