Glosario · Ciberseguridad de la UE BSI C5 (Cloud Computing Compliance Criteria Catalogue)
Estándar de la agencia federal alemana de ciberseguridad (BSI) que define la base mínima de seguridad para servicios en la nube destinados al sector público alemán y a industrias reguladas. Considerado ampliamente como el equivalente alemán de SOC 2.
## Qué es realmente el BSI C5
El BSI C5 — Cloud Computing Compliance Criteria Catalogue — es el estándar de seguridad cloud publicado por la **Oficina Federal Alemana de Seguridad de la Información (Bundesamt für Sicherheit in der Informationstechnik, BSI)**. Publicado por primera vez en 2016 (C5) y revisado en 2020 (C5:2020), define una base de seguridad integral para servicios en la nube y el proceso de auditoría con el que los proveedores pueden demostrar conformidad.
C5 es de alcance similar a SOC 2 (EE. UU.) o ISO 27001/27017 (internacional), pero está adaptado a los **requisitos legales y regulatorios alemanes** y se considera ampliamente el estándar de facto de seguridad cloud para compradores alemanes del sector público y de industrias reguladas.
## Qué cubre el BSI C5
C5:2020 incluye unos **125 controles** distribuidos en 17 áreas, entre ellas:
- Organización de la seguridad de la información
- Seguridad del personal
- Gestión de activos
- Seguridad física
- Seguridad operativa
- Gestión de identidades y accesos
- Criptografía
- Seguridad de las comunicaciones
- Portabilidad e interoperabilidad
- Adquisición, desarrollo y modificación
- Control y supervisión de proveedores y subcontratistas
- Gestión de incidentes
- Continuidad del negocio
- Cumplimiento
- Tratamiento de solicitudes de investigación de autoridades gubernamentales
- Seguridad y protección de productos
- Privacidad
El área de control sobre el tratamiento de solicitudes de investigación es especialmente importante para la **evaluación de soberanía**: aborda cómo gestiona el proveedor las peticiones de datos por parte de gobiernos extranjeros, donde se hace visible la exposición a la [CLOUD Act](/es/glossary/cloud-act/) estadounidense.
## Cómo funcionan las auditorías BSI C5
BSI C5 utiliza un **modelo de atestación** similar al de SOC 2:
### Atestación de Tipo 1
El auditor verifica que los controles están adecuadamente diseñados en un momento concreto. Coste menor; más rápida.
### Atestación de Tipo 2
El auditor verifica que los controles han operado eficazmente durante un período definido (normalmente 6-12 meses). Más rigurosa; es lo que esperan los compradores regulados.
Las auditorías las realizan auditores independientes cualificados por el BSI. El informe de auditoría (C5 Attestation Report) se comparte con los clientes del proveedor bajo confidencialidad.
## Por qué importa el BSI C5
### 1. Acceso al mercado alemán
Para los proveedores cloud que quieran atender a empresas alemanas, especialmente en industrias reguladas (banca bajo BaFin, sanidad bajo SGB, sector público bajo contratación federal), la atestación C5 es de hecho obligatoria.
### 2. Revela la exposición a la soberanía
El control BC-01 del C5 ('Tratamiento de solicitudes de investigación de autoridades gubernamentales') obliga a los proveedores a documentar su exposición al derecho extranjero. Esto hace que las exposiciones a la CLOUD Act, a la FISA 702 y similares sean legibles y auditables.
### 3. Cimiento para EUCS
El esquema paneuropeo de certificación de ciberseguridad [EUCS](/es/glossary/eucs/) se apoya considerablemente en C5. Los proveedores atestados por C5 estarán bien posicionados para EUCS.
### 4. Puente de los estándares internacionales a los alemanes
C5 se mapea con ISO 27001, ISO 27017, ISO 27018 y SOC 2. Los proveedores con esas certificaciones pueden conseguir C5 con un esfuerzo incremental, normalmente.
## Proveedores destacados atestados por C5
C5 está ampliamente presente entre proveedores cloud europeos y, cada vez más, entre las ofertas alemanas de los hiperscalers:
### Proveedores europeos con C5
- **Hetzner** — alternativa hiperscaler alemana
- **IONOS** — cloud y hosting alemanes
- **Open Telekom Cloud** — cloud de Deutsche Telekom
- **plusserver** — cloud gestionada alemana
- **STACKIT** — cloud empresarial del Grupo Schwarz
- Varios proveedores alemanes de servicios gestionados
### Hiperscalers
- **AWS** tiene atestación C5 para regiones alemanas
- **Microsoft Azure** tiene C5 para ofertas alemanas
- **Google Cloud** tiene C5 para regiones europeas
Nota: la atestación C5 de hiperscalers no resuelve la exposición a la CLOUD Act. C5 documenta la exposición; no la elimina.
## BSI C5 frente a otros esquemas
| Esquema | País | Alcance | Relación con C5 |
|--------|---------|-------|-------|
| BSI C5 | Alemania | Seguridad cloud | Este estándar |
| SecNumCloud | Francia | Seguridad cloud + soberanía | Más estricto en soberanía |
| [Cloud de Confiance](/es/glossary/cloud-de-confiance/) | Francia | Envoltura de soberanía | Construye sobre SecNumCloud |
| SOC 2 | EE. UU./internacional | Seguridad general | Solapamiento sustancial |
| ISO 27001/27017 | Internacional | Seguridad de la información | C5 se apoya en ellos |
| EUCS (borrador) | UE | Ciberseguridad cloud paneuropea | Probablemente incorpora elementos de C5 |
## Qué significa BSI C5 en la práctica
### Para compradores alemanes
La atestación C5 es la señal mínima creíble de seguridad cloud. La atestación de Tipo 2 es la expectativa del comprador.
### Para proveedores cloud europeos
C5 merece la inversión: la auditoría es rigurosa y costosa, pero abre el mercado alemán.
### Para SaaS transfronterizos
Si es un SaaS europeo que atiende a empresas alemanas, su infraestructura cloud necesita C5 aunque usted no lo tenga directamente: su proveedor debe tenerlo.
### Para la evaluación de soberanía
C5 por sí solo no es una certificación de soberanía. El equivalente alemán es el trabajo separado del BSI sobre criterios de soberanía cloud, que se basa en C5 más requisitos adicionales sobre la jurisdicción de control.
## Qué traerá 2026-2027
- **Revisión C5:2025** — actualizaciones periódicas alineadas con NIS2 y EUCS
- **Finalización de EUCS** — cuando EUCS aterrice, los proveedores atestados por C5 probablemente se verán favorecidos
- **Mayor rigor del comprador** — las empresas alemanas piden cada vez más C5 de Tipo 2 más un análisis explícito de la CLOUD Act
- **Ofertas soberanas de hiperscalers** — atestación C5 extendida a regiones soberanas dedicadas de hiperscalers
## Implicaciones prácticas
Para la mayoría de los compradores europeos de tecnología:
- **Si atiende a empresas alemanas**: su proveedor cloud necesita C5
- **Si evalúa proveedores cloud europeos**: la atestación C5 es una señal de calidad significativa
- **Si evalúa soberanía**: C5 documenta la exposición pero no la elimina; mire más allá de C5, hasta la estructura jurídica
- **Si es un comprador del sector público o de industria regulada alemán**: afecta directamente a su contratación
Para las decisiones SaaS cotidianas, el estado C5 de la infraestructura cloud de sus proveedores suele ser una base adecuada de diligencia debida.
¿Te resultó útil?
¡Gracias por tu opinión!