Die Aktualisierungen des "Cloud Computing Compliance Criteria Catalogue"-Kriterienkatalogs (C5) [1] umfassen sowohl die formalen Regelungen als auch die Kriterien des C5, die an den aktuellen Stand der Technik angepasst wurden. Dabei sind die Erfahrungen von Cloudnutzern, -anbietern und -prüfern in die Revision eingeflossen. Der C5 enthält außerdem eine neue Domäne zur Produktsicherheit und berücksichtigt damit nun auch die Regelungen und Anforderungen des 2019 in Kraft getretenen EU Cybersecurity Acts. Zudem wurde – insbesondere für kleinere Cloudanbieter – der Nachweisweg über die direkte Prüfung eröffnet.

Der "Cloud Computing Compliance Criteria Catalogue" (C5) richtet sich an professionelle Cloud-Diensteanbieter, deren Prüfer und Kunden. Der C5 legt fest, welche Kriterien das interne Kontrollsystem der Cloud-Anbieter erfüllen muss beziehungsweise auf welche Anforderungen der Cloudanbieter mindestens verpflichtet werden sollte. Der Nachweis, dass ein Cloudanbieter die Anforderungen des Katalogs einhält und die Aussagen zur Transparenz korrekt sind, wird durch Bericht nach dem Wirtschaftsprüferstandard ISAE 3402 beziehungsweise IDW PS 951 erbracht. Dieser Bericht basiert auf einer Prüfung nach dem internationalen Wirtschaftsprüferstandard ISAE 3000.

dr

[1] https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/Kriterienkatalog/C5_AktuelleVersion/C5_AktuelleVersion_node.html