Kuratierte Sammlung

SecNumCloud-zertifizierte Anbieter

Europäische Cloud- und SaaS-Anbieter, die ANSSIs SecNumCloud-Qualifizierung halten oder darauf ausgelegt sind. Der französische Maßstab für souveräne Cloud.

Kurzfassung

SecNumCloud ist die Souveränitäts-Qualifizierung der ANSSI für Cloud-Anbieter in Frankreich. Sie umfasst sowohl Sicherheitskontrollen als auch eine Konzernstruktur-Anforderung, die nicht-europäische extraterritoriale Rechtsrisiken begrenzen soll. OVHcloud und Oodrive halten formale Qualifizierungen; die Liste ist kurz, weil die Anforderungen hoch sind. Für öffentliche Ausschreibungen in Frankreich ist SecNumCloud zunehmend als schriftliche Anforderung verankert.

Zuletzt geprüft Mai 2026 DISCLOSURE Einige Links auf dieser Website sind Affiliate-Links. Wir erhalten ggf. eine Provision ohne Mehrkosten für Sie. Redaktionelle Signale und Rankings werden nicht durch Affiliate-Beziehungen beeinflusst.

SecNumCloud ist die Qualifizierung der ANSSI, der nationalen Cybersicherheitsbehörde Frankreichs, für Cloud-Anbieter. Sie begann als technischer und organisatorischer Sicherheitsstandard, doch das aktuelle Referential 3.2 ergänzt Kriterien, die den Dienst und seine Daten außerhalb der Reichweite nicht-europäischen extraterritorialen Rechts halten sollen. Deshalb behandelt die französische Cloud-Doktrin sie als Referenzstandard für souveräne Cloud, nicht bloß als Sicherheitsabzeichen.

Diese Seite listet die Anbieter unseres Verzeichnisses auf, die eine SecNumCloud-Qualifizierung halten oder Infrastruktur betreiben, die darauf ausgelegt ist. Jeder wird nach denselben Beschaffungskriterien wie jeder andere Eintrag bewertet (Hosting-Region, Eigentümer, CLOUD-Act-Risiko, Unterauftragsverarbeiter und DPA); die Qualifizierung ist also ein Signal unter mehreren, nicht die ganze Geschichte.

Warum es darauf ankommt

Für ein französisches Beschaffungsteam erscheint SecNumCloud zunehmend als schriftliche Anforderung in öffentlichen Ausschreibungen und als Vorauswahl-Filter bei regulierten Einkäufen im Privatsektor. Sein Wert liegt darin, dass es zwei Dinge bündelt, die ein Käufer sonst getrennt prüfen müsste: eine geprüfte Sicherheitslage und einen Konzernstruktur-Test, der die extraterritoriale Rechtsexposition begrenzen soll.

Es ist keine universelle Antwort. Die Qualifizierung wird pro Dienst erteilt; ein Anbieter kann für ein Produkt qualifiziert sein und für ein anderes nicht. Sie klärt auch nicht im Alleingang jede CLOUD-Act-Frage; das hängt weiterhin von der konkreten betreibenden Einheit, ihren Eigentümern und Unterauftragsverarbeitern ab. Wir erfassen das separat in jedem Produktprofil, damit Sie die Kette bestätigen können, statt sich allein auf das Abzeichen zu verlassen. Behandeln Sie SecNumCloud als starken Ausgangsfilter und prüfen Sie dann die Details, die für Ihre Transfer-Folgenabschätzung zählen.

Alle 4 Alternativen in dieser Kategorie Aktualisiert

		Cert.	Pricing	Signals	Öffnen
Lucca French sovereign-cloud HR platform (Nantes / Paris, est. 2002); SecNumCloud + ISO 27001; 1M+ users incl. AXA, Deezer.	FR France	ISO/IEC 27001 SecNumCloud	Kostenpflichtig	Öffentl. AVV Subprozessoren Open Source	→
OVHcloud French sovereign cloud (OVH Groupe, Roubaix, 1999), ANSSI SecNumCloud 3.2-qualified Bare Metal Pod; 46 DCs, public on Euronext Paris.	ROUBAIX · FR France	ISO/IEC 27001 SecNumCloud +2 weitere	Kostenpflichtig €5 /Mt.	Öffentl. AVV Subprozessoren Open Source	→
Scaleway French sovereign cloud (Iliad-owned, Xavier Niel), ANSSI SecNumCloud + HDS + ISO 27001; winner of €180M EU Cloud III tender.	PARIS · FR France	ISO/IEC 27001 SecNumCloud	Kostenpflichtig €2 /Mt.	Öffentl. AVV Subprozessoren Open Source	→
Tixeo Montpellier-based French secure video conferencing (founded 2003), ANSSI CSPN-certified, SecNumCloud-qualified, defense + government grade.	MONTPELLIER · FR France	SecNumCloud	Kostenpflichtig	Öffentl. AVV Subprozessoren Open Source	→

So treffen Sie die Wahl

Beginnen Sie mit Ihrer bindenden Anforderung. Nennt eine Ausschreibung SecNumCloud ausdrücklich, filtern Sie auf formal qualifizierte Dienste und bestätigen Sie, dass die Qualifizierung das konkrete Produkt abdeckt, das Sie kaufen, nicht nur die Flaggschiff-IaaS des Anbieters. Brauchen Sie Souveränitäts-Sicherheit, ohne dass die Qualifizierung zwingend ist, kann ein SecNumCloud-orientierter Anbieter mit sauberer Eigentümer- und Unterauftragsverarbeiter-Kette Ihnen ebenso gut dienen wie ein formal qualifizierter, zu geringeren Kosten. Sitzen Ihre Käufer außerhalb Frankreichs, wägen Sie SecNumCloud gegen das deutsche BSI C5 und das europaweite EUCS-Schema ab; sie überschneiden sich in der Absicht, unterscheiden sich aber in rechtlicher Einordnung und Anerkennung. Die Vergleichstabelle oben lässt Sie die gelisteten Anbieter nach Compliance-Score, CLOUD-Act-Risiko und Hosting-Region sortieren.

FAQ

Häufig gestellte Fragen

Was ist SecNumCloud?

SecNumCloud ist eine Sicherheitsqualifizierung der ANSSI, der nationalen Cybersicherheitsbehörde Frankreichs, für Cloud-Anbieter. Über technische und organisatorische Sicherheitskontrollen hinaus fügt das aktuelle Referential 3.2 Kriterien hinzu, die den Dienst und seine Daten vor nicht-europäischem extraterritorialem Recht abschirmen sollen. Deshalb gilt es als französischer Referenzstandard für souveräne Cloud und nicht als rein technische Zertifizierung.

Ist ein SecNumCloud-qualifizierter Anbieter immun gegen den US CLOUD Act?

Die 3.2-Kriterien der ANSSI sollen die Exposition gegenüber extraterritorialer Gerichtsbarkeit verringern, etwa indem die betreibende Einheit und ihre Entscheidungsgewalt innerhalb der EU und außerhalb nicht-europäischer Kontrolle liegen müssen. Ob daraus im Einzelfall vollständige rechtliche Immunität entsteht, hängt von der konkreten Konzernstruktur und den Verträgen ab. Deshalb erfassen wir Eigentümer und Unterauftragsverarbeiter weiterhin separat, statt die Qualifizierung als pauschale Garantie zu behandeln.

Wer braucht SecNumCloud tatsächlich?

Französische öffentliche Stellen und Betreiber, die sensible oder regulierte Daten verarbeiten, sind die primäre Zielgruppe; die Qualifizierung ist in der Cloud-Doktrin der französischen Regierung verankert und steht zunehmend in öffentlichen Ausschreibungen. Private Käufer in regulierten Branchen (Finanzen, Gesundheit, Verteidigungslieferkette) nutzen sie als Vorauswahl-Filter, auch wenn sie nicht zwingend vorgeschrieben ist.

Warum sind manche Einträge 'SecNumCloud-orientiert' statt qualifiziert?

Die formale Qualifizierung wird pro Dienst erteilt und braucht Zeit. Manche Anbieter betreiben Infrastruktur, die nach dem Referential gebaut ist, oder haben eine Qualifizierung in Bearbeitung, aber noch kein finales Visum. Wo ein Anbieter noch nicht formal qualifiziert ist, sagen wir das ausdrücklich und verlinken die Quelle; die Unterscheidung wird nie verschwiegen.

Wie unterscheidet sich SecNumCloud von BSI C5 und ISO 27001?

BSI C5 ist Deutschlands Cloud-Sicherheitsbaseline, ISO 27001 ein weit verbreiteter internationaler Informationssicherheitsstandard, und SecNumCloud ist Frankreichs Souveränitäts-Qualifizierung. Alle drei adressieren Sicherheitskontrollen, doch SecNumCloud 3.2 fügt einen Konzernstruktur-Test hinzu, der EU-Eigentum und EU-Entscheidungsgewalt vorschreibt – das leisten BSI C5 und ISO 27001 nicht. Für gesamteuropäische Beschaffung ist EUCS das entstehende gemeinsame Rahmenwerk; seine höheren Vertrauensstufen sollen sich voraussichtlich mit SecNumCloud- und BSI-C5-Anforderungen decken.

Wird SecNumCloud außerhalb Frankreichs anerkannt?

Nicht als formelle Pflichtanforderung, aber es wird in europäischen Souveränitätsdiskussionen zunehmend als Referenz genannt und von Beschaffungsteams in anderen EU-Mitgliedstaaten als aussagekräftiges Signal anerkannt. Die französische Cloud-Doktrin schreibt es für bestimmte Datenklassifizierungen vor; andere europäische Schemata (BSI C5, EUCS) erfüllen vergleichbare Zwecke in ihren jeweiligen Märkten. Prüfen Sie bei länderübergreifenden EU-Ausschreibungen, welche nationalen Schemata neben EUCS ausdrücklich genannt werden.

Methodik

Wie wir jeden Eintrag hier geprüft haben.

Für jedes Produkt prüfen wir die öffentliche DPA, das Unterauftragsverarbeiter-Dokument, die Hosting-Region, Zertifizierungen und die Eigentümerstruktur. Jede Prüfung wird mit Zeitstempel versehen. Die Signale sind redaktionell und werden vierteljährlich neu verifiziert. Selbstauskünfte akzeptieren wir nicht.

Methodik lesen →