Control

Warum Control wichtig ist

Controls sind die operative Einheit der Compliance. Jede regulatorische Anforderung – aus NIS-2, DORA, ISO 27001 oder DSGVO – lässt sich auf eine oder mehrere Controls herunterbrechen. Ob eine Anforderung erfüllt ist, entscheidet sich auf Control-Ebene.

Wo Control gefordert wird

Framework	Referenz	Anforderung
ISO 27001:2022	Annex A	93 Controls in vier Kategorien (organisatorisch, personell, physisch, technisch) als Referenz-Kontrollkatalog.
NIS-2 / BSIG	§ 30 Abs. 2	Zehn Mindestmaßnahmen, die jeweils in konkrete Controls übersetzt werden müssen.
DORA	Art. 9–14	IKT-Controls für Risikomanagement, Erkennung, Business Continuity und Testing.
SOC 2	Trust Service Criteria	Controls werden gegen fünf Kriterien (Security, Availability, Processing Integrity, Confidentiality, Privacy) bewertet.

BAM-Objektreferenz

Häufige Audit-Fehler

• Control und Maßnahme werden verwechselt (jede Control ist eine Maßnahme, aber nicht jede Maßnahme ist eine Control)
• Control ohne Eigentümer
• Control ohne definierten Prüfzyklus
• Mehrere Controls für dasselbe Risiko ohne Priorisierung

Praxisbeispiel

Ein mittelständisches Unternehmen mit 150 Mitarbeitenden steht vor seiner ersten NIS-2-Prüfung. Der Auditor fragt nach dem Nachweis. Was in den meisten Fällen fehlt: ein datiertes, vollständiges Evidence-Dokument zur Wirksamkeit. Genau diese Lücke schließt das BAM-Objekt durch ein strukturiertes Evidence-Feld, das definiert, was konkret vorliegen muss – bevor der Audit stattfindet, nicht danach.

Abgrenzung und Zusammenhang

Dieser Begriff ist nicht isoliert zu betrachten. Er steht in direkter Verbindung zu Evidence (Was muss nachgewiesen werden?), Gap Analysis (Wo liegt die Lücke?) und Remediation (Wie wird die Lücke geschlossen?). Im BAM-Objektmodell sind alle vier Dimensionen im selben Objekt verankert – Requirement, Gap-Check, Remediation und Evidence bilden eine zusammenhängende Einheit statt verteilter Dokumente.

Verwandte Begriffe