Glossario · Cybersicurezza UE BSI C5 (Cloud Computing Compliance Criteria Catalogue)
Standard dell'agenzia federale tedesca per la cybersicurezza (BSI) che definisce la base minima di sicurezza per i servizi cloud destinati al settore pubblico tedesco e alle industrie regolamentate. Considerato ampiamente l'equivalente tedesco di SOC 2.
## Cosa è davvero il BSI C5
Il BSI C5 — Cloud Computing Compliance Criteria Catalogue — è lo standard di sicurezza cloud pubblicato dal **Bundesamt für Sicherheit in der Informationstechnik (BSI), l'Ufficio federale tedesco per la sicurezza informatica**. Pubblicato per la prima volta nel 2016 (C5) e rivisto nel 2020 (C5:2020), definisce una base di sicurezza completa per i servizi cloud e il processo di audit con cui i fornitori possono dimostrare la conformità.
Il C5 ha portata simile a SOC 2 (USA) o ISO 27001/27017 (internazionale), ma è adattato ai **requisiti giuridici e regolamentari tedeschi** ed è considerato di fatto lo standard di sicurezza cloud per gli acquirenti tedeschi del settore pubblico e delle industrie regolamentate.
## Cosa copre il BSI C5
Il C5:2020 comprende circa **125 controlli** distribuiti in 17 aree, tra cui:
- Organizzazione della sicurezza delle informazioni
- Sicurezza del personale
- Gestione degli asset
- Sicurezza fisica
- Sicurezza operativa
- Gestione delle identità e degli accessi
- Crittografia
- Sicurezza delle comunicazioni
- Portabilità e interoperabilità
- Approvvigionamento, sviluppo e modifica
- Controllo e monitoraggio di fornitori e subappaltatori
- Gestione degli incidenti
- Continuità operativa
- Conformità
- Gestione delle richieste investigative delle autorità governative
- Sicurezza dei prodotti
- Privacy
L'area di controllo sulla gestione delle richieste investigative è particolarmente importante per la **valutazione della sovranità**: affronta come il fornitore gestisce le richieste di dati da parte di governi stranieri, dove l'esposizione al [CLOUD Act](/it/glossary/cloud-act/) statunitense diventa visibile.
## Come funzionano gli audit BSI C5
Il BSI C5 utilizza un **modello di attestazione** simile a SOC 2:
### Attestazione di Tipo 1
L'auditor verifica che i controlli siano progettati in modo adeguato in un determinato momento. Costo inferiore; più rapida.
### Attestazione di Tipo 2
L'auditor verifica che i controlli abbiano operato efficacemente per un periodo definito (in genere 6-12 mesi). Più rigorosa; è ciò che si aspettano gli acquirenti regolamentati.
Gli audit sono eseguiti da revisori indipendenti qualificati dal BSI. Il rapporto di audit (C5 Attestation Report) viene condiviso con i clienti del fornitore in regime di riservatezza.
## Perché il BSI C5 è importante
### 1. Accesso al mercato tedesco
Per i fornitori cloud che vogliono servire imprese tedesche, in particolare in settori regolamentati (banche soggette alla BaFin, sanità sotto l'SGB, settore pubblico negli appalti federali), l'attestazione C5 è di fatto obbligatoria.
### 2. Rivela l'esposizione alla sovranità
Il controllo BC-01 del C5 ('Gestione delle richieste investigative delle autorità governative') obbliga i fornitori a documentare la propria esposizione al diritto estero. Ciò rende le esposizioni al CLOUD Act, alla FISA 702 e simili leggibili e verificabili.
### 3. Fondamento per EUCS
Lo schema di certificazione paneuropeo di cybersicurezza [EUCS](/it/glossary/eucs/) si fonda in misura sostanziale sul C5. I fornitori attestati C5 saranno ben posizionati per EUCS.
### 4. Ponte dagli standard internazionali a quelli tedeschi
Il C5 si mappa su ISO 27001, ISO 27017, ISO 27018 e SOC 2. I fornitori che hanno tali certificazioni possono generalmente ottenere il C5 con uno sforzo incrementale.
## Fornitori attestati C5 di rilievo
Il C5 è ampiamente diffuso tra i fornitori cloud europei e, sempre di più, tra le offerte tedesche degli iperscaler:
### Fornitori europei con C5
- **Hetzner** — alternativa iperscaler tedesca
- **IONOS** — cloud e hosting tedeschi
- **Open Telekom Cloud** — cloud di Deutsche Telekom
- **plusserver** — cloud gestito tedesco
- **STACKIT** — cloud enterprise del Gruppo Schwarz
- Vari fornitori tedeschi di servizi gestiti
### Iperscaler
- **AWS** dispone dell'attestazione C5 per le regioni tedesche
- **Microsoft Azure** ha il C5 per le offerte tedesche
- **Google Cloud** ha il C5 per le regioni europee
Nota: l'attestazione C5 degli iperscaler non risolve l'esposizione al CLOUD Act. Il C5 documenta l'esposizione; non la elimina.
## BSI C5 vs. altri schemi
| Schema | Paese | Ambito | Relazione con C5 |
|--------|---------|-------|-------|
| BSI C5 | Germania | Sicurezza cloud | Questo standard |
| SecNumCloud | Francia | Sicurezza cloud + sovranità | Più rigoroso sulla sovranità |
| [Cloud de Confiance](/it/glossary/cloud-de-confiance/) | Francia | Involucro di sovranità | Si basa su SecNumCloud |
| SOC 2 | USA/internazionale | Sicurezza generale | Sovrapposizione significativa |
| ISO 27001/27017 | Internazionale | Sicurezza delle informazioni | C5 vi si basa |
| EUCS (bozza) | UE | Cyber cloud paneuropea | Probabilmente incorpora elementi del C5 |
## Cosa significa il BSI C5 in pratica
### Per gli acquirenti tedeschi
L'attestazione C5 è il segnale minimo credibile di sicurezza cloud. L'attestazione di Tipo 2 è l'aspettativa dell'acquirente.
### Per i fornitori cloud europei
Il C5 merita l'investimento: l'audit è rigoroso e costoso, ma apre il mercato tedesco.
### Per i SaaS transfrontalieri
Se siete un SaaS europeo che serve imprese tedesche, la vostra infrastruttura cloud ha bisogno del C5 anche se non lo avete direttamente: deve averlo il vostro fornitore.
### Per la valutazione della sovranità
Il C5 da solo non è una certificazione di sovranità. L'equivalente tedesco è il lavoro separato del BSI sui criteri di sovranità cloud, che si basa sul C5 con requisiti aggiuntivi sulla giurisdizione di controllo.
## Cosa porta il 2026-2027
- **Revisione C5:2025** — aggiornamenti periodici allineati ai lavori NIS2 ed EUCS
- **Finalizzazione di EUCS** — se e quando EUCS arriverà, i fornitori attestati C5 saranno probabilmente avvantaggiati
- **Maggiore rigore degli acquirenti** — le imprese tedesche richiedono sempre più C5 di Tipo 2 con analisi esplicita del CLOUD Act
- **Offerte sovrane degli iperscaler** — attestazione C5 estesa a regioni iperscaler sovrane dedicate
## Implicazioni pratiche
Per la maggior parte degli acquirenti tecnologici europei:
- **Se servite imprese tedesche**: il vostro fornitore cloud ha bisogno del C5
- **Se state valutando fornitori cloud europei**: l'attestazione C5 è un segnale di qualità significativo
- **Se state valutando la sovranità**: il C5 documenta l'esposizione ma non la elimina — guardate oltre il C5, alla struttura giuridica
- **Se siete un acquirente tedesco del settore pubblico o di un'industria regolamentata**: vi riguarda direttamente negli appalti
Per le scelte SaaS quotidiane, lo stato C5 dell'infrastruttura cloud dei vostri fornitori è di solito una base adeguata di due diligence.
Ti è stato utile?
Grazie per il tuo feedback!