Mittwoch, 8. Juli 2026 · KW 28 DE · EN · FR · ES Dunkel
Reboot Germany

C3A: Wie das BSI Cloud-Souveränität messbar macht

Cloud-Souveränität wird messbar: Das BSI zerlegt sie mit C3A in sechs prüfbare Dimensionen. Was das Beschaffungsinstrument für den IT-Einkauf bedeutet.

Von Tobias Massow 27. April 2026 5 Minuten Lesezeit
C3A: Wie das BSI Cloud-Souveränität messbar macht

Am 27. April 2026 hat das BSI mit dem C3A einen Kriterienkatalog veröffentlicht, der Cloud-Souveränität zum ersten Mal messbar macht. Das Werkzeug zerlegt Souveränität in sechs prüfbare Dimensionen, vom rechtlichen Zugriff bis zur Lieferkette. Für den IT-Einkauf ist es der erste Katalog, der Souveränität in konkrete Beschaffungs-Anforderungen übersetzt. Und es steht schon bereit, während die EU mit dem Cloud and AI Development Act noch am Gesetz arbeitet.

Das Wichtigste in Kürze

  • Souveränität wird messbar: Der C3A des BSI bewertet Cloud-Dienste entlang von sechs Souveränitäts-Dimensionen. Bauchgefühl wird durch ein prüfbares Raster ersetzt.
  • C3A baut auf C5 auf: Während C5 die technische Sicherheit testiert, bewertet C3A die Autonomie. Ein Anbieter muss die C5-Kriterien erfüllen, bevor C3A überhaupt greift.
  • Freiwillig und sofort einsetzbar: C3A ist ein freiwilliges Beschaffungswerkzeug ohne regulatorische Wirkung, das der IT-Einkauf ab sofort nutzen kann. Der EU Cloud and AI Development Act als Rechtsrahmen steckt dagegen noch im Verfahren.

Verwandt:Cloud-Souveränität: C5, Datenresidenz, Schlüsselhoheit  /  C5-Testate zwingen Mittelständler zum Cloud-Reverse

Was C3A von C5 und CADA unterscheidet

Drei Kürzel kreisen gerade um dasselbe Thema, meinen aber Verschiedenes. Wer Cloud beschafft, sollte sie sauber auseinanderhalten.

Was ist der C3A? Der C3A (Criteria enabling Cloud Computing Autonomy) ist ein Kriterienkatalog des BSI, der die Souveränitäts-Eigenschaften eines Cloud-Dienstes transparent und vergleichbar macht. Anbieter weisen die Erfüllung per Audit nach, Anwender bewerten ihre Nutzungsszenarien gegen die Kriterien und legen ein Ziel-Souveränitätsniveau für ihre Workloads fest.

Die Arbeitsteilung ist klar. C5 beantwortet, ob ein Cloud-Dienst technisch sicher betrieben wird. C3A baut darauf auf und bewertet, ob er sich im jeweiligen Risikokontext autonom nutzen lässt. Der EU Cloud and AI Development Act wiederum ist der Rechtsrahmen, der Souveränität zur Beschaffungspflicht machen will, aber noch im Gesetzgebungsverfahren steckt. C3A liefert das Messwerkzeug, das diese Pflicht später operationalisieren kann und schon heute verfügbar ist.

Die sechs Dimensionen der Cloud-Souveränität

Der C3A folgt dem European Cloud Sovereignty Framework und überführt dessen Faktoren in prüfbare Kriterien. Heraus kommen sechs Dimensionen, die zusammen ein Souveränitätsprofil ergeben. Zwei Bereiche des EU-Rahmens lässt das BSI bewusst aus: die Sicherheits- und Compliance-Souveränität deckt bereits C5 ab, die ökologische Nachhaltigkeit liegt außerhalb des BSI-Auftrags.

Dimension Worauf sie zielt
Strategische Souveränität Unabhängigkeit der eigenen Cloud-Strategie von einzelnen Anbietern und deren Roadmaps.
Datensouveränität Kontrolle über Speicherort, Zugriff und Verschlüsselung der eigenen Daten.
Rechtliche Souveränität Schutz vor fremdstaatlichem Zugriff durch Jurisdiktion und Vertragsrecht.
Operative Souveränität Fähigkeit, den Betrieb auch ohne den Anbieter aufrechtzuerhalten.
Lieferketten-Souveränität Transparenz und Kontrolle über die technischen Vorlieferanten des Dienstes.
Technologische Souveränität Verfügbarkeit offener Standards und die Möglichkeit, Komponenten zu ersetzen.

Quelle: BSI C3A, strukturiert nach EU Cloud Sovereignty Framework; Einordnung cloudmagazin

Der Charme der Aufteilung liegt darin, dass sie eine Pauschalfrage in sechs konkrete zerlegt. Niemand muss mehr beantworten, ob eine Cloud souverän ist. Stattdessen lässt sich pro Dimension ein Zielniveau festlegen und prüfen.

Was C3A für die Cloud-Beschaffung ändert

Für den IT-Einkauf verschiebt sich damit die Gesprächsgrundlage. Bisher war Souveränität ein Wort, das in jeder Ausschreibung auftauchte und in keiner messbar war. Mit C3A lässt sich ein Ziel-Souveränitätsniveau je Workload definieren und gegen das Profil eines Anbieters halten.

Drei Schritte sind unabhängig vom rechtlichen Status sinnvoll. Erstens die Workloads klassifizieren: Nicht jede Anwendung braucht das höchste Souveränitätsniveau, eine interne Testumgebung anders als ein Fachverfahren mit Personendaten. Zweitens das Anbieterprofil anfordern: Provider, die C3A ernst nehmen, können ihre Einstufung je Dimension belegen. Drittens die Lücke bewerten: Wo Ziel- und Ist-Niveau auseinanderfallen, entsteht entweder Verhandlungsbedarf oder ein Exit-Plan.

Dass C3A freiwillig ist, schwächt es weniger, als es klingt. Genau weil keine Pflicht dahinter steht, lässt es sich ohne politischen Überbau sofort in die nächste Beschaffung einbauen. Und wenn der EU-Rechtsrahmen kommt, hat das Werkzeug schon einen Praxistest hinter sich.

Häufige Fragen

Was ist der Unterschied zwischen C3A und C5?

C5 testiert, ob ein Cloud-Dienst technisch sicher betrieben wird. C3A baut darauf auf und bewertet, ob er sich im jeweiligen Risikokontext autonom, also souverän, nutzen lässt. C3A setzt voraus, dass der Anbieter die C5-Kriterien erfüllt.

Welche sechs Dimensionen prüft der C3A?

Strategische, Daten-, rechtliche, operative, Lieferketten- und technologische Souveränität. Die Sicherheits- und Nachhaltigkeitsbereiche des EU-Rahmens hat das BSI bewusst ausgelassen, weil C5 die Sicherheit abdeckt und Nachhaltigkeit außerhalb des Auftrags liegt.

Ist die Anwendung des C3A verpflichtend?

Nein. Der C3A ist ein freiwilliges Bewertungswerkzeug ohne direkte regulatorische Wirkung. Er kann aber als Grundlage dienen, wenn der EU Cloud and AI Development Act Souveränität später zur Beschaffungspflicht macht.

Wie nutzt der IT-Einkauf den C3A konkret?

Anwender legen je Workload ein Ziel-Souveränitätsniveau fest und gleichen es mit dem Profil eines Anbieters ab. Provider belegen ihre Einstufung je Dimension per Audit. Wo Ziel und Ist auseinanderfallen, entsteht Verhandlungs- oder Exit-Bedarf.

Ab wann ist der C3A verfügbar?

Das BSI hat den C3A am 27. April 2026 zunächst als englischsprachiges Dokument veröffentlicht. Eine deutsche Fassung war für das zweite Quartal 2026 angekündigt.

Quelle Titelbild: Pexels / Sergei Starostin (px:6466141)

Auch verfügbar in

FrançaisEspañolEnglish
MBF Media Newsletter

Das monatliche Briefing für Entscheider

Einmal im Monat bündelt der MBF Media Newsletter das Wichtigste aus cloudmagazin, MyBusinessFuture, Digital Chiefs und SecurityToday, kuratiert von der Redaktion.

25.000 IT- und Business-Entscheider lesen diesen Newsletter. Lesen Sie mit.

Kostenfrei abonnieren
MBF Media Newsletter, aktuelle Ausgabe auf dem iPhone
Ein Magazin der Evernine Media GmbH