Übersicht Kontrolle & Souveränität BSI C3A SOV-7 Compliance Leistung & Performance Provider-Details
Was bedeuten EU CSF, SEAL und BSI C3A? Klicken zum Aufklappen

EU Cloud Sovereignty Framework (CSF)

Referenz-Dokument der EU-Kommission. Definiert 8 SOV-Kategorien (Strategic, Legal, Data, Operational, Supply Chain, Technology, Security, Sustainability) mit gewichteten Anteilen. Das CSF ist kein formeller Standard, sondern eine Klassifizierungs-Grundlage.

EU-Kommission: Referenz-Dokument

SEAL — Sovereignty Effective Assurance Levels

Vierstufige Reifegrad-Klassifizierung des EU CSF. Zeigt auf einen Blick die Souveränitäts-Stufe je Provider.

  • SEAL-4 Vollständige Souveränität (≥ 90)
  • SEAL-3 Digital Resilience (≥ 75)
  • SEAL-2 Data Sovereignty (≥ 55)
  • SEAL-1 Basistransparenz (≥ 40)

BSI C3A v1.0 (27.04.2026)

Criteria enabling Cloud Computing Autonomy — operationalisiert das EU CSF mit ~30 prüfbaren Kriterien in den Kategorien SOV-1 bis SOV-6. C1 verlangt EU-Bezug, C2 deutschen Bezug. Sicherheit (SOV-7) wird über BSI C5:2026 abgedeckt; Nachhaltigkeit (SOV-8) ist nicht Teil von C3A.

BSI: C3A v1.0 PDF

ES³ — European Sovereign Stack Standard

Erster europäischer Standard für digitale Souveränität, entwickelt von Schwarz Digits/STACKIT, BDO-auditiert. Bewertet 9 Dimensionen auf drei Ebenen (Regulatorisch / Organisatorisch / Technisch) und bestimmt das Sovereignty Maturity Level (SML) nach dem Weakest-Link-Prinzip — die schwächste Dimension bestimmt das Gesamt-Level.

  • Future-Proof Alle Dim. ≥ 76
  • Advanced Schwächste Dim. ≥ 51
  • Managed Schwächste Dim. ≥ 26
  • Initial Schwächste Dim. < 26

Die ES³-Einschätzung je Provider in dieser Plattform leitet BTC AG aus den SOV-Scores ab — kein offizielles ES³-Audit. Nur STACKIT ist offiziell BDO-auditiert zertifiziert.

Wie funktioniert die Bewertung?

Experten-Bewertungen

Die Bewertungen basieren auf umfassenden Experten-Einschätzungen der BTC für jeden betrachteten Cloud-Provider. Alle beteiligten Experten verfügen jeweils über mehr als 10 Jahre Beratungs-, Betriebs- und Service-Erfahrung mit verschiedenen Cloud-Providern, praktisch nachgewiesene Erfahrung mit mehreren verschiedenen Cloud-Angeboten sowie geprüfte und vielfach zertifizierte Expertise in Cloud-Beratung und -Architektur.

Bewertungskriterien

Die betrachteten Dimensionen "Kontrolle" und "Leistungsfähigkeit" wurden anhand von einer Vielzahl von Kriterien bewertet, wie der Gesellschaftsstruktur, externen Abhängigkeiten (Hardware, Software, Unternehmensstruktur, Rechenzentren, Lizenzen, Support, Wartung), rechtlicher Souveränität und geopolitischer Resistenz, sowie dem Umfang und Reifegrad der Service-Landschaft, der Eignung für moderne Cloud-Architekturen, Innovationszyklen, technische und organisatorische Souveränitätskonstrukte sowie Entwicklerfreundlichkeit und der Ökosystem-Stärke.

Als initiale Grundlage diente der Sovereign Cloud Benchmark 2025 von cloud ahead, welcher durch die Experten-Bewertungen, verschiedene Befragungen sowie weitere fundierte Einschätzungen ergänzt wurde.

Berechnungsmethodik

Die Bewertung im Sovereign Cloud Compass erfolgt in vier Aggregations-Stufen — von prüfbaren Einzelkriterien bis zum Gesamt-Score, der die Sortierung der Provider in der Matrix bestimmt.

Stufe 1 — Einzelkriterium

Jedes der ~30 BSI-C3A-Kriterien und der 10 SOV-7-Compliance-Kriterien wird mit einer von vier Bewertungen versehen:

  • Erfüllt (pass) — 100 Punkte
  • Teilweise (partial) — 50 Punkte
  • Nicht erfüllt (fail) — 0 Punkte
  • Unbekannt (unknown) — 0 Punkte

Stufe 2 — SOV-Score (pro Kategorie)

Der Score je SOV-Kategorie ist der arithmetische Mittelwert der zugehörigen Einzelkriterien:

SOV-X = Σ (Punkte je Kriterium) / Anzahl Kriterien

Beispiel: AWS European Sovereign Cloud, SOV-1 Strategie (4 Kriterien)

Kriterium Bewertung EU-Modus (C1) DE-Modus (C2)
SOV-1-01 Jurisdictionpass · C110050
SOV-1-02 Registered Officepass · C2100100
SOV-1-03 Effective Controlpartial · C15050
SOV-1-04 Control Changepass100100
SOV-1 = Σ / 4 88 75

Stufe 3 — Kontrolle und C3A-Total

Aus den SOV-Werten werden zwei verschiedene Aggregate gebildet:

BSI C3A-Total — ungewichteter Mittelwert über die 6 SOV-Buckets aus C3A (SOV-1 bis SOV-6):

C3A-Total = (SOV-1 + SOV-2 + … + SOV-6) / 6

Kontrolle — gewichteter Mittelwert über alle 8 SOV-Dimensionen gemäß EU-CSF-Gewichtung:

Kontrolle = 0.15·SOV-1 + 0.10·SOV-2 + 0.10·SOV-3 + 0.15·SOV-4 + 0.20·SOV-5 + 0.15·SOV-6 + 0.10·SOV-7 + 0.05·SOV-8

Datenquellen je SOV: SOV-1…6 aus BSI C3A, SOV-7 aus dem SCC-eigenen 10-Punkte-Compliance-Katalog, SOV-8 als Experten-Wert (kein BSI-Mandat).

Stufe 4 — Gesamt-Score in der Matrix

Der Gesamt-Score je Provider entsteht aus der Slider-gesteuerten Gewichtung zwischen Kontrolle und Leistung:

Gesamt = Kontrolle × (1 - s) + Leistung × s

wobei s der Slider-Wert ist (0 = volle Kontrolle, 1 = volle Leistung).

Audit-Strenge C1 / C2 (BSI-konform)

Viele BSI-C3A-Kriterien existieren in zwei Schärfegraden: C1 verlangt EU-Bezug, C2 deutschen Bezug. Im SCC kann zwischen beiden Modi umgeschaltet werden:

  • EU-Modus (C1, Default): Kriterium gilt als „erfüllt", wenn EU- oder DE-Variante umgesetzt ist.
  • DE-Modus (C2): Kriterien mit C1/C2-Varianten gelten nur dann als voll erfüllt, wenn explizit C2 umgesetzt ist. Provider, die nur C1 erfüllen, werden für dieses Kriterium auf 50 Punkte reduziert (statt 100).

Im Beispiel oben sieht man die Wirkung: AWS ESC fällt bei SOV-1 von 88 (C1) auf 75 (C2), weil SOV-1-01 nur als C1 dokumentiert ist.

Wichtig: Die Slider-Gewichtung Kontrolle/Leistung lässt sich im Compass jederzeit anpassen. Den Audit-Modus (C1/C2) wählen Sie über das Toggle in der Strategie-Card.

Kontrolle & Souveränität

Der Kontrolle-Score wird automatisch aus den 8 SOV-Kriterien (Sovereignty Objectives) des EU Cloud Sovereignty Frameworks berechnet. Die Gewichtung orientiert sich an diesem Referenz-Dokument der EU-Kommission:

SOV-1 Strategie: 15% SOV-2 Rechtlich: 10% SOV-3 Daten/AI: 10% SOV-4 Operativ: 15% SOV-5 Lieferkette: 20% SOV-6 Technologie: 15% SOV-7 Sicherheit: 10% SOV-8 Nachhaltigkeit: 5%

Das EU Cloud Sovereignty Framework ist ein Referenz-Dokument der EU-Kommission, kein formell verabschiedeter Standard. Es wurde ursprünglich im Kontext einer spezifischen EU-Kommissions-Ausschreibung entwickelt. BSI und ANSSI erarbeiten derzeit eigene Interpretationen. Für konkrete Beschaffungsentscheidungen empfehlen wir, die eigenen organisatorischen Anforderungen vorab zu definieren.

Ab v4.0.0: Die SOV-Werte werden nicht mehr als Experten-Schätzung pro Kategorie gesetzt, sondern auditierbar berechnet: SOV-1…6 aus den 30 BSI-C3A-Einzelkriterien, SOV-7 aus dem 10-Punkte-Compliance-Katalog, SOV-8 als Experten-Wert. Die folgende Tabelle zeigt nur, wie typische Score-Bandbreiten provider-typisch aussehen — die konkreten Werte ergeben sich aus den C3A- und SOV-7-Bewertungen.

Die 8 SOV-Kriterien im Detail

SOV-1: Strategische Souveränität (15%)

Sitz und Kontrolle der Entscheidungsorgane

  • 100: 100% deutsche/EU Eigentümer
  • 70-90: EU-Eigentümer mit Staatsanteil
  • 30-60: EU-Tochter von US-Konzern
  • 15: US-Konzern ohne EU-Garantien

SOV-2: Rechtliche Souveränität (10%)

EU-Recht, Schutz vor CLOUD Act/FISA

  • 100: Deutsches Recht, kein US-Zugriff
  • 85-95: EU-Recht mit CLOUD Act-Schutz
  • 40-70: Vertraglicher Schutz
  • 20: Unterliegt US-Recht

SOV-3: Daten- & KI-Souveränität (10%)

BYOK, Datenresidenz, verifizierbare Löschung

  • 95-100: Volle Datenhoheit, eigene Keys
  • 80-90: EU-Datenresidenz, BYOK
  • 50-65: EU-Regionen verfügbar
  • 55: Standard-Verschlüsselung

SOV-4: Operative Souveränität (15%)

Exit-Fähigkeit, EU-basierte Teams

  • 85-100: Voller Betrieb in EU/DE
  • 65-90: Dediziertes EU-Team
  • 45-55: Globaler Support
  • 40: Eingeschränkter EU-Support

SOV-5: Lieferketten-Souveränität (20%)

Hardware, Firmware, SBOMs - höchste Gewichtung!

  • 70: EU-Hardware-Fokus, Open Source
  • 50-60: EU-Kontrolle über US-Hardware
  • 35-45: Kritische Abhängigkeiten (z.B. Huawei)
  • 25-30: Proprietär, keine Transparenz

SOV-6: Technologie-Souveränität (15%)

Offene APIs, Open Source, Vendor Lock-in

Technologie-Souveränität bedeutet nicht, proprietäre Software auf EU-Infrastruktur zu hosten. Echte Souveränität entsteht durch offene Technologien, die ohne Vendor-Abhängigkeit betrieben werden können.

  • 100: 100% Open Source (OpenStack)
  • 65-75: OpenStack-basiert, offene APIs
  • 40-55: Mix aus Standard und proprietär
  • 30-40: Stark proprietär

SOV-7: Sicherheits-Souveränität (10%)

EU-Security Ops, Zertifizierungen

  • 90-95: C5, ISO 27001, BSI, VS-NfD
  • 80-85: C5, ISO 27001, BSI-konform
  • 65-70: ISO 27001, SOC 2
  • 75: Open Source (Eigenverantwortung)

SOV-8: Ökologische Nachhaltigkeit (5%)

PUE, erneuerbare Energien, Emissionsmetriken

  • 85: Eigene RZs, hoher Nachhaltigkeitsfokus
  • 60-75: Erneuerbare Energie, Transparenz
  • 50-55: Standard-Nachhaltigkeitsberichte
  • 50: Eigene Infrastruktur (variabel)

Provider-Scores & SOV-Details

Klicken Sie auf einen Provider, um dessen detaillierte SOV-Bewertung aufzuklappen.

BSI C3A — Operationalisierung der Souveränität

Mit der Veröffentlichung der Criteria enabling Cloud Computing Autonomy (C3A) am 27. April 2026 liefert das BSI erstmals einen prüfbaren Kriterien-Katalog zur Operationalisierung des EU Cloud Sovereignty Framework. C3A übernimmt explizit die Struktur und Ziele des EU CSF und ergänzt sie um konkrete, auditierbare Anforderungen.

Ab Version 4.0.0 stellt der Sovereign Cloud Compass je Provider eine zusätzliche C3A-Bewertung auf den ~30 Einzelkriterien bereit – inklusive belastbarer Quellen.

Verhältnis zu EU CSF, SEAL und BSI C5:2026

Das EU CSF mit seinen SEAL-Levels (1–4) liefert die Reifegrad-Klassifizierung. BSI C3A liefert die prüfbaren Detail-Kriterien, die diese Klassifizierung im Audit belegbar machen. Der Sicherheitsteil (SOV-7) wird über BSI C5:2026 / IT-Grundschutz abgedeckt; Nachhaltigkeit (SOV-8) ist nicht Teil von C3A. Beide Dimensionen bleiben in der SCC-Bewertung erhalten.

Kriterien-Struktur

SOV-1 Strategic Sovereignty

4 Kriterien

  • Jurisdiction (C1: EU / C2: DE)
  • Registered Office
  • Effective Control
  • Control Change (90 Tage Notice)

SOV-2 Legal & Jurisdictional

3 Kriterien

  • Extraterritorial Exposure
  • Audit Rights (C1/C2)
  • State of Defense Takeover

SOV-3 Data Sovereignty

5 Kriterien

  • Data Residence (C1–C5)
  • External Key Management
  • External Identity Provider
  • Logging & Monitoring
  • Client-Side Encryption

SOV-4 Operational Sovereignty

10 Kriterien

  • Operating Personnel (EU/DE)
  • Remote Work, SOC, Connectivity
  • Ingress Data Control
  • Disconnect / Reconnect (90 Tage)
  • Data Exchange Monitoring & Gateways

SOV-5 Supply Chain

5 Kriterien

  • Software Dependencies (SBOM TR-03183)
  • Hardware Dependencies
  • External Service Dependencies
  • Export Restriction
  • Capacity Management (C1/C2)

SOV-6 Technology Sovereignty

3 Kriterien

  • Source Code Availability (EU, ≤24 h, ≥5 Versionen)
  • Continuous Service Delivery
  • Software Development

C1- vs. C2-Variante

Viele C3A-Kriterien existieren in zwei Schärfegraden: C1 verlangt EU-Bezug, C2 verlangt deutschen Bezug (z. B. Personal mit Hauptwohnsitz Deutschland, SOC in Deutschland, deutsche Audit-Rechte). C2 adressiert insbesondere die deutsche Bundesverwaltung und KRITIS-Betreiber.

Ausblick

Der geplante EU Cloud and AI Development Act (CADA) mit angekündigter Veröffentlichung Mai 2026 könnte Teile von C3A in verbindliche EU-Rechtsnormen überführen.

Quelle: BSI – Criteria enabling Cloud Computing Autonomy (C3A) v1.0, 27.04.2026

SOV-7 Sicherheits-Compliance

Da BSI C3A die SOV-7-Kategorie (Sicherheit & Compliance) bewusst nicht abdeckt und stattdessen auf BSI C5:2026 / IT-Grundschutz verweist, ergänzt der SCC ab Version 4.0.0 einen eigenen 10-Punkte-Compliance-Katalog analog zur C3A-Struktur. Pro Provider werden die 10 Kriterien mit erfüllt / teilweise / nicht erfüllt / unbekannt bewertet und fließen so audit-tauglich in den Kontrolle-Score ein.

Damit beruht ab v4.0.0 die komplette Kontrolle-Dimension auf belegbaren Quellen: SOV-1…6 aus BSI C3A v1.0, SOV-7 aus diesem Compliance-Katalog, SOV-8 (Nachhaltigkeit) bleibt eine Experten-Einschätzung.

Die 10 SOV-7-Kriterien

SOV-7-01 ISO/IEC 27001

Aktuelle ISMS-Zertifizierung nach ISO/IEC 27001 für die für den Cloud-Service relevanten Standorte und Prozesse.

SOV-7-02 IT-Grundschutz

Zertifizierung nach BSI-Standard 200-2/200-3 (IT-Grundschutz) für die relevanten Rechenzentren.

SOV-7-03 BSI C5

Gültiges Testat nach BSI C5:2020 oder C5:2026 (Type 1 oder Type 2).

SOV-7-04 ISO/IEC 27017

Cloud-spezifische Sicherheitskontrollen zertifiziert.

SOV-7-05 ISO/IEC 27018

Datenschutz für PII (personenbezogene Daten) in Public Cloud zertifiziert.

SOV-7-06 ISO/IEC 27701

PIMS (Privacy Information Management System) zertifiziert.

SOV-7-07 SOC 2 Type 2

Aktueller SOC 2 Type 2 Bericht zu mindestens Security/Availability/Confidentiality.

SOV-7-08 KRITIS-Fähigkeit

Provider als KRITIS-fähig referenziert oder explizit für KRITIS-Workloads zugelassen.

SOV-7-09 NIS2-Konformität

Nachweisbare Erfüllung der erweiterten NIS2-Pflichten (Risk-Management, Incident-Reporting).

SOV-7-10 EU-SOC / VS-NfD

Security Operations Center innerhalb EU/DE etabliert; VS-NfD-Eignung optional zusätzlich.

Aggregation

Identisch zur BSI-C3A-Logik: erfüllt = 100, teilweise = 50, nicht erfüllt / unbekannt = 0; arithmetisches Mittel über die 10 Kriterien. Der so berechnete Wert ist der SOV-7-Score und fließt mit Gewicht 10 % (EU-CSF-Gewichtung) in den Kontrolle-Score ein.

Leistung & Performance

Misst die technische Leistungsfähigkeit, Service-Portfolio und Innovation des Anbieters. Dieser Score basiert auf der Analyse von Service-Umfang, Reife, Skalierbarkeit und Innovation.

Bewertungsfaktoren

Service-Portfolio Umfang

Anzahl und Vielfalt der Services

  • Hyperscaler: 200+ Services (90-95 Punkte)
  • Souveräne Clouds: 100+ Services (65-90 Punkte)
  • EU-Provider: 50-100 Services (55-75 Punkte)
  • Hybrid: 40-80 Services (60-70 Punkte)
  • Private Cloud: Basis-Services (20-35 Punkte)

Service-Reife (Maturity)

GA vs. Preview/Beta Services

  • Hyperscaler: Sehr reifes Portfolio
  • Souveräne Clouds: Reifes Portfolio, neue Services
  • EU-Provider: Solides Portfolio, wachsend
  • Private Cloud: Bewährt, aber eingeschränkt

Skalierbarkeit & Verfügbarkeit

Auto-Scaling, globale Verfügbarkeit

  • Global: Mehrere Regionen weltweit (Hyperscaler)
  • Multi-Regional: Mehrere EU-Regionen
  • Regional: Deutschland/EU
  • Lokal: Einzelner Standort/On-Prem

Innovation & KI/ML

Moderne Cloud-native Tools

  • Führend: Eigene KI/ML-Services (Hyperscaler)
  • Fortgeschritten: KI-Integration verfügbar
  • Standard: Basis KI-Services
  • Limited: Eingeschränkte KI-Angebote

Ökosystem & Integration

Partner, Marketplace, Tools

  • Umfangreich: Großer Marketplace (Hyperscaler)
  • Solide: Partner-Integration vorhanden
  • Wachsend: Aufbauendes Ökosystem
  • Begrenzt: Basis-Integration

Performance & Latenz

Geschwindigkeit und Netzwerkqualität

  • Exzellent: Globales Premium-Netzwerk
  • Sehr gut: Regionales High-Performance-Netz
  • Gut: Solide Performance
  • Standard: Basis-Performance

Provider-Scores im Detail

Cloud-Provider im Detail

Detaillierte Übersicht aller bewerteten Cloud-Provider mit ihren Scores und Kategorien. Die Werte können hier angepasst werden und wirken sich direkt auf die Compass-Analyse aus.