Person arbeitet an einem Laptop mit visualisierten Cloud- und Sicherheits-Symbolen. Das Bild steht sinnbildlich für digitale Souveränität, Cloud-Sicherheit und den neuen BSI-C3A-Katalog für öffentliche Cloud-Beschaffungen.
News

Digitale Souveränität: BSI veröffentlicht C3A-Katalog für die Cloud-Beschaffung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit den Criteria enabling Cloud Computing Autonomy (C3A) einen neuen Standard für die digitale Souveränität von Cloud-Diensten vorgestellt. Während der bekannte C5-Katalog die technische Sicherheit fokussiert, dient C3A als Hilfestellung für Vergabestellen, um die Kontrolle über die eigene IT-Infrastruktur zu wahren. Der Katalog bietet erstmals konkrete Anhaltspunkte, wie Souveränitätsaspekte als Steuerungselemente in öffentlichen Ausschreibungen genutzt werden können.

C5 trifft C3A: Technische Sicherheit vs. IT-Autonomie

Die Beschaffung von Cloud-Leistungen wird durch das BSI nun zweigleisig betrachtet:

  • C5 (Cloud Computing Compliance Criteria Catalogue): Fokus auf die reine technische Sicherheit und Informationssicherheit.
  • C3A (Criteria enabling Cloud Computing Autonomy): Fokus auf die digitale Souveränität. Hierbei geht es um die Unabhängigkeit von Anbietern und die Kontrolle über Datenflüsse.

Relevanz für die öffentliche Vergabe

Obwohl die Anwendung von C3A derzeit nicht verpflichtend vorgeschrieben ist, erhofft sich das BSI eine starke Signalwirkung für Vergabeverfahren. Öffentliche Auftraggeber können den Rahmen nutzen, um Kriterien festzulegen wie:

  • Standort der Rechenzentren: Wo werden die Daten physisch verarbeitet?
  • Herkunft des Betriebspersonals: Wer hat administrativen Zugriff auf die Systeme?
  • Kontrolle: Wie einfach lassen sich Daten migrieren oder Anbieter wechseln (Vermeidung von Vendor Lock-in)?

Zeitplan und Verfügbarkeit

Das Dokument umfasst aktuell 16 Seiten und liegt in englischer Sprache vor. Das BSI plant folgende Ergänzungen für das Jahr 2026:

  • Deutsche Fassung: Veröffentlichung bis zum Sommer geplant.
  • Audit-Leitfaden: Ein spezifischer Leitfaden für C3A-Audits befindet sich in Vorbereitung, um die Einhaltung der Kriterien überprüfbar zu machen.

FAQ

Was ist der Unterschied zwischen BSI C5 und C3A?
C5 bewertet die technische Informationssicherheit von Cloud-Anbietern. C3A ergänzt dies um Kriterien zur digitalen Souveränität, also die Fähigkeit des Kunden, die Kontrolle über seine Daten und IT-Prozesse unabhängig vom Anbieter zu behalten.

Ist der C3A-Katalog für öffentliche Vergaben verpflichtend?
Nein, die Anwendung ist aktuell optional. Er dient jedoch als fachliche Hilfestellung und “vergaberelevante Steuerungswirkung” für Behörden, die Souveränitätsziele in ihren Ausschreibungen verankern wollen.

Welche Aspekte der digitalen Souveränität prüft das BSI mit C3A?
Geprüft werden unter anderem die Transparenz der Datenverarbeitung, der Standort der Infrastruktur, die personellen Zuständigkeiten sowie die Portabilität von Daten beim Anbieterwechsel.

Quellen:

Wissen

Diese Beiträge könnten Sie auch interessieren

29.06.2026 | News

Gebrauchtmöbel in der öffentlichen Beschaffung – eine Hilfestellung

Wie kann man die Beschaffung gebrauchter Waren in Vergabeprozessen umsetzen? Zu dieser Frage gibt es nun für die Produktgruppe von Möbeln eine Hilfestellung der AG Zirkuläre Beschaffung.
Mehr erfahren
29.06.2026 | News

Portal für Lieferantennetzwerk in der Verteidigungsbranche

Damit Unternehmen der Sicherheits- und Verteidigungsindustrie sich vernetzen können, gibt es die Plattform „SVI Connect“. Auch Firmen der zivilen Wirtschaft, die Fuß fassen wollen, können sich darstellen.
Mehr erfahren
29.06.2026 | News

Neue Vorgaben für die Beschaffung von Recycling-Kunststoffe

Das Umweltbundesamt hat einen Leitfaden zur öffentlichen Beschaffung von recycelten Produkten aus Kunststoff aktualisiert. Insbesondere der Anbieterfragebogen kann auch für Unternehmen wertvoll sein.
Mehr erfahren
29.06.2026 | News

Regelungen zu Nachhaltigkeit: Aktualisierte Musterunterlagen für Cateringleistungen

Damit wiederkehrende Vergabeverfahren standardisiert durchgeführt werden können, gibt es Musterunterlagen, die für die Vergabe von Cateringleistungen aktualisiert wurden.
Mehr erfahren
29.06.2026 | News

Aktionsplan für mehr Kreislaufwirtschaft betrifft auch die öffentliche Hand

Um die Nationale Kreislaufwirtschaftsstrategie umzusetzen, hat das Bundeskabinett einen Aktionsplan beschlossen. Die Vorgaben für die öffentliche Beschaffung darin fallen weniger streng aus als geplant.
Mehr erfahren
10.06.2026 | News

Neue Regeln gegen Arzneimittelknappheit auf EU-Ebene

Die EU will Anreize für die heimische Produktion von Medikamenten setzen. Ein Baustein der neuen Strategie sind veränderte Regeln bei der öffentlichen Vergabe.
Mehr erfahren
01.06.2026 | News

ESG-Score: Schnelle Vergleichbarkeit von Nachhaltigkeitsaspekten in der Beschaffung

Kann der sogenannte ESG-Score es schaffen, mehr Nachhaltigkeit in die öffentliche Beschaffung zu bringen? Das Werkzeug will Produkte unter Nachhaltigkeitsaspekten schnell vergleichbar machen.
Mehr erfahren
28.05.2026 | News

Digitale Souveränität: EU vergibt Cloud-Aufträge an europäische Anbieter

Diversität und digitale Souveränität sind die beiden Grundsätze, die bestimmend waren für eine EU-Ausschreibung für Cloud-Dienste. Die Kommission vergab vier Aufträge für die kommenden sechs Jahre.
Mehr erfahren
28.05.2026 | News

Start-up-Beschaffungsindex 2024/2025: Hohe Erfolgsquoten trotz kleiner Marktanteile

Das Kompetenzzentrum innovative Beschaffung (Koinno) hat den Start-up-Beschaffungsindex aktualisiert. Start-ups sind bei der Auftragsvergabe in Industrie und Chemie, IT sowie F&E besonders präsent.
Mehr erfahren
22.05.2026 | News

Digitale Souveränität: BSI veröffentlicht C3A-Katalog für die Cloud-Beschaffung

Das Bundesamt für Sicherheit in der Informationstechnik hat Kriterien für die digitale Souveränität von Cloud-Diensten vorgestellt. Damit gibt es Tipps, die über die technische Sicherheit hinausgehen.
Mehr erfahren
Zum Wissensbereich