Grundsätzlich stellt der Anforderungskatalog Cloud Computing (englischer Titel: Cloud Computing Compliance Criteria Catalogue, "C5") einen Mindeststandard der IT-Sicherheit für Cloud Service Provider (CSP) dar. CSP werden innerhalb der kritischen Dienstleistung "Datenspeicherung und Verarbeitung" bei Überschreitung des entsprechenden Schwellenwertes der BSI-Kritisverordnung als Kritische Infrastruktur klassifiziert. Ein bestandenes C5-Testat ist auch als Bestandteil eines Nachweises gemäß § 8a Absatz 3 BSIG verwertbar, sofern einige Rahmenbedingungen (siehe folgende Abschnitte) bei der Testierung eingehalten werden.

Der Geltungsbereich der Maßnahmen gemäß § 8a Absatz 1 BSIG sowie der Prüfgegenstand des Nachweises gemäß § 8a Absatz 3 BSIG müssen jeweils die gesamte betriebene Anlage nach BSI-Kritisverordnung (z. B. Serverfarm) umfassen. Damit bei Cloud Service Providern (CSP) für ihre Anlage der Nachweis über den C5 als Teil des Nachweises gemäß § 8a Absatz 3 BSIG ausreicht, muss für alle betriebsrelevanten informationstechnischen Dienste, Systeme, Komponenten oder Prozesse, die nicht über das C5-Testat geprüft werden, ebenfalls ein Nachweis der angemessenen Absicherung unter Berücksichtigung des Stands der Technik erbracht werden. Dies kann über eine Ausweitung des C5-Audits auf die bisher ungeprüften Teile des CSP oder über eine zusätzliche Prüfung erfolgen.

Das BSI-Gesetz fordert, für die betriebsrelevanten Teile der jeweiligen Anlagenkategorien dem Schutzbedarf (betrachtet für Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität) angemessene Maßnahmen zu ergreifen. Die Vermeidung von Versorgungsengpässen in der kritischen Dienstleistung ist im Kontext von KRITIS von sehr hoher Bedeutung. Daher ist die geeignete Festlegung des Schutzbedarfs der betriebsrelevanten Teile der Anlagenkategorie zu prüfen (vgl. § 8a Absatz 1 BSIG und § 8a Absatz 3 BSIG) und es sollte neben den Anforderungen des C5 darauf geachtet werden, dass die für die kritische Dienstleistung betriebsrelevanten Systeme einer resilienten Architektur unterliegen.

Das zentrale Anliegen bei der Risikobehandlung muss das Bewahren der Versorgungssicherheit der Gesellschaft bzw. die Einhaltung der mit den Kunden getroffenen Service Level Agreements (SLA) sein. Deshalb sind im Rahmen des Risikomanagements die Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität in Bezug auf die Aufrechterhaltung der kritischen Dienstleistung zu bewerten – eine rein betriebswirtschaftliche Betrachtung ist in der Regel nicht ausreichend. Als Anhaltspunkt für das Ausmaß eines Risikos für die Gesellschaft können die Folgen aus der Beeinträchtigung der Funktionsfähigkeit einer betriebenen Kritischen Infrastruktur herangezogen werden.

Außerdem dürfen Risiken im Geltungsbereich gemäß § 8a Absatz 1 BSIG nicht akzeptiert werden, sofern Sicherheitsvorkehrungen nach § 8a Absatz 1 BSIG möglich und angemessen sind. Auch wenn Risiken nicht vollumfänglich beseitigt werden können, müssen die Risiken soweit wie möglich angemessen reduziert werden, bevor eine Akzeptanz zulässig ist.

Weiterhin ersetzt eine Versicherung der Risiken nicht die geforderten Sicherheitsvorkehrungen. Eine angemessene Absicherung nach § 8a Absatz 1 BSIG bleibt erforderlich. Auch wenn Risiken nicht vollumfänglich beseitigt werden können, müssen die Risiken soweit wie möglich angemessen reduziert werden, bevor eine Versicherung zur Risikobehandlung zulässig ist. Der zusätzliche Abschluss von Versicherungen ist davon unbenommen.

Zudem sind die Vorgaben des C5 hinsichtlich der Umsetzung der Maßnahmen einzuhalten. Sind über die Anforderungen des C5 bzgl. der angemessenen Absicherung nach § 8a Absatz 1 BSIG für die Risikobehandlung weitere Maßnahmen zu ergreifen, so müssen diese für den Nachweis nach § 8a Absatz 3 BSIG umgesetzt sein oder sich zum Zeitpunkt des Nachweises in einem erwarteten Fortschrittsstadium befinden. Diese Maßnahmen und Mängel müssen in die Auflistung der Sicherheitsmängel aufgenommen werden.

Nachweise gemäß § 8a Absatz 3 BSIG müssen mindestens alle zwei Jahre erbracht werden. Dabei müssen die zu Grunde gelegten C5-Testate zum Zeitpunkt der Vorlage eines Nachweises aktuell sein, also nicht älter als ein Jahr. Ältere Nachweise können allenfalls in Form einer Dokumentenanalyse in den Nachweis einbezogen werden. Diese Nachweispflicht lässt sich problemlos in die Testierung des C5 integrieren.

Als geeigneter Nachweis ist neben dem aktuellen Testat zusätzlich eine Liste aufgedeckter Sicherheitsmängel einzureichen. Die Nachweise gemäß § 8a Absatz 3 BSIG sollten durch die Formulare des BSI und entsprechend der Hinweise der "Orientierungshilfe zu Nachweisen" eingereicht werden. Insbesondere ist ein Nachweis pro Anlage gemäß BSI-KritisV einzureichen, die Nachweise können aber auch in einer gemeinsamen Prüfung erzeugt werden.

Der Prüfer muss bei der Bewertung der Angemessenheit und Eignung der Risikobehandlung bzw. Maßnahmen die für KRITIS relevanten Aspekte (wie beispielsweise die Auswirkungen einer Störung auf die Gesellschaft/Versorgungssicherheit) berücksichtigen.

Die prüfende Stelle sollte neben den in C5 genannten Qualifikationen auch die Eignungskriterien gemäß der "Orientierungshilfe zu Nachweisen" erfüllen.