Person arbeitet an einem Laptop mit visualisierten Cloud- und Sicherheits-Symbolen. Das Bild steht sinnbildlich für digitale Souveränität, Cloud-Sicherheit und den neuen BSI-C3A-Katalog für öffentliche Cloud-Beschaffungen.
News

Digitale Souveränität: BSI veröffentlicht C3A-Katalog für die Cloud-Beschaffung

22.05.2026

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit den Criteria enabling Cloud Computing Autonomy (C3A) einen neuen Standard für die digitale Souveränität von Cloud-Diensten vorgestellt. Während der bekannte C5-Katalog die technische Sicherheit fokussiert, dient C3A als Hilfestellung für Vergabestellen, um die Kontrolle über die eigene IT-Infrastruktur zu wahren. Der Katalog bietet erstmals konkrete Anhaltspunkte, wie Souveränitätsaspekte als Steuerungselemente in öffentlichen Ausschreibungen genutzt werden können.

C5 trifft C3A: Technische Sicherheit vs. IT-Autonomie

Die Beschaffung von Cloud-Leistungen wird durch das BSI nun zweigleisig betrachtet:

  • C5 (Cloud Computing Compliance Criteria Catalogue): Fokus auf die reine technische Sicherheit und Informationssicherheit.
  • C3A (Criteria enabling Cloud Computing Autonomy): Fokus auf die digitale Souveränität. Hierbei geht es um die Unabhängigkeit von Anbietern und die Kontrolle über Datenflüsse.

Relevanz für die öffentliche Vergabe

Obwohl die Anwendung von C3A derzeit nicht verpflichtend vorgeschrieben ist, erhofft sich das BSI eine starke Signalwirkung für Vergabeverfahren. Öffentliche Auftraggeber können den Rahmen nutzen, um Kriterien festzulegen wie:

  • Standort der Rechenzentren: Wo werden die Daten physisch verarbeitet?
  • Herkunft des Betriebspersonals: Wer hat administrativen Zugriff auf die Systeme?
  • Kontrolle: Wie einfach lassen sich Daten migrieren oder Anbieter wechseln (Vermeidung von Vendor Lock-in)?

Zeitplan und Verfügbarkeit

Das Dokument umfasst aktuell 16 Seiten und liegt in englischer Sprache vor. Das BSI plant folgende Ergänzungen für das Jahr 2026:

  • Deutsche Fassung: Veröffentlichung bis zum Sommer geplant.
  • Audit-Leitfaden: Ein spezifischer Leitfaden für C3A-Audits befindet sich in Vorbereitung, um die Einhaltung der Kriterien überprüfbar zu machen.

FAQ

Was ist der Unterschied zwischen BSI C5 und C3A?
C5 bewertet die technische Informationssicherheit von Cloud-Anbietern. C3A ergänzt dies um Kriterien zur digitalen Souveränität, also die Fähigkeit des Kunden, die Kontrolle über seine Daten und IT-Prozesse unabhängig vom Anbieter zu behalten.

Ist der C3A-Katalog für öffentliche Vergaben verpflichtend?
Nein, die Anwendung ist aktuell optional. Er dient jedoch als fachliche Hilfestellung und “vergaberelevante Steuerungswirkung” für Behörden, die Souveränitätsziele in ihren Ausschreibungen verankern wollen.

Welche Aspekte der digitalen Souveränität prüft das BSI mit C3A?
Geprüft werden unter anderem die Transparenz der Datenverarbeitung, der Standort der Infrastruktur, die personellen Zuständigkeiten sowie die Portabilität von Daten beim Anbieterwechsel.

Quellen:

Wissen

Diese Beiträge könnten Sie auch interessieren

22.05.2026 | News

Digitale Souveränität: BSI veröffentlicht C3A-Katalog für die Cloud-Beschaffung

Das Bundesamt für Sicherheit in der Informationstechnik hat Kriterien für die digitale Souveränität von Cloud-Diensten vorgestellt. Damit gibt es Tipps, die über die technische Sicherheit hinausgehen.
Mehr erfahren
18.05.2026 | News

Berlin plant Novelle des Ausschreibungs- und Vergabegesetzes

Das Berliner Abgeordnetenhaus arbeitet derzeit an einer Novelle des Ausschreibungs- und Vergabegesetzes. Die Wertgrenzen sollen deutlich höher werden, doch auch die Tariftreue spielt eine große Rolle.
Mehr erfahren
18.05.2026 | News

EU veröffentlicht Bericht zu Vergabe-Konsultationen

1.037 Personen haben sich an den Konsultationen zur Vereinfachung und Modernisierung der EU-Vergaberegeln beteiligt. Die Kommission hat die Vorschläge und Einlassungen nun zusammengefasst.
Mehr erfahren
29.04.2026 | News

Bremen plant Anhebung der Wertgrenzen für Direktvergaben

Mit einer Anhebung der Wertgrenzen wollen die Regierungsfraktionen in Bremen die öffentliche Auftragsvergabe entbürokratisieren. Läuft alles nach Plan, kann das Gesetz noch dieses Jahr in Kraft treten.
Mehr erfahren
29.04.2026 | News

Vergabebeschleunigungsgesetz passiert das Parlament

Mit deutlich höheren Wertgrenzen und Erleichterungen bei den Nachweispflichten hat der Deutsche Bundestag jetzt das neue Vergabebeschleunigungsgesetz beschlossen. Der Bundesrat muss noch zustimmen.
Mehr erfahren
20.04.2026 | News

Hessen vor Änderung des Vergabe- und Tariftreuegesetzes

So wie andere Bundesländer ist auch das schwarz-rote Hessen dabei, seine Vergaberegelungen zu erleichtern. Gleichzeitig ändert das Land auch die Tariftreueregelungen, um Lohndumping zu unterbinden.
Mehr erfahren
13.04.2026 | News

Hamburger Senat bringt Tariftreueregelung auf den Weg

Lohndumping verhindern, Tariftreue stärken – mit dieser Begründung hat der Hamburger Senat beschlossen, eine Tariftreueregelung in das Vergabegesetz aufzunehmen. Die Bürgerschaft muss noch zustimmen.
Mehr erfahren
13.04.2026 | News

Jahresbericht 2025: Beschaffungsamt des BMI meldet sinkende Lieferantenzahlen

Das Beschaffungsamt des Bundesinnenministeriums (BeschA) hat seinen Jahresbericht 2025 vorgelegt. Auffällig: Die Gesamtzahl der Lieferanten sinkt seit 2023. Die Anzahl neuer Lieferanten blieb konstant.
Mehr erfahren
30.03.2026 | News

Deutsche Sozialversicherung gegen starke Regulierung im EU-Vergaberecht

Die Europavertretung der deutschen Sozialversicherung hält das EU-Vergaberecht für überreguliert und fordert mehr Effizienz. In einem Positionspapier spricht sie sich für eine weitgehende Deregulierung aus.
Mehr erfahren
27.03.2026 | News

Schleswig-Holstein ändert Vergabeverordnung: Höhere Wertgrenzen geplant

Um Vergabestellen zu entlasten und Bietern die Teilnahme an Ausschreibungen für öffentliche Aufträge zu erleichtern, will Schleswig-Holstein seine Vergabeverordnung ändern. Höhere Wertgrenzen sind geplant.
Mehr erfahren
Zum Wissensbereich