Die meisten Unternehmen haben kein Compliance-Problem. Sie haben ein Organisationsproblem. Compliance wird noch immer als delegierbare Spezialistenaufgabe organisiert, verteilt auf Rechtsabteilung, IT und Datenschutz. NIS-2 und zunehmend auch der EU AI Act stellen genau dieses Organisationsmodell infrage.
Die konkrete Ausgestaltung der beiden Regelwerke unterscheidet sich erheblich. Gemeinsam verlangen sie jedoch belastbare Governance-Strukturen und konsistente Nachweise über Risiken, Assets und Prozesse. Die operative Umsetzung lässt sich weiterhin delegieren. Die Verantwortung für ihre Wirksamkeit nicht. Damit wird Compliance zu einer Frage von Führung und Organisationsdesign, nicht länger allein von Recht, IT oder Datenschutz.
Das Muster in der Praxis
In vielen Unternehmen lässt sich immer wieder dasselbe Bild beobachten. Die Rechtsabteilung führt ein Risikoregister. Die IT-Abteilung pflegt ein Asset-Inventar für Cybersecurity und Meldepflichten. Der Datenschutzbeauftragte führt ein Verzeichnis von Verarbeitungstätigkeiten. Jede Funktion erfüllt ihre regulatorischen Pflichten gewissenhaft, meist unabhängig von den anderen.
Das Ergebnis sind mehrere parallele Abbilder derselben Unternehmensrealität. Ein anonymisiertes Beispiel aus der Praxis: Bei einem mittelständischen Logistikunternehmen stufte das IT-Register ein System nach einem Sicherheitsvorfall als „nicht kritisch" ein, während das Risikoregister der Rechtsabteilung dasselbe System bereits als Hochrisiko führte. Unter Art. 20 NIS-2 wird eine solche Inkonsistenz unmittelbar zum Problem der Geschäftsführung, weil sie die Angemessenheit der Risikosteuerung und der Nachweise infrage stellt.
Diese Redundanz kostet nicht nur Aufwand. Sie schafft Unsicherheit genau dort, wo belastbare Nachweise gebraucht werden: im Ernstfall gegenüber Aufsichtsbehörden oder Gerichten. Das eigentliche Risiko ist deshalb weniger fehlende Compliance als eine Organisationsstruktur, die fragmentierte Verantwortung produziert.
ABB. 1 · DREI GETRENNTE REGISTER GEGEN EIN BAM-ASSET-OBJEKT, VON MEHREREN REGELWERKEN REFERENZIERT
Was NIS-2 an der Führungsebene verändert
NIS-2 schafft eine neue Kategorie nicht delegierbarer Führungsentscheidungen. Dazu zählen die Festlegung einer verbindlichen Datenbasis für Risiken und Assets, die Definition unternehmensweiter Risikoschwellen und die Governance für regulatorische Nachweise. Diese Entscheidungen lassen sich an eine Fachabteilung delegieren, aber nicht die Verantwortung dafür, dass sie überhaupt konsistent getroffen werden.
Funktionale Silos führen zwangsläufig zu mehrfacher Datenerhebung, widersprüchlichen Bewertungen und steigenden Kosten. Ein weiteres anonymisiertes Beispiel verdeutlicht die Größenordnung: Ein mittelständisches Industrieunternehmen wendete jährlich rund 240 Personenstunden für drei parallele, nicht abgeglichene Inventare auf. Nach der Zusammenführung auf eine gemeinsame Datenbasis sank der Aufwand auf etwa 90 Stunden, bei konsistenten Informationen über alle relevanten Regelwerke hinweg.
Stresstest · 10 Minuten
Wo steht Ihre Organisation heute?
Kostenloser Compliance-Stresstest für NIS-2, DORA, CRA und den EU AI Act. Kein Login nötig.
Stresstest starten →Der konkrete Anwendungsfall: eine Datenbasis, viele Regelwerke
Die Prinzipien allein lösen das Problem nicht. Führungskräfte brauchen eine gemeinsame organisatorische Wahrheit: eine Single Source of Truth für Risiken, Assets und Prozesse, auf die jedes Regelwerk zugreift, statt sie neu zu erheben. Genau das ist der Anwendungsfall, den das Brain-Media Audit Model (BAM) abbildet.
In BAM ist ein System wie im Logistik-Beispiel oben ein einziges Asset-Objekt mit einer einzigen Kritikalitätsbewertung. NIS-2, DORA, der EU AI Act und der CRA greifen als Compliance-Objekte auf dieses eine Asset zu, statt jeweils eigene Kopien zu führen. Eine Neubewertung der Kritikalität, etwa nach einem Sicherheitsvorfall, wirkt sich damit automatisch auf alle Regelwerke aus, die dieses Asset referenzieren. Der Widerspruch aus dem Beispiel, IT-Register „nicht kritisch" gegen Risikoregister „Hochrisiko", wird strukturell unmöglich, weil es nur noch eine Stelle gibt, an der die Kritikalität gesetzt wird.
BAM Core, der offene Kern des Modells, steht als AGPLv3-Lizenz auf GitHub und lässt sich vor jeder Entscheidung technisch prüfen. BAM Enterprise ergänzt das Modell um eine dedizierte Instanz für den produktiven Einsatz, für 49 Euro im Monat, ohne Einrichtungsgebühr und monatlich kündbar.
Einordnung
Im Mittelpunkt steht dabei weder ein bestimmtes Werkzeug noch ein Framework, sondern die Führungsentscheidung, eine gemeinsame Datenbasis verbindlich zu etablieren. BAM ist eine Möglichkeit, diese Entscheidung technisch umzusetzen, nicht der Ausgangspunkt der Entscheidung selbst.
Leitfragen für die Geschäftsführung
Fünf Fragen zeigen, ob eine Organisation bereits nach diesem Prinzip arbeitet oder ob sie weiterhin Verantwortung delegiert, die sich faktisch nicht delegieren lässt:
Wer diese Fragen nicht klar beantworten kann, delegiert vermutlich eine Verantwortung, die NIS-2 ausdrücklich bei der Geschäftsführung verortet. Die operative Umsetzung darf in der Fachabteilung liegen. Die Entscheidung für eine gemeinsame, verbindliche Datenbasis nicht.