Am 27. April 2026 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) erstmals einen umfassenden Kriterienkatalog zur Bewertung der digitalen Souveränität von Cloud-Diensten vorgestellt: „Criteria enabling Cloud Computing Autonomy (C3A)“ (abrufbar unter BSI – Presse – C3A – Criteria enabling Cloud Computing Autonomy).
Mit C3A liefert das BSI kein weiteres Zertifikat, sondern ein strategisches Instrument für die digitale Beschaffung. Die Diskussion um digitale Souveränität verlässt die politische Ebene – und wird operationalisierbar.
Das BSI erweitert damit seine bisherigen Sicherheitsanforderungen aus dem bekannten C5-Katalog um eine entscheidende Perspektive: Nicht mehr nur die technische Sicherheit eines Cloud-Dienstes steht im Fokus – sondern die Frage, ob öffentliche Auftraggeber und Unternehmen die Kontrolle über ihre IT haben.
Sechs Dimensionen der digitalen Souveränität
Der C3A-Katalog strukturiert digitale Souveränität in sechs Dimensionen:
- Strategische Souveränität
- Rechtliche Souveränität
- Datensouveränität
- Operative Souveränität
- Lieferketten-Souveränität
- Technologische Souveränität
Die vom BSI beschriebenen Dimensionen decken sich weitgehend mit den Souveränitätszielen des EU Cloud Sovereignty Frameworks (EU CSF). Das EU CSF definiert acht Souveränitätsziele (SOV‑1 bis SOV‑8) und zugehörige Contributing Factors, nach denen Cloud-Dienste hinsichtlich ihrer „Sovereignty Effectiveness“ bewertet werden. C3A greift diese Systematik auf und übersetzt sie in prüfbare Kriterien.
Weiterführende Informationen zum EU CSF unter https://commission.europa.eu/document/download/09579818-64a6-4dd5-9577-446ab6219113_en?filename=Cloud-Sovereignty-Framework.pdf
Nutzerkreis
Die C3A können sowohl von Cloud-Anbietern als auch von Cloud-Kunden genutzt werden. Cloud-Anbieter können die Einhaltung der Kriterien durch ein Audit nachweisen. Cloud-Kunden können das Framework nutzen, um für das eigene Nutzungsszenario relevante Anforderungen zu identifizieren und so ihr angestrebtes Maß an Souveränität festlegen.
Verhältnis zum C5-Katalog
C3A setzt voraus, dass der Cloud-Dienstleister die C5-Kriterien erfüllt, da diese den Sicherheitsaspekt der Souveränitätsdefinition widerspiegeln. Der C3A-Katalog ergänzt somit den etablierten “Cloud Computing Compliance Criteria Catalogue” (C5) des BSI, der die Sicherheitseigenschaften von Cloud-Diensten adressiert. Während C5 die technische Sicherheit prüfe, bewerte C3A, ob ein Cloud-Angebot im jeweiligen Risikokontext selbstbestimmt genutzt werden könne.
Keine Regulierung – aber hohe vergaberechtliche Relevanz
Das BSI stellt ausdrücklich klar, dass C3A keine regulative Wirkung entfaltet. In der Praxis dürfte der Kriterienkatalog jedoch schnell vergaberelevante Steuerungswirkung entfalten, bspw. im Rahmen von:
- Eignungskriterien: Nachweise zur Souveränität könnten künftig Teil der Bieterprüfung werden
- Zuschlagskriterien: Souveränitätsmerkmale lassen sich als qualitative Bewertungskomponente einbinden
- Leistungsbeschreibung: Mindestanforderungen an Datenkontrolle oder Exit-Fähigkeit werden konkretisierbar
Konsequenzen für die Beschaffung
Öffentliche Auftraggeber können C3A als Referenzrahmen heranziehen, um Vergabeverfahren stärker an den Souveränitätszielen auszurichten. Cloud‑Anbieter und Unternehmen erhalten mit C3A sowie dem EU CSF zugleich eine Roadmap, welche Souveränitätsanforderungen künftig voraussichtlich vermehrt in Ausschreibungen adressiert werden.
Während der C5‑Katalog bislang primär bewertet, wie sicher ein Cloud‑Dienst betrieben wird, verlagert C3A den Fokus auf eine neue Leitfrage: Wie unabhängig ist der Nutzer vom Anbieter? Im Ergebnis könnte dies für die öffentliche Beschaffung einen Paradigmenwechsel bedeuten: Souveränität wird operationalisierbar, d. h. prüf- und dokumentierbar.
Aktuell liegt C3A nur in einer englischsprachigen Fassung vor; eine deutschsprachige Version ist für Ende des 2. Quartals 2026 angekündigt. Im nächsten Schritt will das BSI zudem einen Leitfaden für C3A-Audits veröffentlichen.
Weitere Informationen: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2026/260427_C3A.html
Quelle: BSI
Der IT-Vergabetag des Deutschen Vergabenetzwerks (DVNW) befasst sich in diesem Jahr neben den Themen Beschaffung von Künstlicher Intelligenz (KI) wie auch der Beschaffung mit KI-Unterstützung vor allem mit den Fragen zur digitalen Souveränität. Am 10. Juni 2026 wird in der Berlin-Brandenburgischen Akademie der Wissenschaften hinterfragt, was „digitale Souveränität“ bedeutet und wie sie durch Beschaffung erreicht werden kann. Weitere Informationen zum Programm sowie zur Anmeldung finden Sie hier.
Loading…
Schreibe einen Kommentar