Compliance-Lexikon · Praxis
BAM in der Praxis: Objekte, Felder und erste Schritte
BAM ist kein Software-Tool, das man installiert – es ist ein Datenmodell, das man in die eigene Compliance-Infrastruktur integriert. Dieser Artikel erklärt, wie die vier Felder (Requirement, Gap-Check, Remediation, Evidence) zusammenwirken und wie ein erster Einstieg aussieht.
Was Auditoren konkret prüfen
Bei einer Prüfung von BAM fragt der Auditor nicht nach dem Vorhandensein einer Richtlinie, sondern nach dem Nachweis der Wirksamkeit. Das BAM-Objekt BAM selbst definiert im Evidence-Feld, was konkret vorgelegt werden muss.
Häufige Fehler
- BAM mit einem GRC-Tool verwechseln (BAM ist ein Datenmodell, kein Tool)
- Nur BAM Core verwenden ohne Evidence-Dokumentation
- BAM-Objekte nicht an eigene Kontrollstruktur anpassen
Praxis-Tipp
Für BAM gilt: Evidence muss kontinuierlich entstehen, nicht punktuell vor dem Audit. Wer erst kurz vor dem Audit mit der Evidence-Sammlung beginnt, hat für den gesamten Prüfungszeitraum eine Lücke.
Die vier Felder eines BAM-Objekts
Requirement: Die genaue gesetzliche oder normative Anforderung mit Artikelverweis. Nicht paraphrasiert, sondern präzise – so dass klar ist, was exakt gefordert wird. Gap-Check: Eine Ja/Nein/Teilweise-Frage, die den aktuellen Umsetzungsstand direkt abfragt. Remediation: Konkrete Umsetzungsschritte mit Zeitschätzung – was getan werden muss, um das Gap zu schließen. Evidence: Was im Audit vorgelegt werden muss – datiertes Protokoll, Systemauszug, Nachweis mit Zeitstempel und Verantwortlichem.
Erster Einstieg in BAM
Der schnellste Einstieg: BAM Core auf GitHub klonen, die NIS-2-Objekte öffnen und für jedes Objekt den Gap-Check beantworten. Das Ergebnis ist nach 2–3 Stunden ein vollständiger Gap-Check gegen alle zehn Art.-21-Maßnahmen – strukturiert, dokumentiert und als Ausgangspunkt für einen Remediation-Plan nutzbar.
Nächster Schritt
BAM Core auf GitHub
Kostenloser Compliance-Stresstest auf Basis der BAM-Objekte – unverbindlich, 20 Minuten.
Die strategische Einordnung – warum BAM langfristig mehr als ein Compliance-Pflichtprogramm ist – findet sich auf Ebene 3.