Mit der Veröffentlichung des BSI C5:2026 am 7. April 2026 ist Personalsicherheit kein „Nice-to-have“ mehr, sondern ein hartes Prüfkriterium.
Hintergrund & Relevanz Am 7. April 2026 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den neuen Cloud Computing Compliance Criteria Catalogue (C5:2026) veröffentlicht. Mit 168 Kriterien in 17 Kontrollbereichen setzt dieser Standard den Goldstandard für Cloud-Sicherheit in Deutschland und bildet die Basis für das europäische EUCS Substantial Level. Während Cloud-Anbieter traditionell massiv in technische Schutzmaßnahmen wie Verschlüsselung und Netzwerksicherheit investieren, rückt nun ein oft vernachlässigter Bereich in den Fokus der Auditoren: Die Personalsicherheit (HR). https://validato.com/de-de/artikel/bsi-c5-2026-und-hr-01-personalsicherheit-rechtssicher-auditieren
Das „Blinde-Fleck-Phänomen“ in der Compliance In der Vorbereitung auf C5-Audits konzentrieren sich Unternehmen meist auf technische Kontrollen, während der Kontrollbereich 5.3 (Personnel) oft stiefmütterlich behandelt wird. Dies führt regelmäßig zu Abweichungen im Audit, da strukturierte Pre-Employment-Checks, dokumentierte Rollenklassifizierungen oder periodische Wiederholungsprüfungen fehlen. Das BSI hat mit der Version 2026 die Anforderungen in diesem Bereich (HR-01 bis HR-08) erheblich geschärft und in prüfbare Unterkriterien übersetzt. https://validato.com/de-de/artikel/bsi-c5-personalsicherheit-so-automatisieren-sie-vertrauen-mit-validato
Die Kernanforderungen von HR-01 Das zentrale Kriterium für Background Checks ist HR-01 (Verification of Qualification and Trustworthiness). Es verlangt vom Cloud-Anbieter:
* Die Identifikation aller Rollen in der Produktionsumgebung, die Zugriff auf Kundendaten oder Systemkomponenten haben.
* Eine Verifikation der Kompetenz und Integrität vor der Einstellung.
* Konkrete Maßnahmen wie Identitätsprüfung, CV-Verifikation, Prüfung akademischer Titel, polizeiliche Führungszeugnisse und – wo zulässig – eine Bonitätsprüfung zur Bewertung der Erpressbarkeit.
* Die Einbeziehung von internem Personal, externen Mitarbeitenden und Subunternehmern gleichermaßen.
Regulatorischer Druck durch DORA, NIS2 und DigiG Die Erfüllung dieser Kriterien ist längst keine freiwillige Option mehr. Cloud-Dienste im Gesundheitswesen benötigen seit Juli 2024 (DigiG) ein C5-Testat. Im Finanzsektor macht die DORA-Verordnung IT-Dienstleister zu kritischen Drittparteien, wobei das C5-Testat als anerkannter Nachweis gilt. Auch die NIS2-Richtlinie fordert strukturierte Konzepte zur Personalsicherheit. https://validato.com/de-de/artikel/rechtssichere-bewerberuberprufung-so-schutzen-sie-ihr-unternehmen-in-deutschland
Automatisierung als Lösung Das BSI hält explizit fest, dass spezialisierte Dienstleister die Verifikation von Qualifikation und Vertrauenswürdigkeit unterstützen können. Unternehmen wie die Validato AG bieten hierfür digitale, DSGVO-konforme Lösungen an, die den gesamten Prozess – vom Onboarding bis zur jährlichen Wiederholungsprüfung (HR-01.01AC) – auditfähig automatisieren. Dies löst das Problem der Silo-Strukturen zwischen IT und HR und stellt sicher, dass alle Nachweise für den Auditor per Knopfdruck bereitstehen.
Verantwortlicher für diese Pressemitteilung:
Validato AG
Herr Reto Marti
Claridenstraße 34
8002 Zürich
Schweiz
fon ..: +41 44 515 77 77
web ..: https://www.validato.com
email : reto.marti@validato.com
Validato ist Anbieter digitaler Lösungen zur Integritätsprüfungen, Background Checks und für Human Risk Management. Die Plattform wird von Unternehmen in regulierten Branchen zur Einhaltung von Compliance-Anforderungen eingesetzt.
Pressekontakt:
Validato AG
Herr Reto Marti
Claridenstraße 34
8002 Zürich
fon ..: +41 44 515 77 77
email : reto.marti@validato.com