Woordenlijst · EU-cyberveiligheid BSI C5 (Cloud Computing Compliance Criteria Catalogue)
Standaard van het Duitse federale cyberveiligheidsagentschap (BSI) die de minimale beveiligingsbasis definieert voor cloudservices voor de Duitse publieke sector en gereguleerde sectoren. Algemeen beschouwd als het Duitse equivalent van SOC 2.
## Wat BSI C5 precies is
BSI C5 — Cloud Computing Compliance Criteria Catalogue — is de cloudbeveiligingsstandaard die wordt gepubliceerd door het **Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI)**. Voor het eerst gepubliceerd in 2016 (C5) en herzien in 2020 (C5:2020), definieert deze standaard een uitgebreide beveiligingsbasis voor cloudservices en het auditproces waarmee aanbieders compliance kunnen aantonen.
C5 is qua reikwijdte vergelijkbaar met SOC 2 (VS) of ISO 27001/27017 (internationaal), maar afgestemd op **Duitse wettelijke en regulatorische eisen** en wordt algemeen beschouwd als de feitelijke cloudbeveiligingsstandaard voor Duitse afnemers in de publieke sector en gereguleerde industrieën.
## Wat BSI C5 omvat
C5:2020 bevat ongeveer **125 controls** verdeeld over 17 gebieden, waaronder:
- Organisatie van informatiebeveiliging
- Personeelsbeveiliging
- Assetmanagement
- Fysieke beveiliging
- Operationele beveiliging
- Identiteits- en toegangsbeheer
- Cryptografie
- Communicatiebeveiliging
- Overdraagbaarheid en interoperabiliteit
- Inkoop, ontwikkeling en wijziging
- Controle en monitoring van aanbieders en leveranciers
- Incidentbeheer
- Bedrijfscontinuïteit
- Compliance
- Omgang met onderzoeksverzoeken van overheidsinstanties
- Productveiligheid en -beveiliging
- Privacy
Het controlegebied voor de omgang met onderzoeksverzoeken is bijzonder belangrijk voor **soevereiniteitsbeoordeling** — het beschrijft hoe de aanbieder omgaat met dataverzoeken van buitenlandse overheden, waar Amerikaanse [CLOUD Act](/nl/glossary/cloud-act/)-blootstelling zichtbaar wordt.
## Hoe BSI C5-audits werken
BSI C5 hanteert een **attestatiemodel** vergelijkbaar met SOC 2:
### Type 1-attestatie
Auditor verifieert dat controls op een bepaald moment passend zijn ontworpen. Lagere kosten; sneller.
### Type 2-attestatie
Auditor verifieert dat controls effectief hebben gefunctioneerd over een gedefinieerde periode (doorgaans 6-12 maanden). Rigoureuzer; dit is wat gereguleerde afnemers verwachten.
Audits worden uitgevoerd door onafhankelijke, door BSI gekwalificeerde auditors. Het auditrapport (C5 Attestation Report) wordt onder vertrouwelijkheid gedeeld met klanten van de aanbieder.
## Waarom BSI C5 belangrijk is
### 1. Toegang tot de Duitse markt
Voor cloudaanbieders die Duitse ondernemingen willen bedienen, met name in gereguleerde sectoren (banken onder BaFin, gezondheidszorg onder SGB, publieke sector onder federale aanbestedingen), is C5-attestatie feitelijk vereist.
### 2. Brengt soevereiniteitsblootstelling aan het licht
Controlegebied BC-01 van C5 ('Omgang met onderzoeksverzoeken van overheidsinstanties') dwingt aanbieders om hun blootstelling aan buitenlands recht te documenteren. Hierdoor worden blootstellingen aan CLOUD Act, FISA 702 en vergelijkbare regels leesbaar en auditeerbaar.
### 3. Fundament voor EUCS
Het pan-Europese [EUCS](/nl/glossary/eucs/)-cyberveiligheidscertificeringsschema bouwt in belangrijke mate voort op C5. Aanbieders met C5-attestatie zijn goed gepositioneerd voor EUCS.
### 4. Brug van internationale naar Duitse standaarden
C5 sluit aan op ISO 27001, ISO 27017, ISO 27018 en SOC 2. Aanbieders met die certificeringen kunnen doorgaans met beperkte extra inspanning C5 behalen.
## Opvallende C5-geattesteerde aanbieders
C5 wordt breed gevoerd door Europese cloudaanbieders en steeds vaker door de Duitse aanbiedingen van hyperscalers:
### Europese aanbieders met C5
- **Hetzner** — Duits hyperscaleralternatief
- **IONOS** — Duitse cloud en hosting
- **Open Telekom Cloud** — cloud van Deutsche Telekom
- **plusserver** — Duitse managed cloud
- **STACKIT** — enterprise cloud van Schwarz Group
- Diverse Duitse managed-service-providers
### Hyperscalers
- **AWS** heeft C5-attestatie voor Duitse regio's
- **Microsoft Azure** heeft C5 voor Duitse aanbiedingen
- **Google Cloud** heeft C5 voor Europese regio's
Let op: C5-attestatie bij hyperscalers lost de blootstelling aan de CLOUD Act niet op. C5 documenteert de blootstelling; het elimineert die niet.
## BSI C5 versus andere regelingen
| Regeling | Land | Reikwijdte | Relatie tot C5 |
|--------|---------|-------|-------|
| BSI C5 | Duitsland | Cloudbeveiliging | Deze standaard |
| SecNumCloud | Frankrijk | Cloudbeveiliging + soevereiniteit | Strenger op soevereiniteit |
| [Cloud de Confiance](/nl/glossary/cloud-de-confiance/) | Frankrijk | Soevereiniteitsomhulsel | Bouwt voort op SecNumCloud |
| SOC 2 | VS/internationaal | Algemene beveiliging | Aanzienlijk overlappend |
| ISO 27001/27017 | Internationaal | Informatiebeveiliging | C5 bouwt hierop voort |
| EUCS (concept) | EU | Pan-Europese cloudcyber | Neemt waarschijnlijk C5-elementen op |
## Wat BSI C5 in de praktijk betekent
### Voor Duitse afnemers
C5-attestatie is het minimaal geloofwaardige cloudbeveiligingssignaal. Type 2-attestatie is de verwachting van de afnemer.
### Voor Europese cloudaanbieders
C5 is investeringswaardig: de audit is rigoureus en duur maar opent de Duitse markt.
### Voor grensoverschrijdende SaaS
Bent u een Europese SaaS die Duitse ondernemingen bedient, dan moet uw cloudinfrastructuur C5 hebben, ook al heeft u die zelf niet — uw aanbieder moet dat wel.
### Voor soevereiniteitsbeoordeling
C5 alleen is geen soevereiniteitscertificering. Het Duitse equivalent is het aparte werk van BSI rond criteria voor cloudsoevereiniteit, dat voortbouwt op C5 plus aanvullende eisen aan de controlejurisdictie.
## Wat 2026-2027 brengt
- **C5:2025-revisie** — periodieke updates afgestemd op NIS2 en EUCS
- **Afronding van EUCS** — wanneer EUCS landt, zullen C5-geattesteerde aanbieders waarschijnlijk in het voordeel zijn
- **Toenemende afnemersrigor** — Duitse ondernemingen vragen vaker om Type 2 C5 plus expliciete CLOUD Act-analyse
- **Soevereine aanbiedingen van hyperscalers** — C5-attestatie uitgebreid naar speciale soevereine hyperscalerregio's
## Praktische implicaties
Voor de meeste Europese techinkopers:
- **Als u Duitse ondernemingen bedient**: uw cloudaanbieder moet C5 hebben
- **Als u Europese cloudaanbieders evalueert**: C5-attestatie is een betekenisvol kwaliteitssignaal
- **Als u soevereiniteit beoordeelt**: C5 documenteert blootstelling, maar elimineert die niet — kijk verder dan C5 naar de juridische structuur
- **Als u een Duitse afnemer in de publieke sector of gereguleerde sector bent**: dit raakt uw aanbesteding direct
Voor alledaagse SaaS-keuzes is C5-status van de cloudinfrastructuur van uw aanbieders meestal een afdoende due-diligence-basis.
Was dit nuttig?
Bedankt voor je feedback!