C5 Zertifizierung? Gibt es nicht.
Wer „C5-zertifiziert“ verkauft, verkauft einen Kategoriefehler. C5 mündet in ein Testat, ausgestellt von einem Wirtschaftsprüfer. Der Unterschied ist nicht kosmetisch. Er entscheidet, was Sie Ihren Kunden, Ihrem Vertrieb und der Krankenkasse sagen dürfen.
Kurz erklärt: Testat, nicht Zertifikat
Ein Zertifikat wird typischerweise von einer akkreditierten Zertifizierungsstelle gegen einen Standard ausgestellt (z. B. ISO 27001). C5 funktioniert anders: Der BSI-Kriterienkatalog wird durch einen Wirtschaftsprüfer geprüft, in einer Prüfung nach ISAE 3000 bzw. IDW PS 860. Das Ergebnis ist ein Testat, keine Zertifizierungsurkunde.
Rechtssicher formulieren Sie deshalb: „Wir sind nach C5 testiert“ oder „C5-Testat Typ 2 vom [Datum]“. Nicht: „C5-zertifiziert“, nicht „C5-konform“ als Zusicherung, nicht „prüfungssicher“.
Typ 1 oder Typ 2, und was §393 SGB V wirklich verlangt
Ein Typ-1-Testat bestätigt zum Stichtag, dass Kontrollen angemessen gestaltet sind. Ein Typ-2-Testat bestätigt über einen Prüfzeitraum, dass diese Kontrollen wirksam waren. §393 SGB V verlangt seit dem 01.07.2025 ein Typ-2-Testat. Für Systeme, die neu in den Markt gehen (nach dem 30.06.2025), gibt es eine 18-Monats-Spur mit Typ-1-Übergang.
Das Testat Ihres Hyperscalers (AWS, Azure, GCP) reicht nicht: Es deckt deren Schichten ab, nicht Ihre SaaS-Ebene. Die herrschende Meinung zu §393: Der SaaS-Anbieter selbst braucht das Testat.
Warum die Verwechslung teuer wird
Wer im Vertrieb „zertifiziert“ sagt und ein Testat meint, riskiert wettbewerbsrechtliche Abmahnungen und Rückfragen der Krankenkassen im DiGA- und §393-Umfeld. Marktsignale für ein Typ-2-Testat liegen bei 60 bis 120 Tsd. €, plus 3 bis 6 Monate Wartezeit auf qualifizierte Prüfer. Vorbereitungsqualität ist der größte Kostenhebel und das, was Sie steuern.
Was Sie vor dem ersten Prüfergespräch klären sollten
Scope und Trust Service Criteria festlegen. ISMS-Baseline gegen den C5-Kriterienkatalog abgleichen. Nachweise für die 121 Basiskriterien einsammeln und lückenlos versionieren. Für C5:2026 die Delta-Felder und 39 neuen Kriterien mitdenken, statt zweimal zu prüfen. All das ist Vorbereitung, keine Prüfung. awedit erkennt Lücken, Experten priorisieren, der Wirtschaftsprüfer testiert.
Orientierung, kein Nachweis. Dieser Leitfaden ersetzt keine Rechts- oder Prüferberatung.
awedit ist eine Marke von sumthink, betrieben von Die Quadratur UG. awedit liefert Readiness-Analysen, Gap-Assessments und Remediation-Unterstützung. awedit führt keine Prüfungen nach ISAE 3000 / IDW PS 860 durch und erteilt keine Testate; dies tun ausschließlich Wirtschaftsprüfer. Self-Check- und Scan-Ergebnisse sind Orientierung, kein Nachweis, und erfüllen weder §393 SGB V noch andere gesetzliche Anforderungen. Keine Haftung für Vollständigkeit; keine Rechtsberatung.