BSI C3A: Der neue Maßstab für Cloud-Souveränität

Neu: EU CAPTCHA – DSGVO-konformer Bot-Schutz. Jetzt 3 Monate kostenlos testen.

SECURITY INSIGHTS | 30. April 2026

Das BSI hat mit der Veröffentlichung der „Criteria enabling Cloud Computing Autonomy“ (C3A) am 27. April 2026 erstmals einen Bewertungsrahmen für digitale Souveränität im Cloud-Bereich aufgezeigt. Das bisher politische Schlagwort bekommt damit konkrete Kriterien und eine klare Messlatte für Anbieter.

Die Anforderungen der „Criteria enabling Cloud Computing Autonomy“ (C3A) setzen voraus, dass der Cloud-Anbieter die BSI-C5-Kriterien erfüllt. Des Weiteren gliedern sie sich in Kriterien und Zusatzkriterien, die je nach Anwendungsfall und Kundenanforderung herangezogen werden können. Grundsätzlich übernehmen die C3A Struktur und Ziele des EU Cloud Sovereignty Framework (EU CSF) und führen dessen "contributing factors" in überprüfbare Kriterien über, ergänzt um weitere Aspekte.

Zwei Kategorien des EU CSF decken die C3A bewusst nicht ab: SOV-7 Security & Compliance und SOV-8 Environmental Sustainability. Erstere wird unter anderem bereits durch BSI C5:2026 und BSI IT-Grundschutz adressiert, letztere Kategorie fällt nicht in den Zuständigkeitsbereich des BSI.

Die sechs Souveränitätsdimensionen der BSI C3A

Schwerpunkte

SOV-1 Strategische Souveränität

Anbieter muss seinen Sitz in der EU haben und effektiv von europäischen Einheiten kontrolliert werden (Eigentümerstruktur, Governance, strategische Unabhängigkeit).

SOV-2 Rechtliche und gerichtliche Souveränität

Unterstellung unter EU-Rechtsordnung, Schutz vor extraterritorialem Zugriff (z. B. CLOUD Act); Auditrechte aus Vertrag oder Gesetz, möglichst auf Basis bestehender Audits wie C5 oder SOC 2 Type 2, unter Wahrung von Sicherheits- und Vertraulichkeitsprotokollen.

SOV-3 Datensouveränität

Schlüsselmanagement, Identitätsprovider sowie Logging und Monitoring; Kunden müssen die Kontrolle über ihre Verschlüsselungs-Keys behalten.

SOV-4 Operative Souveränität

„Disconnect-Fähigkeit“ (SOV-4-09-C) und EU-Staatsbürgerschaft des Personals für bestimmte operative Rollen (SOV-4-01-C1/C2), um unbefugten Datenzugriff durch ausländische Staaten zu verhindern; im Disconnect-Fall müssen Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gewahrt bleiben, mit dokumentiertem und mindestens jährlich getestetem Entkopplungsprozess.

SOV-5 Souveränität der Lieferkette

Abhängigkeiten von Hardware, Software und externen Diensten; verpflichtende Angabe der verwendeten Softwarekomponenten sowie Liste der Softwareanbieter, inklusive Software Bill of Materials (SBOM); Liste relevanter Hardwarelieferanten mit Herkunftsländern, Mitigationsstrategien und architektonische Flexibilität zur Substitution von Hardwarekomponenten.

SOV-6 Technologische Souveränität

Verfügbarkeit des Quellcodes für den Cloud-Anbieter, sodass der Cloud-Betrieb jederzeit ohne externe Abhängigkeiten gewährleistet werden kann; Backups von Quellcode und Dokumentation in der EU, damit der Betrieb auch bei Abbruch der Zusammenarbeit mit Drittanbietern gesichert bleibt.

Kriterienbereich

Schwerpunkte

SOV-1 Strategische Souveränität	Anbieter muss seinen Sitz in der EU haben und effektiv von europäischen Einheiten kontrolliert werden (Eigentümerstruktur, Governance, strategische Unabhängigkeit).
SOV-2 Rechtliche und gerichtliche Souveränität	Unterstellung unter EU-Rechtsordnung, Schutz vor extraterritorialem Zugriff (z. B. CLOUD Act); Auditrechte aus Vertrag oder Gesetz, möglichst auf Basis bestehender Audits wie C5 oder SOC 2 Type 2, unter Wahrung von Sicherheits- und Vertraulichkeitsprotokollen.
SOV-3 Datensouveränität	Schlüsselmanagement, Identitätsprovider sowie Logging und Monitoring; Kunden müssen die Kontrolle über ihre Verschlüsselungs-Keys behalten.
SOV-4 Operative Souveränität	„Disconnect-Fähigkeit“ (SOV-4-09-C) und EU-Staatsbürgerschaft des Personals für bestimmte operative Rollen (SOV-4-01-C1/C2), um unbefugten Datenzugriff durch ausländische Staaten zu verhindern; im Disconnect-Fall müssen Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gewahrt bleiben, mit dokumentiertem und mindestens jährlich getestetem Entkopplungsprozess.
SOV-5 Souveränität der Lieferkette	Abhängigkeiten von Hardware, Software und externen Diensten; verpflichtende Angabe der verwendeten Softwarekomponenten sowie Liste der Softwareanbieter, inklusive Software Bill of Materials (SBOM); Liste relevanter Hardwarelieferanten mit Herkunftsländern, Mitigationsstrategien und architektonische Flexibilität zur Substitution von Hardwarekomponenten.
SOV-6 Technologische Souveränität	Verfügbarkeit des Quellcodes für den Cloud-Anbieter, sodass der Cloud-Betrieb jederzeit ohne externe Abhängigkeiten gewährleistet werden kann; Backups von Quellcode und Dokumentation in der EU, damit der Betrieb auch bei Abbruch der Zusammenarbeit mit Drittanbietern gesichert bleibt.

Warum das jetzt relevant ist

Die C3A-Anfoderungen sind zunächst nicht verbindlich, können aber im Rahmen von Gesetzgebung oder Ausschreibungen künftig als Mindestanforderung deklariert werden. Ähnlich war es auch bei den BSI-C5-Kriterien der Fall, die heute im Gesundheitsbereich gesetzlich verankert sind und deren Erfüllung häufig in Ausschreibungen vorausgesetzt wird.

Wer als Unternehmen, Behörde oder KRITIS-Betreiber auf einen Cloud-Anbieter setzt, der einer außereuropäischen Jurisdiktion unterliegt, geht operative Risiken ein. Hinzu kommt die juristische Dimension: Anbieter unter US-amerikanischen Recht können beispielsweise durch Gesetze wie den CLOUD Act zur Herausgabe von Daten verpflichtet werden, unabhängig davon, wo die Daten physisch gelagert sind. Die C3A machen diese Risiken systematisch sichtbar und somit auch bewertbar für die jeweiligen Betroffenen.

Myra ist vorbereitet

Myra verfügt als deutscher Cloud-Anbieter für Application und Network Security über ein BSI-C5-Testat (Typ 2) und ist nach ISO 27001 auf Basis von BSI IT-Grundschutz zertifiziert. In den C3A-Dimensionen strategische Souveränität (SOV-1), Lieferketten-Souveränität (SOV-5) und Technologie-Souveränität (SOV-6) erreicht Myra praktisch eine lückenlose Erfüllung. Auch hinsichtlich der rechtlichen Souveränität (SOV-2) stehen unsere Kunden auf der sicheren Seite: Myra unterliegt ausschließlich deutschem bzw. europäischem Recht: Nicht EU-Behörden haben keine Zugriffsmöglichkeiten auf Daten oder Systeme.

Mit Blick auf die C3A-Kriterien des BSI ist Myra heute schon ein Best-Practice-Beispiel für souveränes Cloud-Computing in Deutschland. Wir liefern unseren Kunden nicht nur Schutz vor Cyberangriffen, sondern auch die Gewissheit, dass dieser Schutz unter ausschließlich deutscher und europäischer Kontrolle bereitgestellt wird.

Profitieren Sie von digital souveräner Cybersicherheit mit Myra:

1. Verlässliche Cyberresilienz: Ausfallsichere Verfügbarkeit und Datensicherheit im Einklang mit europäischen Gesetzen und Werten – ohne Risiken durch politische Einflussnahme oder fremdes Recht.

2. Wahrung der Datenhoheit: Einhaltung von EU-Datenschutzstandards schafft Vertrauen und schützt sowohl Kunden- als auch Geschäftsdaten, etwa dank DSGVO-konformer TLS-Terminierung.

3. Weniger Regulatorik-Aufwand: Effizientere Umsetzung und nachweisbare Einhaltung nationaler oder europäischer Anforderungen an Cybersicherheit wie NIS-2, DORA oder Cyber Resilience Act (CRA).

4. Robuste Lieferkette: Keine abrupten Preiserhöhungen oder Zugangsbeschränkungen aufgrund von Zollkriegen, Handelsbarrieren oder anderen geopolitischen Entwicklungen.

Über den Autor

Christina Schlatte

Global Communications Managerin

Über den Autor

Christina Schlatte ist als Global Communications Managerin bei Myra für die internationale Kommunikation sowie den strategischen Ausbau globaler PR- und Kommunikationsmaßnahmen verantwortlich. Sie bringt außerdem einen journalistischen Hintergrund mit: Bei einer österreichischen Tageszeitung sammelte sie erste Erfahrungen im redaktionellen Umfeld und entwickelte ein feines Gespür für Sprache und Storytelling. Ihr Studium der International Relations legte anschließend den Grundstein für ihre Arbeit in der globalen PR & Kommunikation.