Compliance-Lexikon · Governance
Compliance Framework
[kəmˈplaɪəns ˈfreɪmwɜːk] · auch: Compliance-Rahmen, Regelwerk-Architektur
Ein Compliance Framework ist die strukturierte Gesamtheit von Richtlinien, Kontrollen, Prozessen und Verantwortlichkeiten, die sicherstellt, dass eine Organisation alle anwendbaren regulatorischen Anforderungen erfüllt – als dokumentierter Rahmen, der Regelwerke, Massnahmen und Nachweise verknüpft.
Warum Compliance Framework ein Governance-Kernbegriff ist
Compliance Framework ist eine der Grundanforderungen jedes reifen IT-Compliance-Programms. Die relevanten Frameworks – ISO 27001, NIS-2 und DORA – setzen Compliance Framework als Voraussetzung für ein wirksames Sicherheits- und Compliance-Programm voraus. Im Audit ist es ein Standardpruefpunkt: nicht ob die Organisation den Begriff kennt, sondern ob sie ihn nachweislich umsetzt.
Wo Compliance Framework gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | Kap. 6.1 | Massnahmen zum Umgang mit Risiken und Chancen: Das Compliance-Framework strukturiert die Massnahmenplanung. |
| NIS-2 / BSIG | § 30 | Technische und organisatorische Massnahmen: Vollständiges Compliance-Framework als Nachweis der Umsetzung. |
| DORA | Art. 6 | IKT-Risikomanagement-Rahmen: Vollständiger dokumentierter Rahmen als DORA-Pflicht. |
| BSI IT-Grundschutz | ISMS.1 | ISMS-Grundanforderungen umfassen ein dokumentiertes Framework mit Anforderungsmatrix. |
| ISO 37301 | vollständig | Compliance-Management-Systeme: Internationaler Standard für den Aufbau von Compliance-Frameworks. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Konzept verstanden, aber nicht formal dokumentiert
- Richtlinie vorhanden, aber nicht genehmigt und nicht kommuniziert
- Keine regelmäßige Überprüfung der Umsetzung
- Fehlende Evidence für den Auditor
Kernelemente in der Praxis
Ein wirksames Compliance Framework-Programm benötigt vier Elemente: erstens eine dokumentierte Richtlinie oder Rollendefinition, die formal genehmigt und kommuniziert wurde; zweitens die operative Umsetzung mit konkreten Massnahmen und Verantwortlichkeiten; drittens regelmäßige Überprüfung der Wirksamkeit – mindestens jährlich; und viertens lueckenlose Evidence für den Audit-Nachweis. Fehlt eines dieser Elemente, entsteht ein klassischer Audit-Befund: Richtlinie vorhanden, aber nicht gelebt, oder gelebt, aber nicht nachgewiesen.
Abgrenzung und Einordnung
Compliance Framework steht nicht allein, sondern in einem Zusammenhang mit anderen Governance-Instrumenten. Die Wirksamkeit hängt davon ab, dass übergeordnete Strukturen – Board Oversight, CISO-Funktion, Compliance-Framework – vorhanden und aktiv sind. Ein Compliance Framework-Programm ohne eingebundenes Leitungsorgan und ohne ausreichende Ressourcen wird formal erfüllt, aber nicht wirksam sein.
Nächste Ebene
Compliance Framework in der Praxis: Umsetzung, Nachweise und Evidence
Was Auditoren bei Compliance Framework konkret prüfen und welche Evidence benötigt wird.