8 Min. Lesezeit Stand: 22.04.2026
Das NIS2-Umsetzungsgesetz ist seit 6. Dezember 2025 in Kraft, das KRITIS-Dachgesetz hat der Bundestag am 29. Januar 2026 angenommen. Das BSI hat mit C5:2026 einen überarbeiteten Kriterienkatalog für sicheres Cloud Computing veröffentlicht. Cloud-Betreiber in Deutschland müssen diese drei Regelwerke jetzt zusammen lesen, statt jedes einzeln abzuarbeiten. Wer die Triade nicht als Einheit denkt, verdoppelt Compliance-Kosten und baut Parallel-Strukturen, die niemand pflegen will.
Das Wichtigste in Kürze
- Drei Regelwerke gleichzeitig: NIS2-Umsetzungsgesetz (in Kraft seit 06.12.2025), KRITIS-Dachgesetz (Bundestag 29.01.2026) und BSI-Katalog C5:2026 greifen bei Cloud-Betreibern mit KRITIS-Relevanz parallel (Bundesregierung zur NIS2-Umsetzung).
- Skalierte Betroffenheit: Mehr als 30.000 Unternehmen in Deutschland fallen neu unter erweiterte Security-Pflichten. Cloud-Betreiber sind in vielen Fällen gleich dreifach adressiert: als wichtige oder besonders wichtige Einrichtung, als KRITIS-Anlage und als Auftragsverarbeiter für Dritte.
- C5:2026 neu justiert: Der überarbeitete Katalog des BSI umfasst 168 Kriterien in 17 Themenfeldern, mit neuen Anforderungen zu Container-Management, Post-Quanten-Kryptographie und Confidential Computing.
- Multi-Cloud ist möglich, aber nicht neutral: AWS, Microsoft Azure und Google Cloud erfüllen C5-Testate, aber der Scope pro Service unterscheidet sich. Wer mehrere Hyperscaler nutzt, muss pro KRITIS-Workload klären, welcher Cloud-Scope greift.
- Zeitfenster ist eng: Die NIS2-Registrierungs- und Meldepflichten sind scharfgestellt, erste BSI-Prüfungen auf Basis der neuen Rahmenwerke laufen im Sommer 2026 an.
VerwandtKI-Inference-Architektur für DACH 2026 / Reshoring im Mittelstand
Was genau gilt seit wann
Was ist KRITIS im regulatorischen Sinn? KRITIS bezeichnet kritische Infrastrukturen, deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen der öffentlichen Sicherheit auslösen würde. Zu den Sektoren gehören Energie, Wasser, Ernährung, IT und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr sowie Staat und Verwaltung. Der Gesetzgeber definiert Schwellenwerte pro Sektor, ab denen eine Anlage als KRITIS gilt und entsprechende Pflichten übernimmt.
Das NIS2-Umsetzungsgesetz hat den Adressatenkreis deutlich erweitert. Neben den klassischen KRITIS-Betreibern fallen ab sofort auch besonders wichtige und wichtige Einrichtungen unter erweiterte Security-Pflichten, was nach Analysen des BSI und des Fachportals OpenKRITIS auf etwa 30.000 Unternehmen in Deutschland zutrifft. Für Cloud-Betreiber ist das relevant, weil sie in vielen Fällen sowohl eigene IT-Infrastruktur als kritisch betreiben als auch Dienste für andere KRITIS-Einrichtungen liefern.
Das KRITIS-Dachgesetz, am 29. Januar 2026 vom Bundestag angenommen, ergänzt den Blickwinkel um physische Resilienz. Während NIS2 den Schwerpunkt auf Cybersecurity legt, zielt das Dachgesetz auf Schutz vor Naturgefahren, Sabotage und hybriden Bedrohungen. Für Rechenzentrumsbetreiber ist das ein Stichwort: Standortsicherheit, Zutrittskontrolle und Notstromversorgung bekommen zusätzlichen regulatorischen Rahmen.
Quelle: BSI Bundesamt für Sicherheit in der Informationstechnik, OpenKRITIS, Stand April 2026.
Was ist neu bei C5:2026
Der BSI-Kriterienkatalog C5 ist seit 2016 der Referenzrahmen für sicheres Cloud Computing in Deutschland. Die überarbeitete Fassung C5:2026 strukturiert die Prüfbereiche neu und fügt drei Themen ein, die in den Vorgängerversionen entweder fehlten oder nur am Rand vorkamen. Erstens Container-Management: Die Anforderungen an Runtime-Security, Image-Scanning und Netzwerk-Policies sind erweitert und expliziter formuliert. Zweitens Post-Quanten-Kryptographie: Cloud-Betreiber müssen einen dokumentierten Migrationspfad für langlebige schutzbedürftige Daten aufzeigen. Drittens Confidential Computing: Für Workloads mit hoher Schutzklasse wird die Nutzung hardwaregestützter Vertrauensräume wie Trusted Execution Environments in den Kriterienkatalog aufgenommen.
Für Cloud-Betreiber mit KRITIS-Relevanz ist C5 kein freiwilliges Testat mehr, sondern faktischer Industrie-Standard. Gesundheitsdienstleister müssen bereits seit Juli 2024 auf Basis des Digital-Gesetzes ein C5-Testat vorweisen, andere regulierte Branchen folgen in der Praxis. Die Prüfung erfolgt durch Wirtschaftsprüfer, die nach erfolgreicher Kontrolle die Erfüllung der Kriterien bescheinigen.
In der Praxis bedeutet das für DACH-Cloud-Teams: Wer C5-Testate nutzt, um Kundenanforderungen zu erfüllen, muss die neuen 2026er-Themen in den eigenen Prüfungszyklus einbauen. Wer Testate seiner Lieferanten prüft, sollte genau hinschauen, ob die Version 2026 oder noch die ältere Fassung zugrunde lag. Die Übergangsfristen sind im Katalog festgelegt und variieren je Thema.
Was Multi-Cloud in diesem Rahmen bedeutet
Die drei Hyperscaler AWS, Microsoft Azure und Google Cloud verfügen alle über C5-Testate für wesentliche Services, allerdings nicht flächendeckend. Jeder Anbieter definiert pro Service und Region, welche Zertifikate gelten und welche nicht. Für ein KRITIS-Workload, das über mehrere Hyperscaler verteilt läuft, ist der Scope-Vergleich deshalb keine Formsache.
Ein konkretes Beispiel. Wer ein Patientenverwaltungssystem in Deutschland betreibt, benötigt ein C5-Testat für die gesamte Kette. Wenn Datenbank und Applikation auf AWS Frankfurt laufen, der Analyse-Layer auf Azure Germany-West-Central und bestimmte Backup-Volumina über Google Cloud Europe-West3 abfließen, müssen die Testate pro Service vorliegen. Fehlt eines, fällt der gesamte Workload aus der C5-Konformität, bis der Lieferant die Lücke geschlossen hat oder das Teilsystem umgezogen ist.
Parallel greift das KRITIS-Dachgesetz auf Standortebene. Wer seine Hauptproduktivumgebung in einem Frankfurter Rechenzentrum mit bekannter Standortklassifizierung fährt und Disaster-Recovery in Irland, muss den DR-Standort in die Resilienz-Betrachtung einbeziehen, auch wenn er nicht primär genutzt wird. Die Kombination aus NIS2-Pflichten (Cybersecurity), KRITIS-Dachgesetz (physische Resilienz) und C5-Kriterien (Cloud-spezifische Prüfung) ergibt eine Matrix, die pro KRITIS-Workload individuell ausgearbeitet werden muss.
Gegenüberstellung der drei Regelwerke
| Dimension | NIS2-UmsG | KRITIS-Dachgesetz | BSI C5:2026 |
|---|---|---|---|
| Stand | In Kraft seit 06.12.2025 | Bundestag 29.01.2026 | Veröffentlicht 2026 |
| Schwerpunkt | Cyber-Security-Pflichten | Physische Resilienz | Cloud-Kriterienkatalog |
| Adressaten | KRITIS, wichtige und besonders wichtige Einrichtungen | Betreiber kritischer Anlagen | Cloud-Anbieter und -Nutzer |
| Prüf-/Nachweis-Form | Meldepflicht, BSI-Prüfung | Resilienz-Nachweis | Wirtschaftsprüfer-Testat |
| Neuerung 2026 | Erweiterter Adressatenkreis | Standort-Resilienz-Fokus | Container, PQC, Confidential Computing |
Quelle: BSI, BMI, offizielle Gesetzestexte Bundestag und Bundesrat, OpenKRITIS-Analysen, Stand April 2026.
Der pragmatische Umsetzungsplan
Für Cloud-Betreiber mit KRITIS-Relevanz hat sich in der Praxis ein Fünf-Schritt-Plan bewährt, der die drei Regelwerke als zusammengehörige Arbeitspakete behandelt. Erstens Inventar. Welche Workloads laufen wo, welche Klassifizierung haben sie, welche Lieferanten sind beteiligt. Ohne dieses Inventar ist jeder weitere Schritt im Blindflug.
Zweitens die Adressaten-Einstufung. Fällt die eigene Organisation als KRITIS, als wichtige oder als besonders wichtige Einrichtung unter NIS2 und wo greift das KRITIS-Dachgesetz zusätzlich. Die Einstufung bestimmt die Tiefe der Pflichten, den Reporting-Rhythmus und die Registrierungs-Modalitäten.
Drittens die Lieferanten-Matrix. Welcher Cloud-Service hat welches C5-Testat, in welcher Version, mit welchem Scope. An dieser Stelle landen in der Praxis die meisten Projekte in einer Excel-Tabelle, die dann mit jedem neuen Service-Launch aktualisiert werden muss. Spezialisierte GRC-Tools nehmen diesen Arbeitsschritt ab, sind aber nicht umsonst.
Viertens die Policy-Harmonisierung. Die eigenen internen Richtlinien für Zugriffsschutz, Incident-Reaktion, Datenklassifikation und Backup müssen mit den Anforderungen aus den drei Rahmenwerken abgeglichen werden. In vielen Organisationen gibt es historisch gewachsene Richtlinien, die mehrere Themen parallel regeln und an Kanten inkonsistent sind. Ein Harmonisierungs-Sprint klärt das und spart in späteren Audits erhebliche Diskussionszeit.
Fünftens das Audit-Rhythmus. Wer C5-Testate nutzt, plant den Prüfungszyklus mit dem Wirtschaftsprüfer. Wer NIS2-Reporting fährt, klärt den Rhythmus mit dem BSI. Wer KRITIS-Dachgesetz-Pflichten bedient, plant Resilienz-Übungen. Drei Zyklen in einer Jahresplanung parallel zu halten ist logistisch anspruchsvoll, aber beherrschbar, wenn ein GRC-Team dafür die Terminhoheit hat.
Was in der Praxis regelmässig schiefgeht
Zwei Fehler wiederholen sich in der Beratungspraxis. Der erste ist die Parallel-Organisation. Ein Team macht NIS2, ein anderes C5, ein drittes KRITIS-Dachgesetz. Niemand sieht die Überschneidungen. Das Ergebnis sind dreifach gepflegte Asset-Listen, widersprüchliche Incident-Prozesse und eine unnötig hohe Compliance-Rechnung. Wer die drei Themen von Anfang an zusammen plant, spart laut internen Analysen großer Rechenzentrumsbetreiber zwischen 20 und 40 Prozent der Aufwände.
Der zweite Fehler betrifft die Lieferanten-Abhängigkeit. Ein Cloud-Betreiber, der sein Testat auf einem Service des Hyperscalers aufbaut, der ein Vorab-Testat nutzt, steht im Ernstfall ohne aktuelle Bestätigung da, wenn der Hyperscaler den Service-Scope ändert. Solche Änderungen kommen häufiger vor als Unternehmen erwarten, weil die Cloud-Kataloge dynamisch wachsen. Ein vertragliches Change-Notification-Recht beim Lieferanten ist deshalb Standard geworden, aber nicht überall eingezogen.
Eine dritte Frage wird oft unterschätzt: Welche internen KPIs zeigen die Compliance an. Eine Prozess-Compliance ohne Metriken ist ein Audit-Thema im nächsten Zyklus. Wer die Reaktionszeit bei Incidents, die Zeit zwischen Patch-Verfügbarkeit und Deployment, die Testat-Abdeckung pro Workload und die Anzahl offener Findings in einer gemeinsamen Dashboard-Struktur hat, kann gegenüber Aufsichtsrat und BSI sprechen. Ohne diese Zahlen bleibt Compliance narrativ.
Eine vierte Lücke zeigt sich bei der Dokumentation der Meldeketten. NIS2 fordert eine Frühwarnung binnen 24 Stunden, eine Ausfuhr-Meldung binnen 72 Stunden und einen abschließenden Bericht binnen eines Monats. Das KRITIS-Dachgesetz ergänzt Meldewege für physische Ereignisse. Wer die Eskalationspfade nicht geübt hat, verliert im Ernstfall Stunden mit Abstimmung, die er für Analyse und Eindämmung braucht. Eine halbjährliche Tabletop-Übung mit der Rechts- und Kommunikations-Abteilung ist deshalb fester Teil einer reifen Compliance-Organisation, nicht nur optionales Beiwerk.
Ein fünfter Aspekt betrifft die Schnittstelle zum Versicherer. Cyber-Police-Konditionen haben sich in den letzten 18 Monaten spürbar verschärft. Versicherer fragen in der Police-Verhandlung im Audit-Interview heute nach C5-Testat-Version, NIS2-Einstufung und dokumentierten Incident-Response-Zeiten. Wer diese Unterlagen nicht griffbereit hat, riskiert Prämien-Aufschläge oder Leistungskürzungen im Schadensfall.
Fazit
NIS2-Umsetzungsgesetz, KRITIS-Dachgesetz und BSI C5:2026 sind kein Dreiklang zum Abhaken, sondern ein integriertes Regelwerk für Cloud-Betreiber mit KRITIS-Relevanz. Wer die drei Rahmen als Einheit behandelt, reduziert Aufwand und Risiko gleichzeitig. Wer sie getrennt fährt, baut Parallel-Strukturen, die im Audit kippen. Der Umsetzungsfahrplan bis zum Herbst ist eng, aber machbar, wenn Inventar, Lieferanten-Matrix und Policy-Harmonisierung jetzt starten. Der Unterschied zwischen einem gut und einem schlecht vorbereiteten Cloud-Betreiber wird im Q4 2026 sichtbar, wenn die ersten vollständigen Prüfzyklen laufen.
Häufige Fragen
Muss jedes Cloud-Startup jetzt die Compliance-Triade umsetzen?
Nein, die Schwellenwerte der NIS2-Umsetzung und der KRITIS-Verordnung grenzen den Adressatenkreis nach Größe, Sektor und Schwellenwerten ein. Für kleinere Anbieter ohne KRITIS-Bezug gelten weiterhin nur allgemeine IT-Sicherheitspflichten aus DSGVO und Telekommunikationsrecht. Ab wichtiger Einrichtung, besonders wichtiger Einrichtung oder KRITIS-Anlage wird die Triade relevant.
Welche Sektoren sind besonders stark betroffen?
Gesundheit, Finanzwesen, Energie, Verkehr und Staatliche Verwaltung stehen im Zentrum der erweiterten Pflichten. Cloud-Betreiber, die Dienste für diese Sektoren liefern, geraten häufig indirekt in den Geltungsbereich, weil ihre Kunden Testate und Nachweise fordern, die der Betreiber nur liefern kann, wenn er die Triade selbst umsetzt.
Reicht ein C5-Testat des Hyperscalers für die eigene Compliance?
Nein. Das C5-Testat des Hyperscalers deckt die Basis-Infrastruktur ab, nicht die eigene Applikation, die eigene Datenklassifizierung oder die eigenen Prozesse. Cloud-Betreiber brauchen in der Regel ein kombiniertes Testat, das eigene Services und genutzte Cloud-Komponenten zusammenführt.
Wie hängt das KRITIS-Dachgesetz mit NIS2 zusammen?
NIS2 adressiert Cyber-Sicherheit, das Dachgesetz physische Resilienz. In der praktischen Umsetzung überlappen sich Incident-Management, Risikoanalyse und Meldepflichten. Wer einen Prozess baut, der beide Rahmenwerke gleichzeitig erfüllt, spart Doppelarbeit und reduziert das Risiko widersprüchlicher Meldungen.
Was bedeutet Post-Quanten-Kryptographie im C5-Kontext?
C5:2026 fordert einen dokumentierten Migrationspfad für langlebige schutzbedürftige Daten. Das bedeutet nicht, dass alle heute eingesetzten Algorithmen sofort ersetzt werden müssen. Es bedeutet, dass Cloud-Betreiber einen Plan vorweisen, wie sie auf NIST-freigegebene quantenresistente Verfahren migrieren, welche Daten priorisiert sind und welche Übergangsfristen gelten.
Lesetipps der Redaktion
Mehr aus dem MBF Media Netzwerk
- Vercel-Breach als OAuth-Supply-Chain-Fall auf SecurityToday
- GenAI-Produktivbetrieb-Checkliste für CIOs auf Digital Chiefs
- EU Digital Omnibus im Trilog auf MyBusinessFuture
Quelle Titelbild: Pexels / Brett Sayles (px:5480781)
