Blog

Compliance als Infrastruktur.

Fachbeiträge zu Executable Compliance, Policy-as-Code, NIS-2, DORA und EU AI Act von Brain-Media.de.

Grundlagen · Working Paper

Collect Once, Comply Many – wie ein Control NIS-2, DORA und den EU AI Act gleichzeitig erfüllt

Regulatorische Anforderungen wiederholen sich. IAM, Logging, Incident Response, Verschlüsselung – diese Controls tauchen in NIS-2, DORA, ISO 27001 und dem EU AI Act nahezu identisch auf. Executable Compliance macht das strukturell nutzbar.

Dr. Holger Reibold · Juni 2025 · 8 Min. Lesezeit

Artikel lesen →
IAM-Control
NIS-2
Art. 21
DORA
Art. 9
ISO 27001
A.8
EU AI Act
Art. 9

Collect Once, Comply Many

20 Artikel

Anleitung · Cross-Framework

Ein Asset-Inventar aufbauen, das DSGVO-, NIS-2-, EU-AI-Act- und ISO-27001-Audits gleichzeitig besteht

Schritt-für-Schritt-Anleitung: welche Felder ins Inventar gehören und wie ein Asset gleichzeitig vier Frameworks bedient.

Erscheint am 24. Juli

CISA · Domäne 4

CISA Domäne 4: Was Prüfer über IT-Betrieb und Resilienz wirklich wissen wollen

Die mit 26 Prozent größte CISA-Domäne im Detail: IT-Betrieb, Business Impact Analysis und der Unterschied zwischen BCP und DRP.

Erscheint am 23. Juli

DSGVO · NIS-2 · Cross-Framework

DSGVO: Die fünf häufigsten Verstöße bei NIS-2-pflichtigen Unternehmen

Fehlender AVV, kein VVT, verwechselte Meldefristen – und wie sich DSGVO und NIS-2 ohne Doppelarbeit gleichzeitig umsetzen lassen.

Erscheint am 22. Juli

CSA · EU-Cybersicherheit

Cyber Solidarity Act: Was kommt nach NIS-2?

CSA: Cyber-Hubs, koordinierte Vorfallreaktion und gegenseitige Unterstützung. Wer betroffen ist, wann es greift – und was BAM CSA-Objekte konkret leisten.

Redaktion · 17. Juli 2026 Lesen →

CISA · CISM · Karriere

CISA vs. CISM: Welche Zertifizierung passt zu welchem Karriereweg?

Direkter Vergleich: Zielgruppe, Prüfungsformat und Stellenwert der beiden ISACA-Zertifizierungen – und welcher Weg zu welcher Karriere passt.

Dr. Holger Reibold · 16. Juli 2026 Lesen →

NIS-2 · Governance

Compliance als Führungsaufgabe: Warum sich Verantwortung nicht mehr delegieren lässt

NIS-2 und der EU AI Act schaffen eine neue Kategorie nicht delegierbarer Führungsentscheidungen. Warum fragmentierte Register das eigentliche Risiko sind – und was eine Single Source of Truth konkret ändert.

Redaktion · 15. Juli 2026 Lesen →

Compliance-Software · Anbietervergleich

BAM vs. heyData vs. Kertos: Compliance-Software im Vergleich

Automatisierung, KI-gestützt, audit-bereit in wenigen Wochen – die Werbeversprechen ähneln sich. Der Unterschied zeigt sich erst bei Preisen, Architektur und Anbieterstabilität für NIS-2, DORA und den EU AI Act.

Dr. Holger Reibold · 14. Juli 2026 Lesen →

CRA · Hersteller

CRA: Was Hersteller vernetzter Produkte ab 2027 nachweisen müssen

Cyber Resilience Act operativ: SBOM, Schwachstellenmanagement, Meldepflichten und CE-Kennzeichnung – mit BAM CRA-Objekten für die Umsetzung.

Redaktion · 9. Juli 2026 Lesen →

CISA · Prüfungsvorbereitung

CISA Domäne 2: Informationssicherheits-Governance – was Prüfer wirklich fragen

Governance-Frameworks, COBIT und typische CISA-Fragen zu Domäne 2 – Vorlauf-Artikel vor dem CISA-Buch-Launch.

Redaktion · 8. Juli 2026 Lesen →

DORA · ICT-Risikomanagement

DORA: Was Finanzunternehmen von anderen lernen können – und was alle von DORA lernen sollten

DORA als Blaupause für sektorübergreifende Resilienz: Fünf Säulen, TLPT, Drittanbieterregister – und warum das über den Finanzsektor hinaus relevant ist.

Redaktion · 7. Juli 2026 Lesen →

EU AI Act · Hochrisiko-Klassifizierung

EU AI Act: Wie erkenne ich, ob mein KI-System als Hochrisiko gilt?

Anhang III als Entscheidungsbaum – mit Praxisbeispielen zu Bewerbungsscreening und Kreditscoring sowie BAM-Objekten für die dokumentierte Einstufung.

Redaktion · 2. Juli 2026 Lesen →

CISM · Prüfungsvorbereitung

CISM-Buch: Was die ersten Leser zurückgemeldet haben

Das erste deutschsprachige CISM-Buch – Leserfeedback nach vier Wochen, der häufigste Denkfehler bei Berufserfahrenen und Zugriff auf alle 800 Prüfungsfragen für Käufer.

Dr. Holger Reibold · 01. Juli 2026 Lesen →

NIS-2 · KMU

NIS-2 in der Praxis: Was eine IT-Abteilung mit drei Personen konkret umsetzen muss

Das NIS2UmsuCG ist seit dem 6. Dezember 2025 in Kraft – ohne Übergangsfrist. Die zehn Art.-21-Maßnahmen priorisiert nach Aufwand und Wirkung: GAP-Check für KMU ohne dediziertes Sicherheitspersonal.

Redaktion · 30. Juni 2026 Lesen →

DORA · Meldepflicht

Was die 4-Stunden-Meldepflicht für IT-Teams konkret bedeutet

Vier Stunden für die Erstmeldung an die BaFin – während der Incident noch läuft. Wer meldet was an wen, welcher Kanal, welcher Inhalt: die DORA-Meldepflicht operativ erklärt.

Redaktion · 25. Juni 2026 Lesen →

CISM · Prüfungsvorbereitung

Warum CISM-Kandidaten an Domäne 1 scheitern: die drei häufigsten Denkfehler bei Governance-Fragen

Die meisten erfahrenen Sicherheitsmanager schneiden in Domäne 1 schlechter ab als Berufseinsteiger. Nicht weil sie weniger wissen, sondern weil sie mit dem falschen Denkmodell antworten.

Redaktion · 24. Juni 2026 Lesen →

Policy-as-Code · DevSecOps

Was Infrastructure-as-Code für DevOps war, wird Executable Compliance für GRC

Infrastructure-as-Code hat gezeigt, was passiert, wenn man manuell verwaltete Systeme durch versionierbare Artefakte ersetzt. Executable Compliance macht dasselbe für GRC – mit versionierbaren, testbaren und deployabaren Compliance-Artefakten.

Redaktion · 23. Juni 2026 Lesen →

Open Source

BAM Core ist jetzt Open Source

Das Datenmodell hinter Executable Compliance liegt offen auf GitHub – 58 Objekte fuer sechs EU-Frameworks, AGPLv3 + CC BY-SA 4.0.

Dr. Holger Reibold · Juni 2026 Lesen →

Architektur

Compliance ist kein Dokumentationsproblem

Warum traditionelle Compliance-Ansätze an ihren eigenen Grundannahmen scheitern – und was der Unterschied zwischen einem Dokument und einem ausführbaren System ist.

Redaktion · Juni 2026 Lesen →

Stille Revolutionen · Band 2

Bevor es ChatGPT gab: Die vergessene Geschichte des Transformers

2017 luden acht Forscher ein Paper hoch, dessen Name auf einem Insider-Scherz beruhte. Heute steckt es in jedem großen KI-Modell.

Dr. Holger Reibold · Juni 2026 Lesen →

Stille Revolutionen · Band 8

Warum neuronale Netze 30 Jahre als Sackgasse galten

Zwei "AI Winters", ein Nobelpreis 2024 – und ein bis heute andauernder Streit darüber, wem die Geschichte gehört.

Dr. Holger Reibold · Juni 2026 Lesen →

Stille Revolutionen · Band 1

Die vierte Grundkomponente

1971 sagte Leon Chua ein Bauteil voraus, das es noch nicht gab. 2008 fand HP es zufällig – beim Testen von etwas ganz anderem. Die Geschichte des Memristors.

Dr. Holger Reibold · Juni 2026 Lesen →

NIS-2 · ISO 27001

Warum 70 % der NIS-2-Maßnahmen schon in ISO 27001 stecken

Acht von zehn NIS-2-Maßnahmen haben ein direktes Pendant in ISO 27001 Annex A. Die verbleibenden 30 % sind klein – aber genau dort liegt das höchste Bußgeldrisiko.

Redaktion · Juni 2026 Lesen →

CISM · ISACA

Die vier Säulen des CISM

Governance wiegt in der Prüfung am wenigsten – und trägt trotzdem alles andere. Wie die vier CISM-Domänen zusammenhängen und warum die Reihenfolge zählt.

Dr. Holger Reibold · Juni 2026 Lesen →

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.