Cloud-Lösungen im öffentlichen Sektor
Sichere Einführung mit C5-Testaten

Die Nutzung von Cloud-Lösungen im öffentlichen Sektor nimmt rasant zu. Gleichzeitig steigen die Anforderungen an Sicherheit, Transparenz und regulatorische Nachweise. Besonders für Institutionen, die dem Sozialgesetzbuch (SGB) unterliegen, gelten klare gesetzliche Vorgaben, die bei Ausschreibung, Beschaffung und Einführung von Cloud-Diensten zwingend zu berücksichtigen sind.

Nach § 393 SGB V ist der Einsatz von Cloud-Diensten im Gesundheitswesen nur zulässig, wenn bestimmte Sicherheitsstandards eingehalten werden. Bis zum 30. Juni 2025 gilt hierfür ein C5-Typ1-Testat als aktueller Nachweis. Ab dem 1. Juli 2025 ist dagegen ein C5-Typ2-Testat verpflichtend.
Der Unterschied ist entscheidend:

• C5-Typ1 prüft die Angemessenheit und Implementierung von Sicherheitsmaßnahmen zu einem bestimmten Stichtag.
• C5-Typ2 geht deutlich weiter, da hier zusätzlich die Wirksamkeit der Maßnahmen über einen längeren Zeitraum hinweg nachgewiesen wird.
  Nur so lässt sich sicherstellen, dass Sicherheitsprozesse nicht nur geplant, sondern auch dauerhaft gelebt werden.

Das BSI C5-Testat („Cloud Computing Compliance Criteria Catalogue“) hat sich als Mindeststandard für Cloud-Sicherheit in Deutschland etabliert – sowohl im öffentlichen Sektor als auch in kritischen Infrastrukturen (KRITIS). Es baut auf ISO 27001 auf, deckt jedoch Cloud-spezifische Anforderungen ab, die in internationalen Standards wie ISO 27017 nur teilweise enthalten sind. In einigen Bereichen geht C5 sogar über diese Standards hinaus.
Für Auftraggeber bedeutet das:

• Mehr Transparenz durch standardisierte Prüfberichte
• Erhöhte Sicherheit durch spezifische Anforderungen für Cloud-Betrieb
• Nachweisbarkeit gegenüber Aufsichtsbehörden und Prüfern

Wir unterstützen öffentliche Auftraggeber und Organisationen im Gesundheits- und Sozialwesen dabei, Cloud-Lösungen sicher auszuschreiben, zu beschaffen und einzuführen. Dabei achten wir besonders auf:

• Die korrekte Aufnahme von C5- oder gleichwertigen Zertifizierungsanforderungen in Ausschreibungsunterlagen.
• Die Bewertung von Cloud-Anbietern im Hinblick auf C5-Typ2 und ergänzende Standards.
• Die Integration von Privacy- und Security-by-Design in die Projekt- und Systemarchitektur.
• Die Nachweisführung im Betrieb, sodass auch im laufenden Auditfall Transparenz und Compliance gewährleistet sind.

Die Übergangsfrist bis Juni 2025 ist kurz – öffentliche Auftraggeber und KRITIS-Organisationen sollten schon heute C5-Typ2-Anforderungen in ihre Planungen aufnehmen. Entscheidend ist nicht nur die Konzeption auf dem Papier, sondern der Nachweis, dass Sicherheitsmaßnahmen über die gesamte Laufzeit hinweg wirksam umgesetzt werden.
Wir begleiten Sie auf diesem Weg – von der Ausschreibung über die Anbieterauswahl bis zur sicheren Einführung und dem Betrieb Ihrer Cloud-Lösungen.