Gemini_Generated_Image_v9xjfyv9xjfyv9xj.png

BSI veröffentlicht C3A: Neue Souveränitätskriterien für Cloud-Dienste

Redaktion

Das BSI hat mit den C3A – Criteria enabling Cloud Computing Autonomy – einen neuen Handlungsrahmen veröffentlicht, der Souveränitätseigenschaften von Cloud-Diensten transparent machen soll.

Inhaltsverzeichnis
  1. Was steckt hinter den C3A?
  2. Wie funktioniert das Framework?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 27. April 2026 den Kriterienkatalog C3A – Criteria enabling Cloud Computing Autonomy veröffentlicht. Das Framework soll Unternehmen und Behörden dabei helfen, Cloud-Dienste nach ihrer Souveränität zu bewerten und auszuwählen.

Die wichtigsten Punkte:

  • Neues BSI-Framework für Cloud-Souveränität
  • Gilt für Anbieter und Kunden gleichermaßen
  • Kein regulatorisches Pflichtwerk
  • Deutsche Version geplant für Ende Q2 2026

Was steckt hinter den C3A?

Hintergrund ist die vom BSI identifizierte Bedrohung durch sogenannte Cyber Dominance – die Möglichkeit von Herstellern digitaler Produkte, dauerhaft Zugriff auf Systeme und Daten ihrer Kunden zu behalten. Die C3A sollen diesem Risiko mit überprüfbaren Kriterien begegnen.

Der Katalog ergänzt den bestehenden Cloud Computing Compliance Criteria Catalogue (C5) des BSI, der bereits Sicherheitseigenschaften von Cloud-Diensten adressiert. Während C5 auf Sicherheit fokussiert, bewertet C3A die selbstbestimmte Nutzbarkeit eines Cloud-Angebots im jeweiligen Risikokontext.

Wie funktioniert das Framework?

Die C3A sind in Kriterien und Zusatzkriterien unterteilt. Cloud-Anbieter können die Einhaltung durch ein Audit nachweisen – der Prozess soll sich laut BSI an den etablierten C5-Testierungsverfahren orientieren. Cloud-Kunden wiederum können das Framework nutzen, um für ihr Nutzungsszenario relevante Anforderungen zu definieren.

Ein Beispiel: Bei der Lokalisierung können Nutzer je nach Kritikalität des Anwendungsfalls festlegen, ob Rechenzentren in Deutschland oder der EU betrieben werden müssen.

In Struktur und Zielsetzung orientieren sich die C3A am europäischen Cloud Sovereignty Framework (EU CSF). Das BSI setzt zudem voraus, dass ein Cloud-Anbieter bereits die C5-Kriterien erfüllt, bevor C3A zur Anwendung kommt.

Die C3A entfalten keine regulatorische Wirkung, dienen aber als richtungsweisender Orientierungsrahmen. Eine deutschsprachige Version ist für Ende des zweiten Quartals 2026 geplant. Den vollständigen Kriterienkatalog veröffentlicht das BSI auf seiner Website unter www.bsi.bund.de.

Das könnte dich auch interessieren

Gemini_Generated_Image_lf3pjklf3pjklf3p.png
Computer & Tech

BSI veröffentlicht Broschüre „Cybersicherheit im Gesundheitswesen 2025

27. April 2026
Gemini_Generated_Image_qo1f94qo1f94qo1f.png
Computer & Tech

Chinesische Cyberakteure nutzen SOHO-Router und IoT-Geräte als Verschleierungsnetzwerke

27. April 2026
Server
Server
Computer & Tech

Die besten Tipps für sicheres WordPress Hosting

18. November 2024
Powerbank mit Lithium Akku
Powerbank mit Lithium Akku
Solar & Energie

Keine Einführung eines Pfandsystems für lithiumhaltige Altbatterien: Bundesregierung setzt auf andere Maßnahmen

17. November 2024

Tags:

, , , , ,

Beitrag teilen

Redaktion

Geschrieben von

Redaktion

Tech-Enthusiast und Gründer von Technikzentrale24. Testet Smart Home, Solar-Technik und Computer-Hardware mit Leidenschaft für ehrliche, praxisnahe Bewertungen.

Neue Tests & Deals direkt ins Postfach

Keine Werbung, kein Spam. Nur die besten Tech-Tipps und ehrliche Produkttests.

Jetzt anmelden →

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert