Die Bedrohung durch Cyberangriffe nimmt in Europa weiter. Neben Cyber Crime und Cyber Conflict rückt Cyber Dominance in den Focus. Digitale Souveränität steht im Vordergrund, da Cloud-Dienste besonders betroffen sind. Das BSI veröffentlicht C3A – Criteria enabling Cloud Computing Autonomy als Reaktion darauf.

Die neuen Kriterien schaffen Transparenz. C3A ermöglicht eine Bewertung von Cloud-Souveränität. Das Modell unterstützt Entscheidungen, weil shared responsibility model die Verantwortung zwischen Kunden und Anbietern teilt. Die Nutzung von Cloud-Diensten wird eingegrenzt, weil Cloud-Kunden nicht alle Parameter selbst bestimmen können.

Der Kriterienrahmen wird praktisch angewendet, da Cloud-Anbieter die Einhaltung der Kriterien durch ein Audit nachweisen können. Cloud-Kunden nutzen das Framework, weil sie Anforderungen an ihre Souveränität definieren können. Das BSI plant weitere Schritte, um einen Leitfaden für C3A-Audits zu veröffentlichen.

Die C3A sind modular aufgebaut: Kriterien und Zusatzkriterien sind getrennt definiert. Die Auswahl richtet sich nach Bedarf, da die Lokalisierung von Datenzentren und Herkunft des Personals berücksichtigt werden kann. Unternehmen entscheiden flexibel, ob Rechenzentren in Deutschland oder der EU gewählt werden.

Der Rahmen orientiert sich an europäischen Standards EU CSF als Grundlage. Die C3A ergänzen bestehende Regeln – sie bauen auf C5-Kriterien auf. Die Die Einführung erfolgt schrittweise. Eine deutschsprachige Version für das 2. Q. 2026 geplant.