Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat als nationale Cybersicherheitsbehörde einen Anforderungskatalog für professionelle Cloud-Anbieter entwickelt: der C5 (Cloud Computing Compliance Controls Catalogue). Hier sind die Anforderungen, die Cloud-Anbieter erfüllen müssen bzw. zumindest verpflichtet werden sollten, klar festgelegt.
Mit dem C5 legt das BSI eine allgemein anerkannte Basis-Richtlinie für Sicherheitsstandards fest und bietet Cloud-Anbietern zusätzlich mit dem SOC 2-Bericht ein Verfahren an, mit dem sie den Nachweis erbringen können, die Anforderungen des Katalogs einzuhalten. Bei der sogenannten SOC-2-Typ-2-Prüfung kann künftig auch die Wirksamkeit der implementierten Maßnahmen für einen bestimmten Berichtszeitraum geprüft werden.