ITE-Blog // Analyse

BSI C3A: Was Cloud-Souveränität jetzt messbar macht

Themengebiete: Cloud-Souveränität, öffentliche Beschaffung, digitale Souveränität

Das BSI hat mit dem Kriterienkatalog C3A erstmals ein überprüfbares Framework vorgelegt, das bewertet, ob ein Cloud-Dienst wirklich souverän genutzt werden kann, nicht nur, ob er sicher ist. Was das für IT-Entscheider in der Praxis bedeutet.

Autor: : ITE-Redaktion

Veröffentlicht: 2. Juni 2026

Warum Sicherheit allein nicht mehr reicht

Lange war die Frage bei Cloud-Diensten binär: Ist der Anbieter sicher oder nicht? Der BSI-Kriterienkatalog C5 hat für diese Frage einen verlässlichen Rahmen geschaffen, der sich in der Praxis bewährt hat. Doch Sicherheit und Souveränität sind nicht dasselbe. Ein Cloud-Dienst kann alle C5-Kriterien erfüllen und dennoch strukturell abhängig machen: von einem Anbieter, dessen Rechtsrahmen außerhalb der EU liegt, dessen Anbieterwechsel prohibitiv aufwendig ist oder dessen Infrastruktur vollständig unter US CLOUD Act-Reichweite steht.
Genau diese Lücke schließt das BSI mit dem am 27. April 2026 veröffentlichten Kriterienkatalog C3A, kurz für Criteria enabling Cloud Computing Autonomy. Er ist keine Erweiterung des C5, sondern ein eigenständiger Rahmen, der C5-Konformität als Voraussetzung setzt und darüber hinaus bewertet, ob ein Cloud-Dienst selbstbestimmt genutzt werden kann.

Was C3A konkret bewertet

Der C3A adressiert eine Bedrohungsdimension, die das BSI als Cyber Dominance bezeichnet: die Möglichkeit von Cloud-Anbietern, dauerhaft Einfluss auf die Systeme und Daten ihrer Kunden zu behalten, auch unabhängig von klassischen Angriffsvektoren. In der Praxis geht es um Fragen wie: Kann ich den Anbieter wechseln, ohne prohibitiv hohe Migrationskosten zu tragen? Behalte ich tatsächliche Kontrolle über meine Daten, auch wenn der Anbieter seinen Betrieb einstellt oder unter Druck gerät? Bin ich durch Lizenz- oder Vertragsstrukturen faktisch gebunden?

Die Kriterien lassen sich in Anlehnung an das europäische Cloud Sovereignty Framework strukturieren, an dem sich der C3A explizit orientiert. Anbieter können die Einhaltung zukünftig durch ein unabhängiges Audit nachweisen, das sich an den bestehenden C5-Testierungsprozessen orientiert und damit den Aufwand für Anbieter handhabbar halten soll. Für Nutzer bietet der C3A eine strukturierte Methodik, um das eigene angestrebte Souveränitätsniveau für verschiedene Workloads und Szenarien zu definieren.

Was das für Beschaffungsentscheider bedeutet

Für IT-Entscheider in Unternehmen und Behörden hat der C3A unmittelbare praktische Konsequenzen. Wer Cloud-Dienste für sensible Bereiche beschafft oder bereits nutzt, sollte jetzt prüfen, ob die bestehenden Verträge und Architekturen den C3A-Kriterien standhalten würden. Das ist keine akademische Übung: Das BSI plant, den C3A mittelfristig in seinen Beratungsempfehlungen zu verankern, und das europäische Cloud Sovereignty Framework, auf dem der C3A aufbaut, ist bereits heute ein Bewertungsmaßstab in EU-Vergabeverfahren.
Behörden, Betreiber kritischer Infrastrukturen und Unternehmen mit erhöhtem Schutzbedarf werden den C3A bei ihrer Anbieterauswahl faktisch berücksichtigen müssen, auch wenn er rechtlich zunächst nicht verbindlich ist. Das ist die bekannte Dynamik, die der C5 bereits durchlaufen hat: Vom freiwilligen Framework zum de-facto-Marktstandard.

Die Verbindung zum CADA (Cloud and AI Development Act)

Der C3A entfaltet seinen vollen Wert im Zusammenspiel mit dem geplanten Cloud and AI Development Act, den die Europäische Kommission am 3. Juni 2026 als Teil des Tech-Souveränitätspakets vorgelegt hat. Der CADA führt ein EU-weites Vier-Stufen-Souveränitätsmodell für Cloud-Dienste ein und verpflichtet öffentliche Stellen zur Prüfung ihrer Abhängigkeiten. C3A-konforme Anbieter werden in diesem Modell nachweisen können, dass sie auf relevanten Stufen operieren. Das ist ein konkreter Wettbewerbsvorteil.
Für europäische IT-Anbieter entsteht damit eine Chance: Wer jetzt in C3A-Konformität investiert und diese durch Audit nachweisen kann, positioniert sich für eine Beschaffungslandschaft, in der Souveränität kein Soft-Kriterium mehr ist, sondern dokumentierter Entscheidungsbestandteil.

Was der ITE daraus ableitet

Der ITE sieht im C3A einen wichtigen Schritt in die richtige Richtung. Souveränität messbar zu machen ist die Voraussetzung dafür, dass europäische IT-Anbieter ihren Vorsprung gegenüber außereuropäischen Hyperscalern auch in Vergabeverfahren geltend machen können. Qualität, Sicherheit und Wertschöpfung aus Europa müssen durch überprüfbare Kriterien sichtbar werden, nicht durch Lippenbekenntnisse.

Gleichzeitig bleibt eine offene Frage: Der C3A bewertet technische und vertragliche Souveränität. Er bewertet nicht, ob Entwicklung, Betrieb und wirtschaftliche Wertschöpfung tatsächlich in Europa stattfinden. Diese Dimension wird das ITE-Gütesiegel IT aus Europa adressieren, das derzeit in der Betaphase entwickelt wird und genau diesen Nachweis europäischer Wertschöpfung in den Mittelpunkt stellt. C3A und ITE-Gütesiegel sind damit keine Konkurrenten, sondern komplementäre Instrumente für eine vollständige Souveränitätsbewertung.

Der C3A-Audit-Leitfaden wird in den kommenden Monaten vom BSI veröffentlicht. Bis dahin lohnt es sich, den Kriterienkatalog bereits in laufende Cloud-Beschaffungsprozesse einzubeziehen. Wer früh damit beginnt, wird keine böse Überraschung erleben, wenn der C3A zum Marktstandard wird.

Gemeinsam die Zukunft europäischer IT gestalten

Sysfacts GmbH ist bereits dabei — sind Sie es auch?

Immer mehr Unternehmen und Fachleute aus der europäischen IT-Branche gestalten den ITE aktiv mit. Als Mitglied bringen Sie Ihre Perspektive ein, vernetzen sich mit Gleichgesinnten und stärken gemeinsam die digitale Souveränität Europas.

Jetzt Mitglied werden