Das Wichtigste in Kürze
- C5:2026 verlangt prüfbare Post-Quanten-Kryptografie und Confidential Computing für sensible Cloud-Workloads.
- Automatisierbare, laufend nachweisbare Kontrollen ersetzen rein periodische Audits und manuelle Compliance-Nachweise.
- DACH-Unternehmen müssen Anbieter früh auf PQC-Fähigkeit, Attestierung und Migrationspfade bewerten, um spätere Architekturbrüche zu vermeiden.
Warum C5:2026 die Cloud-Sicherheitsarchitektur in DACH neu ausrichtet
Wenn sensible Workloads in der Cloud laufen, reicht ein historisch gewachsenes Kontrollset nicht mehr aus. C5:2026 verschiebt den Prüfrahmen, weil das BSI erstmals Anforderungen für Post-Quanten-Kryptographie und Confidential Computing aufgenommen hat [1]. Für CISOs ist das kein kosmetisches Update. Es zwingt zur Frage, ob Kryptografie, Betriebsmodell und Auditierbarkeit noch zusammenpassen, wenn regulatorische und technische Anforderungen gleichzeitig strenger werden. Dieser Beitrag ersetzt keine Rechtsberatung; die konkrete Anwendung hängt vom Einzelfall sowie von den jeweils aktuellen gesetzlichen, regulatorischen und vertraglichen Vorgaben ab.
Der zentrale Effekt liegt nicht nur in neuen Einzelkontrollen. C5:2026 soll Unternehmen zu einer automatisierbaren Prüfung der Kriterien hinführen und damit weg von rein periodischen Audits [1]. Wer Cloud-Sicherheit bislang vor allem über manuelle Nachweise, punktuelle Reports und Anbieterzertifikate abgesichert hat, muss die eigene Kontrolllogik neu bewerten. Genau dort entstehen in DACH die Validierungsprobleme: Eine Cloud kann formal compliant wirken, aber bei sensiblen Daten wird sie angreifbar, wenn quantensichere Verschlüsselung, Mandantentrennung oder Nachweisfähigkeit nicht sauber verankert sind [1]. Wer die Strategie systematisch aufsetzen will, findet dazu einen methodischen Einstieg in unserer souveränen Cloud-Strategie mit C3A.
Besonders deutlich wird der Druck dort, wo Cloud-Nutzung direkt an regulatorische Vorgaben gekoppelt ist. Im Gesundheitswesen gelten Cloud-basierte Anwendungen für sensible Daten nur unter strengen Voraussetzungen; der C5-Bezug ist dort ausdrücklich eingebettet [2]. Diese Verschiebung wirkt über den Sektor hinaus. Was im Gesundheitswesen als harte Sicherheitsanforderung sichtbar wird, setzt für andere regulierte Branchen einen Orientierungspunkt: Cloud-Sicherheit wird nicht mehr nur an Verfügbarkeit und Verschlüsselung gemessen, sondern an der belastbaren Fähigkeit, neue technische und rechtliche Anforderungen schnell in Kontrollen zu übersetzen.
Was sich für die Architekturentscheidung ändert
Für die Architekturplanung heißt das: Cloud-Sicherheit lässt sich nicht mehr auf Perimeter, IAM und Standardverschlüsselung reduzieren. Wer regulierte oder besonders schützenswerte Workloads betreibt, muss die Cloud-Plattform auf Zukunftsfähigkeit prüfen. Dazu gehört vor allem die Frage, ob der Anbieter Kriterien für Post-Quanten-Kryptographie und Confidential Computing bereits abbilden kann [1]. Fehlt diese Perspektive, entsteht ein späterer Migrationsdruck genau dort, wo Betriebsunterbrechungen am teuersten sind. Für die Anbieterauswahl kann ein strukturierter Blick auf passende Lösungen helfen, etwa bei der Frage nach einer tragfähigen Sourcing-Strategie für die richtige Plattformwahl.
Warum DACH-Unternehmen jetzt neu validieren müssen
Der eigentliche Prüfpunkt ist damit nicht die Cloud an sich, sondern die Vertrauensbasis des Betriebsmodells. C5:2026 macht sichtbar, ob ein Anbieter Kontrollen nur dokumentiert oder auch so strukturiert, dass sie sich laufend nachweisen lassen [1]. Für IT-Leiter in DACH bedeutet das: Die Auswahl eines Cloud-Setups ist künftig stärker eine Frage der Kontrolltiefe als der Feature-Liste. Wer das früh adressiert, kann Nachfragen im Audit, in der Compliance-Prüfung oder im Security-Review eher vermeiden.
Die technischen Kernänderungen von C5:2026 im Detail
C5:2026 verschiebt den Fokus von klassischen Kontrollfragen hin zu Technologien, die sich in der Praxis nur mit sauberem Nachweisbetrieb beherrschen lassen. Das BSI führt erstmals Anforderungen für Post-Quanten-Kryptographie und Confidential Computing ein. Parallel dazu rückt es maschinenlesbare Formate für automatisierte Compliance-Prüfungen in den Mittelpunkt [1]. Für Cloud-Architekten ist das relevant, weil damit nicht mehr nur die Existenz einer Kontrolle zählt, sondern auch ihre Prüfbarkeit im laufenden Betrieb.
Die technische Logik dahinter ist klar: Wer sensible Workloads in der Cloud betreibt, muss Verschlüsselung, Ausführungsumgebung und Nachweisführung zusammen denken. C5:2026 macht diese drei Ebenen erstmals in einem Rahmen prüfbar [1]. Genau an dieser Stelle trennt sich Papier-Compliance von belastbarer Betriebsfähigkeit.
Post-Quanten-Kryptografie: Anforderungen und Übergangsszenarien
Die Aufnahme von Post-Quanten-Kryptographie ist mehr als ein technischer Hinweis auf künftige Bedrohungen. C5:2026 definiert damit prüfbare Kriterien für Kryptoverfahren, die auch dann noch tragen sollen, wenn klassische Verfahren durch leistungsfähigere Angreifer oder spätere Quantenfähigkeiten unter Druck geraten [1]. Für Sicherheitsverantwortliche heißt das: Der heutige Verschlüsselungsbestand reicht als Begründung nicht mehr aus, wenn der Schutzbedarf über längere Laufzeiten oder stark regulierte Datenbestände reicht.
Praktisch relevant wird das vor allem in Übergangsszenarien. Nicht jede Umgebung lässt sich sofort vollständig auf neue kryptografische Verfahren umstellen. C5:2026 zwingt deshalb dazu, den Migrationspfad mit zu bewerten: Welche Daten brauchen jetzt schon eine quantenrobuste Perspektive, welche Schnittstellen bleiben vorerst hybrid, und wo entstehen Abhängigkeiten zu Drittsystemen? Genau diese Fragen werden im Prüfrahmen relevanter, weil das BSI die Integration von PQC ausdrücklich aufgenommen hat [1].
Confidential Computing: Isolation und Attestierung im C5-Kontext
Confidential Computing adressiert einen anderen Schwachpunkt: den Schutz von Daten während der Verarbeitung. Die Idee dahinter sind abgeschottete Ausführungsumgebungen, oft als Trusted Execution Environments umgesetzt, in denen selbst Betreiberzugriffe begrenzt werden. C5:2026 macht diesen Ansatz zu einem prüfbaren Kriterium [1]. Für regulierte Workloads ist das entscheidend, weil herkömmliche Verschlüsselung Daten im Ruhezustand und auf dem Transport schützt, nicht aber jede Form der Verarbeitung.
Für die Nachweisführung zählt damit nicht nur, ob ein Anbieter Confidential-Computing-Funktionen anbietet, sondern ob er deren Isolation und Attestierung belastbar dokumentieren kann. Genau an dieser Stelle entstehen oft die Lücken im Audit: Sicherheitsversprechen sind vorhanden, aber die technische Verifikation bleibt unvollständig. C5:2026 rückt daher die Frage nach prüfbaren Nachweisen in den Vordergrund [1]. Das verändert die Beschaffung ebenso wie den laufenden Betrieb, weil Plattformteams solche Nachweise in ihre Betriebsdokumentation integrieren müssen.
Automatisierte Compliance: Maschinenlesbare C5-Kontrollen
Die dritte Kernänderung betrifft den Prüfmodus selbst. C5:2026 zielt auf maschinenlesbare Formate, damit Compliance-Kontrollen automatisiert geprüft werden können [1]. Für Auditoren eröffnet das die Möglichkeit, Nachweise schneller und konsistenter auszuwerten. Für Unternehmen heißt das: Sicherheitsnachweise dürfen nicht länger nur in PDFs, Tickets oder punktuellen Reports liegen, wenn sie im Prüfprozess verwertbar sein sollen.
Für Cloud-Betriebsteams hat das direkte Folgen. Konfigurationen, Kontrollen und Betriebsnachweise müssen so strukturiert sein, dass sie sich regelmäßig und ohne manuelle Umformatierung auslesen lassen [1]. Wer hier früh standardisiert, reduziert Reibung zwischen Security, Plattformbetrieb und Audit. Wer darauf wartet, baut im Zweifel doppelte Prozesse auf: einen für den Betrieb und einen für die Prüfung.
Konkrete Auswirkungen auf DACH-Unternehmen mit regulierten Workloads
Wenn Gesundheitsdaten oder andere sensible Informationen in die Cloud wandern, verschiebt sich die Messlatte sofort vom „Betrieb möglich“ zum „Betrieb nur unter klaren Sicherheitsvorgaben“. Für Cloud-basierte Anwendungen im Gesundheitswesen gilt laut den vorliegenden Quellen ein strenger Rahmen; der C5-Bezug ist dort ausdrücklich verankert [3][2]. Für IT-Leiter heißt das: Die Frage lautet nicht mehr, ob eine Cloud-Lösung technisch funktioniert, sondern ob sie sich für regulierte Datenströme je nach Einzelfall rechtlich und organisatorisch belastbar prüfen und auditieren lässt [PRÜFEN].
Gesundheitswesen und kritische Infrastrukturen: Neue Pflichten
Im Gesundheitswesen greift C5 nicht als optionales Gütesiegel, sondern als faktisch relevanter Maßstab für die Cloud-Nutzung sensibler Daten [2][3]. Krankenhäuser, Krankenkassen und Leistungserbringer müssen ihre Informationssysteme nach dem Stand der Technik absichern; die Cloud-Nutzung steht dabei unter strengen Sicherheitsvorgaben [3]. Für Betreiber bedeutet das mehr als ein Häkchen im Compliance-Register. Sie müssen belegen, welche Kontrollen im laufenden Betrieb greifen, wie Zugriffe protokolliert werden und wo die Verantwortung zwischen Provider, Auftragsverarbeiter und internem Betrieb endet. Cloud-Provider wiederum müssen ihre Nachweise so aufbereiten, dass diese Rollenverteilung im Audit nachvollziehbar bleibt.
Private Clouds: Warum interne Betreiber stärker betroffen sind
Die Auswirkungen reichen über klassische Cloud-Anbieter hinaus. Laut den vorliegenden Informationen erfasst der C5-Rahmen ausdrücklich auch private Clouds, selbst wenn Unternehmen diese intern aufgebaut und selbst in Betrieb haben [2]. Dadurch geraten auch Forschungseinrichtungen, Pharmaunternehmen und weitere Dienstleister in den Fokus, sobald sie personenbezogene Gesundheitsdaten speichern oder verarbeiten [2]. Genau dort entsteht der praktische Bruch mit älteren Betriebsmodellen: Interne Teams können sich nicht mehr darauf verlassen, dass „selbst betrieben“ automatisch „besser kontrollierbar“ bedeutet. Sie brauchen dieselben prüfbaren Nachweise wie ein externer Provider.
Für sensible Workloads heißt das konkret: Die Sicherheitsarchitektur muss auch in privaten Umgebungen auf Transparenz, Protokollierung und nachweisbare Kontrollwirkung ausgelegt sein [2]. Wer bisher auf isolierte Plattformen, lokale Admin-Pfade und individuelle Freigaben gesetzt hat, muss diese Strukturen neu bewerten. Sonst bleibt die Cloud zwar intern, aber nicht automatisch C5-fähig.
Wie sich Cloud-Anbieter und Unternehmen effektiv auf C5:2026 vorbereiten
C5:2026 verschärft die Messlatte für Cloud-Sicherheit deutlich [4]. Wer regulierte Workloads sauber absichern will, braucht deshalb mehr als einzelne Härtungsmaßnahmen. Entscheidend ist, ob Kryptografie, Laufzeitumgebung und Nachweisführung in einer gemeinsamen Betriebslogik zusammenlaufen. Genau daran scheitern viele Vorhaben: Die Architektur ist modernisiert, aber die Governance bleibt auf alte Auditzyklen ausgerichtet.
Architektur-Check: PQC, CC und Container-Management
Der technische Mindestumfang für C5:2026 beginnt bei drei Ebenen: quantensichere Kryptografie, Confidential Computing und ein belastbares Container-Management [1]. Für die Architektur heißt das, dass Sie nicht nur Verschlüsselungsalgorithmen austauschen, sondern auch die Verarbeitungszone und den Betriebszuschnitt prüfen müssen. Wer Container-Workloads betreibt, braucht nachvollziehbare Kontrolle über Images, Laufzeit und Mandantentrennung. Genau deshalb rückt Container-Management als neuer Schwerpunkt in den Kriterienkatalog [1].
Für IT-Teams ist der praktische Mindeststandard damit klarer als früher: Schlüsselaustausch und Datenverarbeitung dürfen nicht getrennt betrachtet werden. Wenn ein Dienst sensible Daten verarbeitet, muss die Architektur zeigen, wo Confidential-Computing-Schutz greift, wie Container isoliert bleiben und wie kryptografische Übergänge dokumentiert werden. Wer diese drei Punkte nicht gemeinsam plant, baut spätere Nacharbeiten in die Plattform ein.
Audit-Automatisierung: Wie maschinenlesbare Kontrollen Change-Prozesse verändern
C5:2026 verschiebt die Prüfung weg von periodischen Einzelkontrollen hin zu automatisierbaren Nachweisen [1]. Das ist für Change-Prozesse relevant, weil jede Konfigurationsänderung sofort prüfbar werden muss. Manuelle Reportsammlungen reichen dafür nicht mehr aus. Unternehmen brauchen Kontrollen, die sich aus der Plattform heraus auslesen lassen, statt sie erst nachträglich zusammenzustellen [1].
In der Praxis verändert das den Betrieb spürbar. Security-Teams müssen Freigaben, Policies und technische Zustände so strukturieren, dass sie maschinenlesbar vorliegen. Wer weiterhin nur auf jährliche Audits setzt, entdeckt Abweichungen oft zu spät. Kontinuierliche Compliance wird dadurch zum Betriebsmodell, nicht zum Zusatzaufwand. Für Cloud-Anbieter bedeutet das: Nachweise gehören in die Plattform, nicht in ein separates Dokumentenarchiv.
Interne Governance: Rollen, Verantwortlichkeiten und Nachweisstruktur
Mit C5:2026 verschieben sich auch die Rollen im Unternehmen. CISO-Teams müssen stärker zwischen Architekturverantwortung, Betriebsverantwortung und Audit-Nachweis trennen. Wenn Post-Quanten-Kryptografie, Confidential Computing und Container-Management zusammen geprüft werden, reicht ein allgemeines Sicherheitsstatement nicht mehr aus. Jede Kontrolle braucht einen klaren Owner, eine technische Quelle und einen definierten Prüfpfad.
Für die Governance bedeutet das: Der CISO muss nicht jede technische Maßnahme selbst steuern, aber er braucht eine Struktur, die Verantwortlichkeiten über Provider, Plattformteam und Compliance hinweg sauber abbildet. Das betrifft vor allem Freigabeprozesse, Ausnahmebehandlungen und die Dokumentation von Kontrollwirkungen. Wer diese Rollen nicht neu schneidet, erzeugt Lücken zwischen Security Policy und tatsächlichem Betrieb.
C5:2026-Readiness: Checkliste und Entscheidungsmetrik für CISOs
Wenn Sie C5:2026 nur als weiteres Audit-Thema behandeln, verpassen Sie den eigentlichen Punkt: Der Kriterienkatalog zwingt Cloud-Betrieb, Kryptografie und Nachweisführung enger zusammenzuziehen [1]. Für CISOs heißt das, dass Readiness nicht mit einem Policy-Update beginnt, sondern mit einer belastbaren Bestandsaufnahme von Plattform, Provider-Nachweisen und internen Kontrollwegen. Wer die Cloud-Sicherheitsstrategie zuerst sauber aufsetzt, schafft die Grundlage für die spätere Bewertung der Umsetzung [PRÜFEN].
C5:2026-Kriterienübersicht als Vergleichstabelle
Die neue Version hebt sich vor allem dort ab, wo bisherige Programme oft nur generische Cloud-Kontrollen adressiert haben: bei Post-Quanten-Kryptografie, Confidential Computing, Container-Management und maschinenlesbaren Kontrollen für automatisierte Prüfungen [1]. Für die Praxis hilft eine Gegenüberstellung, weil Sie damit sofort erkennen, welche Bausteine bereits in Ihrer Zielarchitektur stecken und wo nur klassische Sicherheitsbausteine dokumentiert sind [2].
| Kriterium | Bisherige C5-Logik | C5:2026 | Prüffrage für CISOs |
|---|---|---|---|
| Kryptografie | Klassische Sicherheitsanforderungen rund um Cloud-Dienste [2] | Post-Quanten-Kryptografie mit prüfbaren Kriterien [1] | Sind Algorithmen, Schlüssellebenszyklus und Migrationspfad dokumentiert? |
| Verarbeitung | Kontrollen für Sicherheit und Compliance von Cloud-Diensten [2] | Confidential Computing als eigener Schwerpunkt [1] | Ist die sensible Verarbeitung technisch abgeschottet und nachweisbar? |
| Betrieb | Auditierbare Sicherheitskontrollen für Cloud-Dienste [2] | Maschinenlesbare Kontrollen für automatisierte Compliance-Prüfungen [1] | Lassen sich Nachweise aus dem Betrieb heraus automatisiert ziehen? |
| Container | Im klassischen C5-Katalog nicht als expliziter Schwerpunkt benannt | Container-Management als expliziter Fokus [1] | Sind Images, Runtime und Mandantentrennung kontrolliert? |
Bewertungsmodell für die eigene Organisation
Für die Entscheidungsreife reicht keine Ja-Nein-Prüfung. Sinnvoller ist eine dreistufige Metrik: 0 Punkte für nicht vorhanden, 1 Punkt für dokumentiert, 2 Punkte für technisch durchgesetzt und auditierbar. Bewerten Sie damit mindestens vier Felder: quantensichere Kryptografie, Confidential Computing, Container-Kontrollen und maschinenlesbare Nachweise [1]. So entsteht eine klare Sicht darauf, ob Sie erst konzeptionell arbeiten oder bereits betriebsfähig sind.
Ein CISO mit 0 bis 3 Punkten sollte C5:2026 als Architekturvorhaben behandeln. Bei 4 bis 6 Punkten steht die technische Umsetzung im Vordergrund. Ab 7 Punkten lohnt sich der Fokus auf Betriebsnachweise, Provider-Abgleich und Auditpfade. Diese Metrik ersetzt kein Assessment, aber sie verhindert, dass Teams ihre Reife überschätzen. Genau hier liegt der Unterschied zwischen einem sauber vorbereiteten Programm und einer reaktiven Compliance-Suche kurz vor dem Audit. Am Ende zählt, ob sich Sicherheitsniveau und Nachweisführung decken [2].
Wenn Sie die Bewertung abschließen, leiten Sie daraus direkt eine Prioritätenliste ab: erst Kryptografie und Datenverarbeitung, dann Betriebsnachweise, dann die Vereinheitlichung der Governance über interne Teams und Provider hinweg [1].
Was CISOs jetzt priorisieren sollten – und wie der Readiness-Check unterstützt
Wenn Sie C5:2026 erst nach dem nächsten Audit ernst nehmen, verlieren Sie Zeit an drei Stellen gleichzeitig: bei der Kryptografie, bei der Absicherung sensibler Laufzeitumgebungen und bei der Nachweisführung. Der aktualisierte Kriterienkatalog setzt mit Post-Quanten-Kryptografie, Confidential Computing und maschinenlesbaren Kontrollen genau dort an, wo klassische Cloud-Programme oft noch Lücken haben [1]. Für CISOs bedeutet das eine klare Reihenfolge: erst die Schutzmechanik für Daten und Verarbeitung schärfen, dann die Kontrollen so automatisieren, dass sie im Betrieb prüfbar bleiben, und danach die Feinarbeit an Governance und Reporting ziehen.
Der praktische Fehler vieler Teams liegt nicht in der Technik, sondern in der Priorisierung. Wer nur einzelne Maßnahmen nachzieht, erzeugt neue Brüche zwischen Plattform, Security und Compliance. C5:2026 verlangt dagegen, dass die Steuerung der Cloud-Sicherheit als zusammenhängendes Betriebsmodell gedacht wird [4]. Gerade für DACH-Unternehmen mit regulierten Workloads ist das relevant, weil Nachweise nicht mehr als Nebenprodukt eines Jahresaudits funktionieren, sondern aus dem laufenden Betrieb heraus belastbar sein müssen [1].
Der Readiness-Check unterstützt Sie vor allem bei der Sortierung. Er macht sichtbar, ob Sie sich noch in der Analysephase befinden oder schon in die technische Umsetzung übergehen können. Die Bewertung auf Basis von dokumentiert, technisch durchgesetzt und auditierbar zeigt schnell, wo Ihre Cloud-Umgebung noch nur auf Papier C5-nah ist und wo sie bereits tragfähig arbeitet. In der Praxis spart das Diskussionen zwischen CISO, Cloud-Architektur und Compliance-Team, weil die Reife nicht mehr gefühlt, sondern strukturiert eingeordnet wird [1].
Wenn Sie die Cloud-Sicherheitsarchitektur tiefer verankern wollen, setzen Sie im Anschluss direkt beim internen Zielbild an und vertiefen Sie die Sourcing-Strategie für Self-Service BI vs. Enterprise Data Warehouse [PRÜFEN]. So bleibt C5:2026 nicht bei Einzelmaßnahmen stehen, sondern wird zur belastbaren Leitplanke für regulierte Cloud-Workloads. Der nächste Schritt ist damit klar: Readiness prüfen, Lücken priorisieren, Umsetzung starten.
Häufige Fragen
Was ändert sich mit dem aktualisierten BSI C5-Kriterienkatalog C5:2026 für Cloud-Sicherheit in DACH-Unternehmen?
C5:2026 verschiebt den Fokus von klassischen, periodischen Audits hin zu automatisierbaren und laufend nachweisbaren Kontrollen. Neu sind vor allem prüfbare Anforderungen an Post-Quanten-Kryptografie und Confidential Computing für sensible Cloud-Workloads. Für DACH-Unternehmen bedeutet das, dass nicht mehr nur Dokumentation zählt, sondern die tatsächliche Nachweisbarkeit der Sicherheitsmaßnahmen im Betrieb.
Welche Bedeutung hat Post-Quanten-Kryptografie im BSI C5:2026 für regulierte Cloud-Workloads?
Die Aufnahme von Post-Quanten-Kryptografie ist relevant, weil der Kriterienkatalog damit Verschlüsselungsverfahren adressiert, die auch bei zukünftigen, leistungsfähigeren Angriffsmodellen belastbar bleiben sollen. Besonders wichtig ist das für Daten mit langer Schutzdauer oder für stark regulierte Bestände. Unternehmen müssen deshalb prüfen, welche Systeme schon heute einen quantenrobusten Migrationspfad brauchen.
Warum ist Confidential Computing für Cloud-Sicherheit in DACH jetzt wichtiger geworden?
C5:2026 macht Confidential Computing zu einem prüfbaren Thema, weil sensible Workloads nicht nur sicher gespeichert, sondern auch in ihrer Ausführungsumgebung besser abgesichert werden sollen. Das ist vor allem für Umgebungen mit schützenswerten Daten relevant, bei denen Mandantentrennung und Zugriffsschutz entscheidend sind. Der Artikel betont, dass Cloud-Sicherheit damit über klassische Verschlüsselung und IAM hinausgeht.
Wie sollten Unternehmen ihre Cloud-Anbieter auf BSI C5:2026 vorbereiten oder prüfen?
Unternehmen sollten früh klären, ob der Anbieter bereits Kriterien für Post-Quanten-Kryptografie und Confidential Computing abbilden kann. Wichtig sind außerdem Attestierung, maschinenlesbare Nachweise und ein nachvollziehbarer Migrationspfad, damit spätere Architekturbrüche vermieden werden. Der Artikel empfiehlt, die Kontrolltiefe des Anbieters stärker zu bewerten als nur einzelne Zertifikate oder Feature-Listen.
Was bedeutet C5:2026 konkret für die Compliance-Prüfung in der Cloud?
C5:2026 zielt auf eine Prüf- und Nachweislogik, die sich laufend automatisieren lässt statt nur punktuell zu auditieren. Damit wird Compliance stärker an die technische Betriebsfähigkeit gekoppelt. Für Compliance-Manager in DACH heißt das, dass man Kontrollen, Nachweise und Betrieb enger zusammenführen muss.
