Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die neue Version des Cloud Computing Compliance Criteria Catalogue (C5:2026) veröffentlicht. Der Kriterienkatalog definiert die Sicherheitsanforderungen für Cloud-Anbieter und dient insbesondere dem Gesundheitssektor als wichtige Orientierung bei der Auswahl vertrauenswürdiger Cloud-Dienste.
Die überarbeitete Fassung ersetzt die bisherige Version und trägt aktuellen Entwicklungen in der Cloud-Sicherheit sowie der sich stetig wandelnden Bedrohungslage Rechnung. Sie richtet sich sowohl an Cloud-Anbieter, die ihre Sicherheitsmaßnahmen transparent nachweisen möchten, als auch an Einrichtungen im Gesundheitssektor, die fundierte Entscheidungen bei der Nutzung von Cloud-Diensten treffen wollen.
Besondere Relevanz hat der aktualisierte Standard für den Gesundheitssektor. Gemäß § 393 SGB V ist die Nutzung von Cloud-Diensten zur Verarbeitung von Sozial- und Gesundheitsdaten nur dann zulässig, wenn „ein aktuelles C5-Testat der datenverarbeitenden Stelle im Hinblick auf die C5-Basiskriterien für die im Rahmen des Cloud-Computing-Dienstes eingesetzten Cloud-Systeme und die eingesetzte Technik vorliegt“. Damit ist der C5-Katalog für Kliniken, Krankenkassen und weitere Akteure im Gesundheitswesen nicht nur eine Orientierungshilfe, sondern eine verbindliche regulatorische Anforderung, sobald Gesundheitsdaten in der Cloud verarbeitet werden.
Vor diesem Hintergrund empfiehlt es sich für Einrichtungen im Gesundheitssektor, aktiv ein aktuelles Testat nach dem neuen Standard bei ihrem Cloud-Anbieter anzufordern. So kann sichergestellt werden, dass eingesetzte Cloud-Dienste den aktuellen Sicherheitsanforderungen entsprechen und regulatorische Vorgaben weiterhin erfüllt werden.
Quelle: BSI – „Sicheres Cloud-Computing: BSI veröffentlicht C5:2026“ (www.bsi.bund.de)