Regulatorische Anforderungen wiederholen sich. Wer NIS-2, DORA, ISO 27001 und den EU AI Act nebeneinanderlegt, stellt schnell fest: Identitäts- und Zugriffsmanagement, Protokollierung, Incident Response, Verschlüsselung — diese Anforderungen tauchen in nahezu jedem Framework auf, oft in leicht unterschiedlicher Formulierung, aber mit identischem operativen Kern.
Die übliche Reaktion: für jedes Framework ein eigenes Kontrollset aufbauen, separat dokumentieren, separat auditrieren. Das Ergebnis ist ein Geflecht aus redundanten Maßnahmen, doppelten Nachweisen und mehrfach eingekauften Consulting-Leistungen für dasselbe Problem.
Executable Compliance löst dieses Problem strukturell — durch ein Prinzip, das sich in der Softwareentwicklung schon lange bewährt hat: Collect Once, Comply Many.
Warum sich Anforderungen wiederholen
Regulierung ist kein leeres Blatt. NIS-2, DORA, ISO 27001, EU AI Act und CRA adressieren verwandte Probleme: Cybersicherheit, Resilienz, Governance, Transparenz. Es überrascht daher nicht, dass ihre Kontrollanforderungen erheblich überlappen.
Ein konkretes Beispiel: Zugangskontrollen und Authentifizierung werden gefordert von
| Framework | Artikel / Abschnitt | Anforderung (Kern) |
|---|---|---|
| NIS-2 | Art. 21 Abs. 2 (i) | Zugangskontrollen, Multi-Faktor-Authentifizierung |
| DORA | Art. 9 Abs. 4 (b) | Starke Authentifizierung, privilegierte Zugänge |
| ISO 27001:2022 | A.8.2 / A.8.3 / A.8.5 | Privilegierte Zugriffsrechte, sichere Authentifizierung |
| EU AI Act | Art. 9 (Risikomanagement) | Zugangskontrolle zu Hochrisiko-KI-Systemen |
| DSGVO | Art. 32 Abs. 1 (b) | Vertraulichkeit und Integrität, Zugangsschutz |
Fünf Frameworks, eine operative Maßnahme. Wer diese Maßnahme fünfmal separat implementiert, dokumentiert und nachweist, verschwendet Ressourcen — und erhöht dabei das Risiko von Inkonsistenzen.
Was Cross-Control-Mapping bedeutet
Cross-Control-Mapping ist der Kern des Collect-Once-Prinzips. Ein strukturierter Control-Eintrag wird nicht für ein einzelnes Framework angelegt, sondern als eigenständiges Compliance-Objekt — mit expliziten Verknüpfungen zu allen Frameworks, deren Anforderungen er erfüllt.
Kernprinzip
Ein Control wird einmal implementiert, einmal dokumentiert und einmal als Nachweis geführt — und erfüllt dabei mehrere regulatorische Anforderungen gleichzeitig, mit vollständiger Rückverfolgbarkeit zu jedem Framework.
In einem Executable-Compliance-Modell sieht das konkret so aus: Der IAM-Control erhält einen eindeutigen Bezeichner, eine Beschreibung der technischen Maßnahme, eine Liste der verknüpften Anforderungen aus allen relevanten Frameworks, einen Verweis auf den Nachweis-Artefakt, und einen Status-Indikator für Continuous Monitoring.
Dieser Control kann von GRC-Systemen, Audit-Werkzeugen und KI-Assistenten direkt gelesen und verarbeitet werden — ohne manuelle Interpretation.
Das Brain-Media Audit Model (BAM)
Das Brain-Media Audit Model (BAM v4) implementiert genau dieses Prinzip für acht Frameworks: NIS-2, DORA, CRA, EU AI Act, ISO 27001, ISO 42001, DSGVO und den Cyber Solidarity Act.
BAM strukturiert regulatorische Anforderungen als maschinenlesbare Compliance-Objekte entlang der Kette:
Requirement → Gap Check → Remediation → Risk → Control → Evidence
Jedes Objekt hat definierte Felder, Identifier und Beziehungen. Cross-Controls — also Maßnahmen, die mehrere Frameworks gleichzeitig abdecken — sind explizit ausgezeichnet. Das Ergebnis: redundante Prüf- und Umsetzungsaufwände sinken nach unserer Erfahrung um bis zu 60 Prozent.
Collect Once in der Praxis
Was bedeutet das operativ? Ein Unternehmen, das NIS-2 und DORA gleichzeitig umsetzen muss, braucht kein separates Logging-Konzept für jedes Framework. Es braucht ein Logging-Control-Objekt, das beide Anforderungen referenziert, und einen Nachweis-Artefakt, der beide Audits bedient.
Das klingt trivial — ist es aber nicht, solange Compliance als Dokumentationsprojekt behandelt wird. Sobald Compliance-Anforderungen als strukturierte Daten vorliegen, wird Cross-Mapping zu einem technischen Problem, das sich systematisch lösen lässt.
Drei konkrete Vorteile in der Praxis:
- Weniger Doppelarbeit: Jede Maßnahme wird einmal umgesetzt, nicht fünfmal mit leicht unterschiedlichen Formulierungen.
- Konsistente Nachweise: Ein einziger Evidence-Artefakt deckt mehrere Frameworks ab — kein Interpretationsrisiko durch unterschiedliche Dokumentversionen.
- Schnellere Audit-Vorbereitung: Da Nachweise kontinuierlich generiert und strukturiert gespeichert werden, entfällt das Zusammensuchen von Belegen vor dem Audit.
Warum das mehr ist als ein technisches Detail
Das Collect-Once-Prinzip verändert, wie Unternehmen über Compliance nachdenken. Compliance ist nicht mehr eine Reihe isolierter Projekte — eines für NIS-2, eines für DORA, eines für ISO 27001. Compliance wird zu einer persistenten Infrastruktur, die einmal aufgebaut und kontinuierlich betrieben wird.
Diese Verschiebung ist konzeptionell genauso wichtig wie technisch. Organisationen, die Compliance als Infrastruktur behandeln, skalieren ihre Governance-Fähigkeit mit deutlich geringerem Aufwand — und sind gleichzeitig besser auf neue regulatorische Anforderungen vorbereitet.
Weiterführend
Das vollständige Policy-as-Code-Modell, die Datenstruktur der Compliance-Objekte und die Architektur des BAM sind im Working Paper „Executable Compliance: A Policy-as-Code Framework for Machine-Readable Regulatory Enforcement" beschrieben, verfügbar auf SSRN und als Whitepaper.