Compliance-Lexikon · Praxis

BAM in der Praxis: Objekte, Felder und erste Schritte

BAM ist kein Software-Tool, das man installiert – es ist ein Datenmodell, das man in die eigene Compliance-Infrastruktur integriert. Dieser Artikel erklärt, wie die vier Felder (Requirement, Gap-Check, Remediation, Evidence) zusammenwirken und wie ein erster Einstieg aussieht.

Was Auditoren konkret prüfen

Bei einer Prüfung von BAM fragt der Auditor nicht nach dem Vorhandensein einer Richtlinie, sondern nach dem Nachweis der Wirksamkeit. Das BAM-Objekt BAM selbst definiert im Evidence-Feld, was konkret vorgelegt werden muss.

BAM-Objekt · Praxis BAM selbst
Gap-CheckLiegt ein datierter, vollständiger Nachweis der Wirksamkeit von BAM vor?
RemediationBAM Core steht unter AGPLv3 auf GitHub. BAM Enterprise ist self-hosted, mandantenfähig und white-label-fähig.
EvidenceDatiertes Protokoll oder Systemauszug mit Zeitstempel, Scope und Verantwortlichem – mindestens jährlich.

Häufige Fehler

  • BAM mit einem GRC-Tool verwechseln (BAM ist ein Datenmodell, kein Tool)
  • Nur BAM Core verwenden ohne Evidence-Dokumentation
  • BAM-Objekte nicht an eigene Kontrollstruktur anpassen

Praxis-Tipp

Für BAM gilt: Evidence muss kontinuierlich entstehen, nicht punktuell vor dem Audit. Wer erst kurz vor dem Audit mit der Evidence-Sammlung beginnt, hat für den gesamten Prüfungszeitraum eine Lücke.

Die vier Felder eines BAM-Objekts

Requirement: Die genaue gesetzliche oder normative Anforderung mit Artikelverweis. Nicht paraphrasiert, sondern präzise – so dass klar ist, was exakt gefordert wird. Gap-Check: Eine Ja/Nein/Teilweise-Frage, die den aktuellen Umsetzungsstand direkt abfragt. Remediation: Konkrete Umsetzungsschritte mit Zeitschätzung – was getan werden muss, um das Gap zu schließen. Evidence: Was im Audit vorgelegt werden muss – datiertes Protokoll, Systemauszug, Nachweis mit Zeitstempel und Verantwortlichem.

Erster Einstieg in BAM

Der schnellste Einstieg: BAM Core auf GitHub klonen, die NIS-2-Objekte öffnen und für jedes Objekt den Gap-Check beantworten. Das Ergebnis ist nach 2–3 Stunden ein vollständiger Gap-Check gegen alle zehn Art.-21-Maßnahmen – strukturiert, dokumentiert und als Ausgangspunkt für einen Remediation-Plan nutzbar.

Nächster Schritt

BAM Core auf GitHub

Kostenloser Compliance-Stresstest auf Basis der BAM-Objekte – unverbindlich, 20 Minuten.

Die strategische Einordnung – warum BAM langfristig mehr als ein Compliance-Pflichtprogramm ist – findet sich auf Ebene 3.

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.