C5-Testate werden zum entscheidenden Faktor in der Gesundheitswirtschaft

veröffentlicht am 27. November 2025

Warum jetzt alle Akteure handeln müssen – und welche Konsequenzen drohen
Die Anforderungen an Informationssicherheit und Compliance steigen in der Gesundheitswirtschaft seit Jahren kontinuierlich. Doch ein Baustein gewinnt aktuell besondere Bedeutung: das C5-Testat. Was bislang häufig als optionales Qualitätsmerkmal betrachtet wurde, wird jetzt zur Pflicht – und zwar für nahezu alle Akteure, die Cloud-Dienste zur Verarbeitung von Sozial- oder Gesundheitsdaten nutzen.

Gesetzliche Pflicht – aber bislang kaum eingefordert

Gemäß § 393 SGB V sind C5-Testate bereits heute verpflichtend, wenn Leistungserbringer, Krankenkassen oder Pflegekassen sowie deren Auftragsdatenverarbeiter sensible Daten in Cloud-Diensten verarbeiten. In der Praxis wird diese Nachweispflicht jedoch bislang häufig ignoriert oder schlicht nicht aktiv eingefordert.

Doch das wird sich bald ändern. In der neuen Version des Branchenspezifischen Sicherheitsstandards (B3S) „Medizinische Versorgung“ findet sich eine klare Vorgabe:

KRITIS-Betreiber müssen künftig C5-Prüfberichte ihrer Dienstleister einholen, bewerten und deren Wirksamkeit nachweisen. Spätestens im Rahmen der nächsten KRITIS-Wirksamkeitsprüfungen müssen diese Nachweise vorliegen. Schon vor diesen neuen Anforderungen gilt: Es ist Aufgabe der jeweiligen Geschäftsführung, entsprechende Nachweise einzufordern – andernfalls verstoßen sie gegen die Sorgfaltspflichten aus NIS-2. Das kann zu erheblichen Bußgeldern führen.

Damit wird klar: Die C5-Testierung ist nicht nur eine technische Absicherung, sondern ein Compliance-Pflichtprogramm für jede Organisation im Gesundheitswesen.

Cloud-Dienstleister unter Druck – aber auch mit neuen Chancen

Für Cloud- und SaaS-Anbieter bedeutet die Entwicklung zunächst einen deutlichen Mehraufwand. Insgesamt 121 Anforderungen aus 17 Bereichen müssen nach dem aktuellen Standard C5:2020 erfüllt werden.

Mit dem neuen Standard C5:2025 verschärfen sich die Vorgaben weiter. Die Überarbeitung bringt strengere Sicherheitsanforderungen, modernisierte Controls und zusätzliche Vorgaben zur Lieferkettensicherheit. Ziel ist unter anderem eine stärkere Harmonisierung mit europäischen Standards wie der NIS-2-Richtlinie und dem EUCS.

Doch bietet dies Dienstleistern auch klare Marktchancen: Wer frühzeitig über ein C5-Testat verfügt, hebt sich positiv ab. Wettbewerber ohne Testat dürfen künftig in vielen Bereichen nicht mehr genutzt werden.

Cloud-Sicherheit wird damit zum Qualitätsmerkmal – und möglicherweise sogar zum entscheidenden Wettbewerbsvorteil.

Zwei Arten von C5-Prüfungen – und nur eine schafft echte Sicherheit

Der C5-Kriterienkatalog unterscheidet zwei Varianten der Testierung:

Typ 1 – Prüfung der Angemessenheit von Maßnahmen zu einem Stichtag
Typ 2 – Prüfung der wirksamen Umsetzung über einen definierten Zeitraum

Gerade Typ-2-Testate schaffen für Kunden ein hohes Maß an Transparenz und Verlässlichkeit über die tatsächliche Wirksamkeit der Sicherheitsmaßnahmen. In der Praxis erfolgt oft zuerst eine Typ-1-Testierung, bevor später Typ 2 angestrebt wird.

Wichtig ist:

C5-Testate sind Prüfungen ISAE 3000 und dürfen ausschließlich von Wirtschaftsprüfern ausgestellt werden.
Andere Nachweise oder Zertifizierungen sind ungültig und erfüllen die gesetzlichen Anforderungen nicht.

Warum die Gesundheitswirtschaft jetzt handeln muss

Die steigende Digitalisierung in der Versorgung, die Nutzung innovativer Cloud-Anwendungen und die stark wachsende Bedrohungslage führen dazu, dass der Schutz sensibler Daten ein zentrales strategisches Ziel werden muss.

Die Gesundheitswirtschaft arbeitet traditionell mit besonders schützenswerten Daten. Gleichzeitig steigt mit der NIS-2-Umsetzung der regulatorische Druck auf Führungskräfte: Sie müssen nachweisbar sicherstellen, dass alle eingesetzten IT-Dienstleister überprüft, bewertet und abgesichert sind. C5-Testate bieten hierfür einen standardisierten, anerkannten und regulatorisch geforderten Nachweis.

Der Ausblick ist eindeutig:

Cloud-/SaaS-Kunden müssen C5-Testate künftig einholen und dokumentieren.
Dienstleister ohne gültige Testate werden aus kritischen Bereichen verschwinden.
Geschäftsführungen, die ihre Sorgfaltspflichten nicht erfüllen, riskieren Bußgelder.

Damit wird die C5-Testierung zu einem zentralen Baustein der digitalen Compliance-Strategie im Gesundheitswesen – und zu einer grundlegenden Voraussetzung für vertrauenswürdige Cloud-Nutzung.

Fazit

Das C5-Testat entwickelt sich von einem optionalen Sicherheitsstandard zu einem bindenden Nachweis, der für alle Akteure in der Gesundheitswirtschaft von strategischer Bedeutung ist.
Ob Krankenhäuser, Versicherungen, große Versorgungseinrichtungen oder deren Cloud-Dienstleister: Wer jetzt handelt, stärkt nicht nur die eigene Cyber-Resilienz, sondern gewinnt auch Planungssicherheit für die kommenden KRITIS- und NIS-2-Vorgaben.

AUTOREN

Jürgen Schwestka	Tino Schwabe

FOLGEN SIE UNS!

AUS DEM NEWSLETTER

Newsletter Gesundheits- und Sozialwirtschaft Nr. 11/2025

Kontakt

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager

Partner

+49 911 9193 3508

Anfrage senden

Profil