Experten für (IT) Compliance und (IT) Audit
mit Fokus auf ISO 27001 - C5 - DORA - KRITIS - NIS2

Der C5-Kriterienkatalog im Spannungsfeld regulatorischer Anforderungen

– kurz erläutert am Beispiel der Versicherungs- und Medizinbranche

Autor: Dr. Klaus-D. Krause, compliance-net GmbH, Robert-Bosch-Straße 32, 63303 Dreieich unter Zuhilfenahme öffentlich zugänglicher Dokumente sowie AI-Tools.

Im April 2025

Präambel

Die nachfolgend dargestellte Ausführung versteht sich nicht als abschließender Leitfaden zur C5-Konformitätsbescheinigung, sondern vielmehr als kurze systematische Einführung in die strukturellen, prozessualen und regulatorischen Dimensionen dieses Kriterienkataloges „Cloud Computing“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Ergänzend berücksichtigt dieser die sich entwickelnde Gesetzgebungspraxis um die C5-Äquivalenzverordnung.

Das mit dem Artikel verbundene Ziel besteht darin, dem geneigten Leser ein vertieftes Verständnis für die Anforderungen und Implikationen der C5-Konformitätsbescheinigung beispielhaft sowohl in Bezug auf die Versicherungswirtschaft als auch die Medizinbranche zu vermitteln und potenzielle Forschungsdesiderate aufzuzeigen.

Bedeutung regulatorisch konformer Cloud-Sicherheitsstrategien

Die zunehmende Migration geschäftskritischer Daten und Dienste in Cloud-Umgebungen stellt Unternehmen vor die Herausforderung, die Integrität, Vertraulichkeit und Verfügbarkeit sowie Authentizität ihrer Daten unter Einhaltung geltender regulatorischer Anforderungen zu gewährleisten.

In Deutschland spielen hierbei insbesondere die Datenschutz-Grundverordnung (DSGVO), das IT-Sicherheitsgesetz, das Medizinprodukterecht sowie spezifische Regelungen der Versicherungsaufsicht eine zentrale Rolle.

Diese normativen Rahmenbedingungen verlangen nicht nur technische Schutzmaßnahmen, sondern fordern auch organisatorische und prozessorientierte Ansätze zur Sicherstellung von Compliance und Risikominimierung im Betrieb informationstechnischer Systeme.

Einordnung und Struktur des C5-Kriterienkataloges

Vor diesem Hintergrund entwickelte das Bundesamt für Sicherheit in der Informationstechnik (BSI) den sogenannten Cloud Computing Compliance Criteria Catalogue (C5).

Ziel dieses Kriterienkataloges ist es, Cloud-Dienste transparent und prüfbar hinsichtlich ihrer Sicherheitsarchitektur und -prozesse zu machen.

C5 dient somit als Grundlage für die Bewertung der Vertrauenswürdigkeit von Cloud-Anbietern durch Dritte und adressiert sowohl technische Kontrollen als auch Governance-Aspekte.

Der C5-Kriterienkatalog ist konzeptionell an internationale Normen wie ISO/IEC 27001 und ISO/IEC 27017 angelehnt, wurde jedoch um nationale regulatorische Anforderungen und branchenspezifische Best Practices erweitert.

Im Kontext internationaler Assurance-Standards ist insbesondere der ISAE 3000 (International Standard on Assurance Engagements) von Bedeutung. Dieser Standard legt die Grundsätze für Prüfungsleistungen außerhalb klassischer Finanzprüfungen fest und dient regelmäßig als methodisches Fundament für die C5-Konformitätsprüfung durch Wirtschaftsprüfungsgesellschaften.

C5 adressiert zentrale Aspekte wie die Nachvollziehbarkeit von Verantwortlichkeiten, den Umgang mit sicherheitsrelevanten Vorfällen sowie die Pflicht zur Offenlegung relevanter Sicherheitsinformationen gegenüber den Kunden.

C5-Konformitätsprüfung im Kontext seiner organisatorischen Auswirkungen

Die erfolgreiche Umsetzung einer C5-konformen Sicherheitsstrategie erfordert eine strukturierte Projektplanung innerhalb der Organisation.

Hierbei müssen insbesondere Fragen der personellen Ressourcen, der internen Verantwortlichkeitsverteilung sowie der Implementierung robuster Kontroll- und Dokumentationsmechanismen geklärt werden. Zudem ist die Etablierung eines kontinuierlichen Verbesserungsprozesses unerlässlich, um der dynamischen Bedrohungslage im Cyberraum gerecht zu werden.

Die Konformitätsprüfung erfolgt durch unabhängige Wirtschaftsprüfer auf Basis einer umfassenden Auditierung der Cloud-Dienste. Im Fokus stehen nicht nur die Erfüllung der im C5-Kriterienkatalog definierten Anforderungen, sondern auch deren Nachweisfähigkeit und Integration in das bestehende Informationssicherheitsmanagementsystem (ISMS) des Anbieters.

Der Prüfprozess ist stark formalisiert, grundsätzlich auf Basis von ISAE 3000, und erfordert eine enge Abstimmung zwischen Anbieter und Prüfer, um Effizienz und Transparenz sicherzustellen.

Die C5-Äquivalenzverordnung

Im Zuge der digitalen Transformation des Gesundheitswesens gewinnt die regulatorische Einbindung von Cloud-Diensten zunehmend an Bedeutung. Mit dem Digital-Gesetz wurde § 393 SGB V eingeführt, der den C5-Kriterienkatalog als verbindlichen Maßstab für die Verarbeitung personenbezogener Gesundheits- und Sozialdaten in Cloud-Systemen etabliert. Die daraus resultierende C5-Äquivalenzverordnung (C5-AeqVO) konkretisiert diese Anforderungen und schafft temporäre Ausnahmen für alternative Sicherheitszertifikate, sofern diese ein mit dem C5 vergleichbares oder höheres Schutzniveau gewährleisten.

Der Referentenentwurf des Bundesministeriums für Gesundheit benennt explizit ISO/IEC 27001:2022, ISO 27001 auf Basis von BSI IT-Grundschutz sowie die Cloud Controls Matrix Version 4.0 als anerkennungsfähige Standards. Diese müssen durch einen Maßnahmenplan flankiert werden, der bestehende Lücken zum C5-Kriterienkatalog identifiziert, adressiert und eine zeitlich begrenzte Migration zur C5-Typ-1-Konformitätsprüfung dokumentiert. Alternativ ist auch eine sogenannte Konformitätserklärung zulässig, sofern sie auf einer dokumentierten Analyse der Abweichungen basiert und die Maßnahmen zur Herstellung des C5-Äquivalenzniveaus nachvollziehbar beschreibt. Diese Erklärung stellt jedoch lediglich einen Zwischenschritt auf dem Weg zur vollständigen Testierung dar.

C5-Integration in sektorale Regelwerke: Telematikdienst und Medizinproduktegesetz

Die Bedeutung des C5-Kriterienkataloges erstreckt sich mittlerweile auch auf angrenzende regulatorische Sektoren. So gewinnt er im Rahmen der Anbindung an die Telematikinfrastruktur (TI) der gematik zunehmende Relevanz – insbesondere im Hinblick auf digitale Gesundheitsanwendungen und E-Health-Plattformen.

Anbieter, die Dienste im Rahmen der TI betreiben oder Gesundheitsdaten über Schnittstellen zur TI verarbeiten, müssen zunehmend C5-kompatible Sicherheitskonzepte vorweisen, um den Anforderungen der gematik-Spezifikationen und der IT-Sicherheitsrichtlinie nach § 75 b SGB V zu genügen.

Auch im Kontext des Medizinprodukterechts ist die Relevanz des C5-Kriterienkataloges gestiegen. Cloud-basierte Komponenten von Medizinprodukten, insbesondere im Bereich Software as a Medical Device (SaMD), unterliegen nicht nur den Vorgaben der MDR (Medical Device Regulation), sondern müssen im Hinblick auf ihre IT-Sicherheit über nachweisbare Sicherheitsstandards verfügen.

Der C5-Kriterienkatalog stellt in diesem Zusammenhang eine zunehmend akzeptierte Referenz dar – sowohl in Zertifizierungsverfahren als auch in der technischen Dokumentation gegenüber benannten Stellen.

C5 in der Versicherungsbranche

In Bezug auf die Versicherungswirtschaft ergibt sich verstärkt die Notwendigkeit konformer Cloud-Sicherheitsarchitekturen. Dies gilt sowohl im Rahmen interner IT-Betriebsmodelle als auch für datenverarbeitende Dienstleistungen im Kundenkontext.

Aufsichtsrechtliche Anforderungen gemäß DORA und VAIT fordern explizit eine umfassende Risikoanalyse und Steuerung bei der Auslagerung von IT-Diensten – insbesondere in die Cloud.

Der C5-Kriterienkatalog kann hier als zentraler Referenzpunkt für die Erfüllung von Sicherheitsanforderungen dienen und gleichzeitig den internen Kontrollrahmen durch externe Prüfung auf Basis von ISAE 3000 in seiner Validierung unterstützen.

DIHK-Stellungnahme sowie wirtschaftliche Perspektive

Die Deutsche Industrie- und Handelskammer (DIHK) begrüßt die grundsätzliche Zielsetzung der Verordnung, Transparenz und Rechtssicherheit für Cloud-Anbieter im Gesundheitswesen zu schaffen.

Sie betont jedoch auch die Herausforderungen hinsichtlich des Erfüllungsaufwands und der Finanzierbarkeit regelmäßiger C5-Konformitätsprüfungen, insbesondere für kleinere Anbieter.

Die DIHK plädiert für eine praxistauglichere Umsetzung der Regelungen – etwa durch eine Verlängerung der Übergangsfrist auf 24 Monate sowie die Möglichkeit, direkt eine C5-Typ-2-Konformitätsprüfung anzustreben. Dies würde vermutlich die notwendige Planungssicherheit erhöhen und zugleich den Anbieterwettbewerb stärken.

Fazit

Die C5-Äquivalenzverordnung stellt einen bedeutsamen Schritt zur normativen Verankerung von Cybersicherheitsstandards im Gesundheitswesen dar. Ihre Implementierung bedarf jedoch einer ausgewogenen Ausgestaltung, die sowohl den regulatorischen Anforderungen als auch der wirtschaftlichen Realität gerecht werden muss.

Eine weitere kontinuierliche wissenschaftliche Begleitung dieser Entwicklung kann dazu beitragen, bestehende Spannungsfelder zwischen Sicherheit, Innovation und Marktzugang systematisch zu analysieren und konstruktiv zu adressieren.

Literaturverzeichnis

  1. Bundesamt für Sicherheit in der Informationstechnik (BSI): C5 – Cloud Computing Compliance Controls Catalogue, Version 2020, Bonn 2020.
  2. Bundesministerium für Gesundheit: Referentenentwurf zur C5-Äquivalenzverordnung, Stand: 06.01.2025.
  3. Gesetz zur Beschleunigung der Digitalisierung im Gesundheitswesen (Digital-Gesetz), BGBl. I Nr. 101 vom 22.03.2024.
  4. Europäische Union: Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung), Amtsblatt der Europäischen Union L 119, 2016.
  5. Bundesamt für Sicherheit in der Informationstechnik (BSI): IT-Grundschutz-Kompendium, laufend aktualisiert, www.bsi.bund.de.
  6. International Organization for Standardization (ISO): ISO/IEC 27001:2022 – Information security, cybersecurity and privacy protection – Information security management systems – Requirements.
  7. Cloud Security Alliance (CSA): Cloud Controls Matrix Version 4.0, 2021.
  8. International Auditing and Assurance Standards Board (IAASB): ISAE 3000 (Revised) – Assurance Engagements Other than Audits or Reviews of Historical Financial Information, New York 2013.
  9. Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM): Hinweise zur IT-Sicherheit von Medizinprodukten, 2022.
  10. Verordnung (EU) 2017/745 über Medizinprodukte (MDR), Amtsblatt der Europäischen Union L 117, 2017.
  11. Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): Versicherungsaufsichtliche Anforderungen an die IT (VAIT), Fassung 2022.
  12. gematik GmbH: TI-Sicherheitsrichtlinie, aktuelle Version, www.gematik.de.
  13. Deutsche Industrie- und Handelskammer (DIHK): Stellungnahme zum Referentenentwurf der C5-Äquivalenzverordnung, Berlin, 23.01.2025.