Home

Deutsch|English

Entrepreneur Juli / August 2025 – Wegweisende Entscheidungen » |

Weltweit

Anscheinend ist in Ihrem Browser JavaScript nicht aktiviert. Aktivieren Sie bitte JavaScript, und versuchen Sie es erneut.

Neuer Community-Draft des BSI C5:2025 Standards – Was Unternehmen der Gesundheitswirtschaft jetzt wissen sollten!

veröffentlicht am 28. August 2025

Das BSI hat nun den Entwurf des neuen C5:2025-Standards für Cloud-Sicherheit veröffentlicht. Er bringt technische und strukturelle Neuerungen sowie eine stärkere EU-Ausrichtung mit sich. Für Unternehmen im Gesundheitswesen wird er durch § 393 SGB V besonders relevant. Jetzt gilt es, sich frühzeitig mit den neuen Anforderungen vertraut zu machen.

Was ist der BSI C5 Standard und für wen ist er relevant?

Der Cloud Computing Compliance Criteria Catalogue (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI) setzt seit 2016 einen etablierten Sicherheitsstandard für Cloud Dienste in Deutschland. Er definiert Mindestanforderungen an Sicherheitsmaßnahmen bei Cloud Services und schafft damit Transparenz im Cloud-Umfeld. Ein in diesem Zusammenhang ausgestelltes C5-Testat von einer Wirtschaftsprüfungsgesellschaft bestätigt, dass diese Anforderungen eingehalten werden.

Besonders im Gesundheitswesen ist der C5 Standard von zentraler Bedeutung. Seit dem Inkrafttreten von § 393 SGB V am 1. Juli 2024 dürfen Gesundheits- und Sozialdaten nur noch dann in der Cloud verarbeitet werden, wenn unter anderem ein aktuelles C5-Testat vorliegt und die im Prüfbericht genannten kundenseitigen Anforderungen umgesetzt wurden.

Diese Verankerung im Sozialgesetzbuch macht den C5 Standard für Leistungserbringer (z. B. Krankenhäuser, Arztpraxen, Pflegeeinrichtungen), Krankenkassen und deren Auftragsdatenverarbeiter verbindlich.

Der neuer Entwurf „C5:2025“ als Community Draft

Am 14. Juli hat das BSI den Entwurf des neuen Standards „C5:2025“ als Community Draft veröffentlicht. Ziel des Entwurfs ist es, den bisherigen C5 Katalog zu modernisieren und an die aktuellen Entwicklungen anzupassen. Die Version baut auf dem bisherigen C5:2020 Standard auf, bringt jedoch einige bedeutende Neuerungen mit sich, die sowohl die inhaltliche Ausgestaltung als auch die Struktur des Standards betreffen:

Erweiterung der inhaltlichen Anforderungen: Der neue Standard greift erstmals umfassend aktuelle technische und regulatorische Entwicklungen auf – darunter Container-Orchestrierung, Post-Quanten-Kryptographie, Confidential Computing und Supply-Chain-Management. Damit wird sichergestellt, dass Cloud-Dienste auf dem neuesten Stand der Technik geprüft werden.

Integration europäischer Vorgaben: Im Entwurf wurde eine stärkere Ausrichtung auf europäische Standards vorgenommen. So werden Anforderungen der EU-Cloud-Zertifizierung (EUCS), der NIS2-Richtlinie sowie die aktualisierte ISO/IEC 27001:2022 berücksichtigt. Dadurch wird die internationale Anschlussfähigkeit verbessert und gleichzeitig mehr Rechtssicherheit für Cloud-Anbieter und -Nutzer geschaffen.

Strukturierung der Kriterien: Während der bisherige Standard die Kriterien überwiegend monolithisch darstellt, führt der Entwurf eine klare Unterteilung in Haupt- und Unterkriterien ein. Zudem wird zwischen „additional sharpen“ (verschärften) und „additional complement“ (ergänzenden) Anforderungen unterschieden. Diese neue Struktur erleichtert sowohl das Verständnis als auch die Umsetzung in der Praxis deutlich.

Verbesserte Transparenz und Nachvollziehbarkeit: Durch die explizite Kennzeichnung und Einordnung der einzelnen Kriterien in den Kontext interner Kontrollsysteme wird die Transparenz gegenüber Prüfern und Nutzern erhöht. Dies unterstützt die gezielte Umsetzung und Prüfung von Sicherheitsmaßnahmen.

Verfügbarkeit und Formate: Der Entwurf liegt aktuell in englischer Sprache in den Formaten PDF und Excel vor. Die finale Version wird voraussichtlich in Deutsch und Englisch erscheinen, ergänzt durch maschinenlesbare Formate wie YAML. Dies erleichtert die Integration in digitale Compliance- und Managementsysteme.

Diese Änderungen zielen darauf ab, den C5-Standard praxisnäher und EU-konformer zu gestalten, um somit eine noch bessere Grundlage für die Sicherheit von Cloud-Diensten zu schaffen – für Anbieter, Nutzer und Prüfer gleichermaßen.

Bis zum 15. September haben Unternehmen jetzt die Chance, diesen Entwurf zu kommentieren und die finale Fassung aktiv mitzugestalten. Die Veröffentlichung des finalen Standards ist für Dezember 2025 geplant.

Warum sich Cloud-Anbieter jetzt schon mit dem neuen Entwurf befassen sollten

Zukünftig wird nach Veröffentlichung des finalen C5:2025 Standards eine Prüfung auf dieser Basis empfohlen – insbesondere im Rahmen von C5 Typ 2 Testaten, die seit 1. Juli 2025 Pflicht sind (§ 393 SGB V).

Deshalb jetzt aktiv werden:

Studium des Drafts: Machen Sie sich mit den geplanten Änderungen vertraut und prüfen Sie, welche Anforderungen neu oder verschärft sind.
Kommentar abgeben: Nutzen Sie die Kommentierungsfrist bis zum 15. September 2025, um Feedback über den BSI-Kommentierungsbogen zu übermitteln.
Führen Sie eine vorbereitende GAP-Analyse durch, um zu identifizieren:
– wie Ihr aktuelles Cloud-Setup im Vergleich zum neuen Entwurf abschneidet,
– welche Anforderungen bereits erfüllt sind – und wo noch Handlungsbedarf besteht.
Zielgerichtete Vorbereitung: Bringen Sie Struktur, Verantwortlichkeiten und notwendige Maßnahmen frühzeitig in Einklang mit dem neuen Standard.
Unterstützung nutzen: Wir begleiten Sie als Wirtschaftsprüfungs- und Beratungsgesellschaft gerne bei der GAP Analyse – damit die C5 Testierung auch künftig reibungslos gelingt.

Für Einrichtungen im Gesundheitswesen bleibt § 393 SGB V weiterhin maßgeblich – denn dieser fordert nicht nur ein aktuelles C5-Testat, sondern auch die konsequente Umsetzung der kundenseitigen Kriterien z. B. Datenschutzvorgaben, technische Maßnahmen, Vertragsgestaltung, Dokumentation etc. Also sollten auch sie sich mit dem neuen Entwurf befassen und die Möglichkeit zur Kommentierung nutzen.

Fazit – Für mehr Sicherheit im Gesundheitswesen durch proaktive Vorbereitung:

Mit dem neuen Community-Draft C5:2025 geht das BSI einen wichtigen Schritt in Richtung Zukunftssicherheit und EU-weite Anschlussfähigkeit von Cloud-Diensten. Für Cloud-Anbieter und Unternehmen der Gesundheitswirtschaft bringt dies nicht nur neue technische und regulatorische Anforderungen, sondern vor allem die Chance, sich frühzeitig auf kommende Prüfmaßstäbe einzustellen.

Besonders im Kontext des § 393 SGB V wird deutlich: Die Sicherheit und Konformität von Cloud-Lösungen ist kein „Nice-to-have“, sondern gesetzliche Pflicht. Wer jetzt vorbereitet ist, kann nicht nur Risiken minimieren, sondern auch Vertrauen bei Kunden, Partnern und Prüfern stärken.

Die kommenden Monate sind entscheidend: Nutzen Sie die Gelegenheit, um rechtzeitig geeignete Maßnahmen zu identifizieren, die Umsetzung effizient zu planen – und aktiv Einfluss auf Ihr zukünftiges C5-Testat zu nehmen.

Kontaktieren Sie uns gerne, wenn Sie eine unverbindliche Beratung, GAP Analyse oder C5-Prüfung benötigen – wir stehen Ihnen als erfahrene C5-Prüfer gerne zur Seite!