.png?width=21&height=17&name=Government%20(1).png){kind=small}
.png?width=368&height=447&name=blog-icon%20(1).png)
Deutschland-Stack und C3A: Digitale Souveränität wird endlich konkret
Ende 2026 startet die Erprobungsphase des Deutschland-Stack – und mit C5:2026, C3A und dem EUCS-Souveränitätsraster wird digitale Souveränität 2026 zum ersten Mal wirklich messbar. Drei BSI- und EU-Kataloge beantworten jetzt die drei Fragen, an denen Cloud-Beschaffung bisher gescheitert ist.
Alle sprechen über „digitale Souveränität" bei Cloudlösungen. Aber: Wie sicher ist wirklich sicher? Wie viel Selbstbestimmung ist nötig, wie viel ist sinnvoll? Wie europäisch sollte ein realistischer Tech Stack sein? Und: Was das für Einkauf, IT und Geschäftsführung in regulierten Branchen heißt – und welche vier Hebel sofort wirken.Die Lage: Aus dem Buzzword wird ein konkreter Bauplan
Der Deutschland-Stack (D-Stack) ist ein Rahmenwerk aus fünf Elementen – Zielvision, Ökosystem, Standards, Portfolio, Technik – und soll bis Ende 2027 fertig sein. Federführend sind das BMDS unter Leitung von Matthias Burgfried sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI). Eingebunden sind unter anderem B1 Systems, Noris Network und Secunet, getragen vom Sovereign Cloud Stack (SCS) als Open-Source-Fundament.
Die erste Erprobungsphase startet im vierten Quartal 2026, die Testumgebung für die deutsche EUDI-Wallet ist für Anfang 2027 angekündigt. Bemerkenswert ist die Reife der Vorarbeit: rund 960 Seiten Konsultations-Feedback und über 800 offen dokumentierte Issues – ein Stack, der unter realer Last entwickelt wird, nicht auf dem Reißbrett.
Erfahrungsgemäß steht und fällt der Erfolg solcher Initiativen mit einer einzigen Frage: Woran erkennt der Einkauf eine souveräne Lösung im Beschaffungsverfahren? Genau diese Frage ist seit wenigen Wochen beantwortet.
Drei Zertifizierungen, drei klare Antworten
Das BSI und die EU haben drei Bausteine geliefert, die zusammen erstmals eine operative Anleitung für digitale Souveränität ergeben:
C5:2026 beantwortet die Sicherheitsfrage. Die überarbeitete Fassung des Cloud Computing Compliance Criteria Catalogue berücksichtigt CSA Cloud Controls Matrix v4, ISO/IEC 27001:2022 und die NIS2-Richtlinie und ergänzt thematische Schwerpunkte zu Container-Management, Supply-Chain-Sicherheit, Post-Quanten-Kryptographie, Confidential Computing und Mandantentrennung (BSI, 07.04.2026).
C3A (Criteria enabling Cloud Computing Autonomy) beantwortet die Souveränitätsfrage. Während der C5 prüft, wie sicher ein Cloud-Dienst ist, prüft der C3A, wie selbstbestimmt er nutzbar bleibt (siehe auch: Vergabeblog, 30.04.2026). Das härteste Prüfkriterium ist die Disconnect Capability (SOV-4-09-C): Der Dienst muss ohne Verlust von Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit weiterlaufen, wenn er von der Plattform eines außereuropäischen Betreibers entkoppelt wird.
EUCS beantwortet die europäische Anschlussfrage. Das EU-weite Cybersecurity-Zertifizierungsschema arbeitet mit acht Souveränitätszielen (SOV-1 bis SOV-8) und den SEAL-Stufen, die wir hier ausführlich aufgeschlüsselt haben: „Cloud Sovereignty Framework – wie die EU Cloud-Souveränität endlich messbar macht".
Bemerkenswert ist die Reihenfolge: Erst kommt das nationale Souveränitätskriterium (C3A), darauf baut der europäische Konsens (EUCS) auf. Wer Cloud-Beschaffung verantwortet, hat damit zum ersten Mal einen geschlossenen Prüfraster in der Hand – und muss nicht mehr aus ISO-27001-Bausteinen und Marketing-Broschüren ableiten, was als „souverän" gelten darf. Was die C3A-Kriterien konkret für Mittelstand, Kliniken, Kanzleien und Behörden bedeuten, haben wir hier eingeordnet: „BSI macht Cloud-Souveränität messbar: Was die neuen C3A-Kriterien für Unternehmen bedeuten".
Wo Souveränität sinnvoll ist – und wo sie es nicht sein muss
Die zweite gute Nachricht der neuen Kataloge: Sie zwingen niemanden zur Vollabschottung. C3A und EUCS machen explizit, dass Souveränität entlang von Schutzbedarfen angewendet wird, nicht entlang eines pauschalen „alles oder nichts". Das deckt sich mit der BSI-Linie, die auf „kontrollierbare Abhängigkeiten" statt auf Autarkie setzt.
Erfahrungsgemäß lassen sich Workloads in drei Kategorien einsortieren:
Souveränität ist Pflicht. Mandantengeheimnis, Patientendaten, Verschlusssachen, regulierte Beratungsakten, Finanz- und Behördenkommunikation, ePA-Anbindungen, M&A-Dokumente. Hier greifen C3A-Disconnect-Capability und SEAL-Stufen auf EUCS-High.
Souveränität ist strategisch sinnvoll. Kollaboration in regulierten Branchen, Dokumentenablage mit Mandanten- und Patientenbezug, E-Signatur, Identity- und Schlüsselverwaltung. Hier zahlt sich C5:2026 plus C3A-Bausteine in Ausschreibungen direkt aus.
Souveränität ist optional. Public-Marketing-Assets, öffentliche Produktinformation, Web-Analytik ohne Personenbezug. Hier reicht klassische C5- oder ISO-27001-Sicherheit.
Diese Differenzierung war vor C3A nicht sauber möglich. Jetzt ist sie es – und macht Beschaffungsentscheidungen für IT-Leitung, Datenschutz und Geschäftsführung erstmals nachvollziehbar dokumentierbar.
Vier Hebel, die Unternehmen jetzt sofort umsetzen können
- Ausschreibungs-Kriterien um C3A-Bezug ergänzen. Explizit auf die Disconnect Capability (SOV-4-09-C) und C5:2026 verweisen – nicht nur auf ISO 27001 oder „EU-Rechenzentrum".
- Cloud-Verträge gegen das anwendbare Recht prüfen. Entscheidend ist nicht die Postleitzahl des Rechenzentrums, sondern die Jurisdiktion des Vertragspartners. Hintergrund: „Datenschutz in der Cloud – US-Gesetze versus DSGVO"
- Schutzbedarfsklassen mit den drei Souveränitäts-Stufen verknüpfen. Eine Stunde Workshop in der Geschäftsführung reicht erfahrungsgemäß, um pro Workload-Kategorie Stufe 1, 2 oder 3 festzulegen.
- Exit-Szenario einmal proben. Ein Disconnect-Test pro Jahr klärt schneller als jede Compliance-Diskussion, ob ein Anbieter wirklich souverän nutzbar ist – und stärkt zugleich die Resilienz gegen Ausfall- und Lock-in-Risiken.
Wer diese vier Hebel zieht, hat den operativen Teil der Souveränitätsdebatte erledigt – und kann die strategische Diskussion auf Augenhöhe führen. Wie die Branche das politisch flankiert, zeigt der CISPE-Vorstoß vom März, in dem 25 europäische Cloud-CEOs klare Beschaffungsregeln einfordern (heise, 18.03.2026). Mit C3A und EUCS bekommen diese Forderungen jetzt ihren technischen Maßstab.
Souveräne Infrastruktur als Grundlage – warum SecureCloud diese Entwicklung aktiv begrüßt
SecureCloud betreibt seine Plattform zu 100 Prozent in Deutschland auf eigener Hardware bei der noris network AG, BSI C5 und ISO 27001 zertifiziert, ohne US-Mutterkonzern und ohne Drittstaatenzugriff. SecureShare, SecureWork, SecureSign und SecureMail sind genau für die Anwendungsfälle ausgelegt, die mit dem C3A-Maßstab jetzt sauber adressiert werden: Kanzleien, Steuerberatungen, Kliniken, Banken und Finanzdienstleister, Behörden und Industrie.
Wir sehen die Veröffentlichung von C3A und die Erprobungsphase des Deutschland-Stack als das, was sie ist: einen lange überfälligen, gemeinsamen Boden, auf dem souveräne Anbieter, Einkauf und Anwender erstmals dieselbe Sprache sprechen.
Fazit: Drei Antworten, ein Maßstab
Digitale Souveränität ist 2026 von einer politischen Forderung zu einem prüfbaren Beschaffungs-Kriterium geworden. C5:2026 sagt, wie sicher. C3A sagt, wie selbstbestimmt. EUCS sagt, wie europäisch. Wer seine Cloud-Strategie jetzt entlang dieser drei Antworten ordnet, hat eine klare Anleitung – und einen messbaren Maßstab für jede künftige Diskussion.
Interessiert Sie die souveräne Cloud?
Hier geht's zur kostenlosen Testphase
Sebastian Deck
Sebastian Deck ist Chief Marketing Officer (CMO) von SecureCloud und verantwortet Markenstrategie, Kommunikation und Marketing. Er verfügt über langjährige Erfahrung im Aufbau und in der Führung internationaler Marketingteams in Beratungs-, FinTech- und Technologieunternehmen. Bei SecureCloud verantwortet er die Markenpositionierung, Thought Leadership sowie die Lead-Generierung und steuert Go-to-Market-Initiativen und Kampagnen, um SecureCloud als führenden Anbieter für Cyber-Security und sichere Cloud-Lösungen zu positionieren.
