Mit der Veröffentlichung des neuen Kriterienkatalogs „Criteria enabling Cloud Computing Autonomy“ (C3A) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen wichtigen Impuls für die Diskussion rund um digitale Souveränität in Deutschland und Europa gesetzt.
Als IAMCP German Chapter begrüßen wir diesen Schritt ausdrücklich. Der neue Rahmen schafft Transparenz und bietet Unternehmen, Behörden und Organisationen eine strukturierte Orientierung bei der Bewertung von Cloud-Diensten im Kontext von Souveränität, Kontrolle und regulatorischen Anforderungen.
Gleichzeitig sehen wir aktuell eine zunehmende Unsicherheit im Markt, insbesondere bei der praktischen Einordnung und Interpretation der neuen Kriterien.
C3A ist ein Leitfaden – keine gesetzliche Vorgabe
Ein zentraler Punkt aus Sicht der IAMCP Community:
Der C3A-Katalog ist ausdrücklich nicht rechtsverbindlich und stellt keine verpflichtende Mindestanforderung dar. Das BSI beschreibt C3A selbst als Transparenz- und Bewertungsrahmen, nicht als regulatorische Vorschrift.
Das bedeutet:
Cloud-Entscheidungen müssen weiterhin individuell, risikobasiert und abhängig vom jeweiligen Use Case getroffen werden.
Eine pauschale Auslegung nach dem Prinzip „nur die höchste Souveränitätsstufe ist zulässig“ halten wir für kritisch, sowohl aus technologischer als auch wirtschaftlicher Perspektive.
Risikobasiert statt One-size-fits-all
Gerade in Kundenprojekten zeigt sich aktuell, dass viele Unternehmen Orientierung suchen:
- Welche Anforderungen gelten tatsächlich?
- Welche Workloads benötigen welches Souveränitätsniveau?
- Welche Rolle spielen bestehende Compliance-Vorgaben wie NIS2, DORA oder branchenspezifische Regularien?
- Und wie lassen sich Innovation, Sicherheit und regulatorische Anforderungen sinnvoll miteinander verbinden?
Unsere klare Empfehlung als IAMCP German Chapter:
- Schutzbedarf und Datenklassifizierung müssen Ausgangspunkt jeder Entscheidung sein
- C3A sollte kontextbezogen angewendet werden – nicht pauschal maximal
- Technologieoffenheit bleibt entscheidend
- C5 bleibt weiterhin die Sicherheitsbasis, C3A ergänzt die Souveränitätsperspektive
Microsoft Cloud: Unterschiedliche Souveränitätsstufen für unterschiedliche Anforderungen
Das Microsoft-Cloud-Portfolio bietet bereits heute verschiedene Betriebs- und Souveränitätsmodelle, die je nach Schutzbedarf unterschiedlich bewertet werden können.
Dazu zählen unter anderem:
- Microsoft 365 und Azure mit EU Data Boundary
- Microsoft Cloud for Sovereignty
- Sovereign Public und Private Cloud Modelle
- Delos Cloud für besonders hohe nationale Souveränitätsanforderungen
Diese abgestuften Optionen ermöglichen es Organisationen, Workloads differenziert zu bewerten und passend zum jeweiligen Risiko- und Compliance-Profil zu betreiben, ohne zwangsläufig immer die maximal mögliche Souveränitätsstufe wählen zu müssen.
Souveränität bedeutet Wahlfreiheit
Als Interessenvertretung der Microsoft-Partner in Deutschland setzen wir uns für einen sachlichen, technologieoffenen Dialog rund um digitale Souveränität ein.
Denn echte Souveränität entsteht nicht durch die Einschränkung von Auswahlmöglichkeiten, sondern durch:
- Transparenz
- Nachvollziehbarkeit
- fundierte Risikoabwägungen
- und die Fähigkeit, bewusst zwischen unterschiedlichen Optionen zu entscheiden
Die deutsche Microsoft-Partnerlandschaft bringt dabei umfangreiche Expertise in den Bereichen Architektur, Migration, Compliance, Security und Audit-Vorbereitung mit.
Gemeinsam Orientierung schaffen
Die Veröffentlichung von C3A ist ein wichtiger Schritt für die Diskussion über digitale Souveränität in Europa. Jetzt kommt es darauf an, den Rahmen praxisnah, differenziert und technologieoffen anzuwenden.
Als IAMCP German Chapter möchten wir diesen Dialog aktiv begleiten und Unternehmen, Behörden sowie Partner bei der Einordnung unterstützen.
