Person arbeitet an einem Laptop mit visualisierten Cloud- und Sicherheits-Symbolen. Das Bild steht sinnbildlich für digitale Souveränität, Cloud-Sicherheit und den neuen BSI-C3A-Katalog für öffentliche Cloud-Beschaffungen.
News

Digitale Souveränität: BSI veröffentlicht C3A-Katalog für die Cloud-Beschaffung

Deutschland, 22.05.2026

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit den Criteria enabling Cloud Computing Autonomy (C3A) einen neuen Standard für die digitale Souveränität von Cloud-Diensten vorgestellt. Während der bekannte C5-Katalog die technische Sicherheit fokussiert, dient C3A als Hilfestellung für Vergabestellen, um die Kontrolle über die eigene IT-Infrastruktur zu wahren. Der Katalog bietet erstmals konkrete Anhaltspunkte, wie Souveränitätsaspekte als Steuerungselemente in öffentlichen Ausschreibungen genutzt werden können.

C5 trifft C3A: Technische Sicherheit vs. IT-Autonomie

Die Beschaffung von Cloud-Leistungen wird durch das BSI nun zweigleisig betrachtet:

  • C5 (Cloud Computing Compliance Criteria Catalogue): Fokus auf die reine technische Sicherheit und Informationssicherheit.
  • C3A (Criteria enabling Cloud Computing Autonomy): Fokus auf die digitale Souveränität. Hierbei geht es um die Unabhängigkeit von Anbietern und die Kontrolle über Datenflüsse.

Relevanz für die öffentliche Vergabe

Obwohl die Anwendung von C3A derzeit nicht verpflichtend vorgeschrieben ist, erhofft sich das BSI eine starke Signalwirkung für Vergabeverfahren. Öffentliche Auftraggeber können den Rahmen nutzen, um Kriterien festzulegen wie:

  • Standort der Rechenzentren: Wo werden die Daten physisch verarbeitet?
  • Herkunft des Betriebspersonals: Wer hat administrativen Zugriff auf die Systeme?
  • Kontrolle: Wie einfach lassen sich Daten migrieren oder Anbieter wechseln (Vermeidung von Vendor Lock-in)?

Zeitplan und Verfügbarkeit

Das Dokument umfasst aktuell 16 Seiten und liegt in englischer Sprache vor. Das BSI plant folgende Ergänzungen für das Jahr 2026:

  • Deutsche Fassung: Veröffentlichung bis zum Sommer geplant.
  • Audit-Leitfaden: Ein spezifischer Leitfaden für C3A-Audits befindet sich in Vorbereitung, um die Einhaltung der Kriterien überprüfbar zu machen.

FAQ

Was ist der Unterschied zwischen BSI C5 und C3A?
C5 bewertet die technische Informationssicherheit von Cloud-Anbietern. C3A ergänzt dies um Kriterien zur digitalen Souveränität, also die Fähigkeit des Kunden, die Kontrolle über seine Daten und IT-Prozesse unabhängig vom Anbieter zu behalten.

Ist der C3A-Katalog für öffentliche Vergaben verpflichtend?
Nein, die Anwendung ist aktuell optional. Er dient jedoch als fachliche Hilfestellung und “vergaberelevante Steuerungswirkung” für Behörden, die Souveränitätsziele in ihren Ausschreibungen verankern wollen.

Welche Aspekte der digitalen Souveränität prüft das BSI mit C3A?
Geprüft werden unter anderem die Transparenz der Datenverarbeitung, der Standort der Infrastruktur, die personellen Zuständigkeiten sowie die Portabilität von Daten beim Anbieterwechsel.

Quellen:

Wissen

Diese Beiträge könnten Sie auch interessieren

10.06.2026 | News

Neue Regeln gegen Arzneimittelknappheit auf EU-Ebene

Die EU will Anreize für die heimische Produktion von Medikamenten setzen. Ein Baustein der neuen Strategie sind veränderte Regeln bei der öffentlichen Vergabe.
Mehr erfahren
01.06.2026 | News

ESG-Score: Schnelle Vergleichbarkeit von Nachhaltigkeitsaspekten in der Beschaffung

Kann der sogenannte ESG-Score es schaffen, mehr Nachhaltigkeit in die öffentliche Beschaffung zu bringen? Das Werkzeug will Produkte unter Nachhaltigkeitsaspekten schnell vergleichbar machen.
Mehr erfahren
28.05.2026 | News

Digitale Souveränität: EU vergibt Cloud-Aufträge an europäische Anbieter

Diversität und digitale Souveränität sind die beiden Grundsätze, die bestimmend waren für eine EU-Ausschreibung für Cloud-Dienste. Die Kommission vergab vier Aufträge für die kommenden sechs Jahre.
Mehr erfahren
28.05.2026 | News

Start-up-Beschaffungsindex 2024/2025: Hohe Erfolgsquoten trotz kleiner Marktanteile

Das Kompetenzzentrum innovative Beschaffung (Koinno) hat den Start-up-Beschaffungsindex aktualisiert. Start-ups sind bei der Auftragsvergabe in Industrie und Chemie, IT sowie F&E besonders präsent.
Mehr erfahren
22.05.2026 | News

Digitale Souveränität: BSI veröffentlicht C3A-Katalog für die Cloud-Beschaffung

Das Bundesamt für Sicherheit in der Informationstechnik hat Kriterien für die digitale Souveränität von Cloud-Diensten vorgestellt. Damit gibt es Tipps, die über die technische Sicherheit hinausgehen.
Mehr erfahren
18.05.2026 | News

Berlin plant Novelle des Ausschreibungs- und Vergabegesetzes

Das Berliner Abgeordnetenhaus arbeitet derzeit an einer Novelle des Ausschreibungs- und Vergabegesetzes. Die Wertgrenzen sollen deutlich höher werden, doch auch die Tariftreue spielt eine große Rolle.
Mehr erfahren
18.05.2026 | News

EU veröffentlicht Bericht zu Vergabe-Konsultationen

1.037 Personen haben sich an den Konsultationen zur Vereinfachung und Modernisierung der EU-Vergaberegeln beteiligt. Die Kommission hat die Vorschläge und Einlassungen nun zusammengefasst.
Mehr erfahren
29.04.2026 | News

Bremen plant Anhebung der Wertgrenzen für Direktvergaben

Mit einer Anhebung der Wertgrenzen wollen die Regierungsfraktionen in Bremen die öffentliche Auftragsvergabe entbürokratisieren. Läuft alles nach Plan, kann das Gesetz noch dieses Jahr in Kraft treten.
Mehr erfahren
29.04.2026 | News

Vergabebeschleunigungsgesetz passiert das Parlament

Mit deutlich höheren Wertgrenzen und Erleichterungen bei den Nachweispflichten hat der Deutsche Bundestag jetzt das neue Vergabebeschleunigungsgesetz beschlossen. Der Bundesrat muss noch zustimmen.
Mehr erfahren
20.04.2026 | News

Hessen vor Änderung des Vergabe- und Tariftreuegesetzes

So wie andere Bundesländer ist auch das schwarz-rote Hessen dabei, seine Vergaberegelungen zu erleichtern. Gleichzeitig ändert das Land auch die Tariftreueregelungen, um Lohndumping zu unterbinden.
Mehr erfahren
Zum Wissensbereich