Compliance-Lexikon · Technik
BAM
[biː eɪ ɛm] · Brain-Media Audit Model
BAM (Brain-Media Audit Model) ist ein offenes Datenmodell für operative IT-Compliance. Es bildet Sicherheitskontrollen aus NIS-2, DORA, CRA, EU AI Act, ISO 27001 und DSGVO als strukturierte, versionierbare Objekte ab – mit Requirement-, Gap-Check-, Remediation- und Evidence-Feld pro Kontrolle.
Warum BAM wichtig ist
BAM überbrückt die Lücke zwischen regulatorischen Anforderungen und ihrer operativen Umsetzung. Statt Compliance als Dokumentationsprojekt zu behandeln, macht BAM Kontrollen ausführbar, testbar und auditierbar – nach dem Prinzip von Infrastructure-as-Code, angewendet auf GRC.
Wo BAM gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| NIS-2 / BSIG | § 30 | BAM NIS2-Objekte bilden alle zehn Art.-21-Maßnahmen mit Gap-Check und Evidence-Feldern ab. |
| DORA | Art. 5–16 | BAM DORA-Objekte decken IKT-Risikomanagement, Meldepflichten und Business Continuity ab. |
| ISO 27001:2022 | Annex A | BAM ISO-Objekte mappen alle 93 Controls mit Umsetzungshinweisen und Audit-Nachweisen. |
| EU AI Act | Art. 9 | BAM AI-Objekte strukturieren Risikomanagement und technische Dokumentation für Hochrisiko-KI. |
| CRA | Art. 13 | BAM CRA-Objekte decken SBOM, Schwachstellenmanagement und Meldepflichten ab. |
| DSGVO | Art. 5, 25, 32 | BAM DSGVO-Objekte bilden TOM, Datenschutz by Design und Rechenschaftspflicht ab. |
BAM-Objektreferenz
Häufige Audit-Fehler
- BAM mit einem GRC-Tool verwechseln (BAM ist ein Datenmodell, kein Tool)
- Nur BAM Core verwenden ohne Evidence-Dokumentation
- BAM-Objekte nicht an eigene Kontrollstruktur anpassen
Warum BAM kein GRC-Tool ist
GRC-Tools wie Proliance, SECJUR oder Kertos sind Software-Plattformen mit Benutzeroberfläche, Workflow-Engine und Reporting. BAM ist ein Datenmodell – eine strukturierte Beschreibung dessen, was eine Compliance-Kontrolle ausmacht: Anforderung, Gap-Check, Remediation und Evidence. BAM kann in eine Datenbank, ein Ticketsystem, eine CI/CD-Pipeline oder ein proprietäres Interface integriert werden. Es ist das Fundament, nicht das Haus.
BAM Core vs. BAM Enterprise
BAM Core steht unter AGPLv3 auf GitHub: 58 strukturierte Objekte für sechs Frameworks, vollständig einsehbar, keine Anmeldung nötig. BAM Enterprise ist die proprietäre Erweiterung: alle acht Frameworks, vollständige ISO-27001-Abdeckung, self-hosted, mandantenfähig und white-label-fähig. Der Unterschied ist nicht Funktionstiefe, sondern Scope und Betriebsmodell.
Nächste Ebene
BAM in der Praxis: Objekte, Felder und erste Schritte
Wie das BAM-Objektmodell mit vier Feldern (Requirement, Gap-Check, Remediation, Evidence) funktioniert und wie der Einstieg gelingt.