Compliance as Code

Warum Compliance as Code wichtig ist

Compliance as Code überwindet die strukturelle Schwäche dokumentenbasierter Compliance: die fehlende Verbindung zwischen Anforderung und Systemzustand. Wenn Kontrollen als Code vorliegen, können sie automatisch gegen den realen Zustand geprüft, in Pipelines eingebettet und als unveränderlicher Nachweis archiviert werden.

Wo Compliance as Code gefordert wird

Framework	Referenz	Anforderung
NIS-2 / BSIG	§ 30 Abs. 2f	Wirksamkeitsbewertung der Maßnahmen – maschinell prüfbare Controls erfüllen diese Anforderung kontinuierlich.
DORA	Art. 9	IKT-Risikomanagement mit kontinuierlicher Kontrolle – Compliance as Code ist der operative Umsetzungsweg.
ISO 27001:2022	Kap. 9.1	Überwachung und Messung – automatisierte Policy-Checks liefern Evidence direkt aus dem Produktivsystem.

BAM-Objektreferenz

Häufige Audit-Fehler

• Compliance as Code nur für technische Controls, nicht für organisatorische
• Policy-Code nicht versioniert
• Keine Verbindung zwischen Policy-Check und Audit-Nachweis

Praxisbeispiel

Ein mittelständisches Unternehmen mit 150 Mitarbeitenden steht vor seiner ersten NIS-2-Prüfung. Der Auditor fragt nach dem Nachweis. Was in den meisten Fällen fehlt: ein datiertes, vollständiges Evidence-Dokument zur Wirksamkeit. Genau diese Lücke schließt das BAM-Objekt durch ein strukturiertes Evidence-Feld, das definiert, was konkret vorliegen muss – bevor der Audit stattfindet, nicht danach.

Abgrenzung und Zusammenhang

Dieser Begriff ist nicht isoliert zu betrachten. Er steht in direkter Verbindung zu Evidence (Was muss nachgewiesen werden?), Gap Analysis (Wo liegt die Lücke?) und Remediation (Wie wird die Lücke geschlossen?). Im BAM-Objektmodell sind alle vier Dimensionen im selben Objekt verankert – Requirement, Gap-Check, Remediation und Evidence bilden eine zusammenhängende Einheit statt verteilter Dokumente.

Verwandte Begriffe