Blog
Compliance als Infrastruktur.
Fachbeiträge zu Executable Compliance, Policy-as-Code, NIS-2, DORA und EU AI Act von Brain-Media.de.
Grundlagen · Working Paper
Collect Once, Comply Many – wie ein Control NIS-2, DORA und den EU AI Act gleichzeitig erfüllt
Regulatorische Anforderungen wiederholen sich. IAM, Logging, Incident Response, Verschlüsselung – diese Controls tauchen in NIS-2, DORA, ISO 27001 und dem EU AI Act nahezu identisch auf. Executable Compliance macht das strukturell nutzbar.
Artikel lesen →Art. 21
Art. 9
A.8
Art. 9
Collect Once, Comply Many
Anleitung · Cross-Framework
Ein Asset-Inventar aufbauen, das DSGVO-, NIS-2-, EU-AI-Act- und ISO-27001-Audits gleichzeitig besteht
Schritt-für-Schritt-Anleitung: welche Felder ins Inventar gehören und wie ein Asset gleichzeitig vier Frameworks bedient.
CISA · Domäne 4
CISA Domäne 4: Was Prüfer über IT-Betrieb und Resilienz wirklich wissen wollen
Die mit 26 Prozent größte CISA-Domäne im Detail: IT-Betrieb, Business Impact Analysis und der Unterschied zwischen BCP und DRP.
DSGVO · NIS-2 · Cross-Framework
DSGVO: Die fünf häufigsten Verstöße bei NIS-2-pflichtigen Unternehmen
Fehlender AVV, kein VVT, verwechselte Meldefristen – und wie sich DSGVO und NIS-2 ohne Doppelarbeit gleichzeitig umsetzen lassen.
CSA · EU-Cybersicherheit
Cyber Solidarity Act: Was kommt nach NIS-2?
CSA: Cyber-Hubs, koordinierte Vorfallreaktion und gegenseitige Unterstützung. Wer betroffen ist, wann es greift – und was BAM CSA-Objekte konkret leisten.
CISA · CISM · Karriere
CISA vs. CISM: Welche Zertifizierung passt zu welchem Karriereweg?
Direkter Vergleich: Zielgruppe, Prüfungsformat und Stellenwert der beiden ISACA-Zertifizierungen – und welcher Weg zu welcher Karriere passt.
NIS-2 · Governance
Compliance als Führungsaufgabe: Warum sich Verantwortung nicht mehr delegieren lässt
NIS-2 und der EU AI Act schaffen eine neue Kategorie nicht delegierbarer Führungsentscheidungen. Warum fragmentierte Register das eigentliche Risiko sind – und was eine Single Source of Truth konkret ändert.
Compliance-Software · Anbietervergleich
BAM vs. heyData vs. Kertos: Compliance-Software im Vergleich
Automatisierung, KI-gestützt, audit-bereit in wenigen Wochen – die Werbeversprechen ähneln sich. Der Unterschied zeigt sich erst bei Preisen, Architektur und Anbieterstabilität für NIS-2, DORA und den EU AI Act.
CRA · Hersteller
CRA: Was Hersteller vernetzter Produkte ab 2027 nachweisen müssen
Cyber Resilience Act operativ: SBOM, Schwachstellenmanagement, Meldepflichten und CE-Kennzeichnung – mit BAM CRA-Objekten für die Umsetzung.
CISA · Prüfungsvorbereitung
CISA Domäne 2: Informationssicherheits-Governance – was Prüfer wirklich fragen
Governance-Frameworks, COBIT und typische CISA-Fragen zu Domäne 2 – Vorlauf-Artikel vor dem CISA-Buch-Launch.
DORA · ICT-Risikomanagement
DORA: Was Finanzunternehmen von anderen lernen können – und was alle von DORA lernen sollten
DORA als Blaupause für sektorübergreifende Resilienz: Fünf Säulen, TLPT, Drittanbieterregister – und warum das über den Finanzsektor hinaus relevant ist.
EU AI Act · Hochrisiko-Klassifizierung
EU AI Act: Wie erkenne ich, ob mein KI-System als Hochrisiko gilt?
Anhang III als Entscheidungsbaum – mit Praxisbeispielen zu Bewerbungsscreening und Kreditscoring sowie BAM-Objekten für die dokumentierte Einstufung.
CISM · Prüfungsvorbereitung
CISM-Buch: Was die ersten Leser zurückgemeldet haben
Das erste deutschsprachige CISM-Buch – Leserfeedback nach vier Wochen, der häufigste Denkfehler bei Berufserfahrenen und Zugriff auf alle 800 Prüfungsfragen für Käufer.
NIS-2 · KMU
NIS-2 in der Praxis: Was eine IT-Abteilung mit drei Personen konkret umsetzen muss
Das NIS2UmsuCG ist seit dem 6. Dezember 2025 in Kraft – ohne Übergangsfrist. Die zehn Art.-21-Maßnahmen priorisiert nach Aufwand und Wirkung: GAP-Check für KMU ohne dediziertes Sicherheitspersonal.
DORA · Meldepflicht
Was die 4-Stunden-Meldepflicht für IT-Teams konkret bedeutet
Vier Stunden für die Erstmeldung an die BaFin – während der Incident noch läuft. Wer meldet was an wen, welcher Kanal, welcher Inhalt: die DORA-Meldepflicht operativ erklärt.
CISM · Prüfungsvorbereitung
Warum CISM-Kandidaten an Domäne 1 scheitern: die drei häufigsten Denkfehler bei Governance-Fragen
Die meisten erfahrenen Sicherheitsmanager schneiden in Domäne 1 schlechter ab als Berufseinsteiger. Nicht weil sie weniger wissen, sondern weil sie mit dem falschen Denkmodell antworten.
Policy-as-Code · DevSecOps
Was Infrastructure-as-Code für DevOps war, wird Executable Compliance für GRC
Infrastructure-as-Code hat gezeigt, was passiert, wenn man manuell verwaltete Systeme durch versionierbare Artefakte ersetzt. Executable Compliance macht dasselbe für GRC – mit versionierbaren, testbaren und deployabaren Compliance-Artefakten.
Open Source
BAM Core ist jetzt Open Source
Das Datenmodell hinter Executable Compliance liegt offen auf GitHub – 58 Objekte fuer sechs EU-Frameworks, AGPLv3 + CC BY-SA 4.0.
Architektur
Compliance ist kein Dokumentationsproblem
Warum traditionelle Compliance-Ansätze an ihren eigenen Grundannahmen scheitern – und was der Unterschied zwischen einem Dokument und einem ausführbaren System ist.
Stille Revolutionen · Band 2
Bevor es ChatGPT gab: Die vergessene Geschichte des Transformers
2017 luden acht Forscher ein Paper hoch, dessen Name auf einem Insider-Scherz beruhte. Heute steckt es in jedem großen KI-Modell.
Stille Revolutionen · Band 8
Warum neuronale Netze 30 Jahre als Sackgasse galten
Zwei "AI Winters", ein Nobelpreis 2024 – und ein bis heute andauernder Streit darüber, wem die Geschichte gehört.
Stille Revolutionen · Band 1
Die vierte Grundkomponente
1971 sagte Leon Chua ein Bauteil voraus, das es noch nicht gab. 2008 fand HP es zufällig – beim Testen von etwas ganz anderem. Die Geschichte des Memristors.
NIS-2 · ISO 27001
Warum 70 % der NIS-2-Maßnahmen schon in ISO 27001 stecken
Acht von zehn NIS-2-Maßnahmen haben ein direktes Pendant in ISO 27001 Annex A. Die verbleibenden 30 % sind klein – aber genau dort liegt das höchste Bußgeldrisiko.
CISM · ISACA
Die vier Säulen des CISM
Governance wiegt in der Prüfung am wenigsten – und trägt trotzdem alles andere. Wie die vier CISM-Domänen zusammenhängen und warum die Reihenfolge zählt.