Brain-Media.de/Compliance-Lexikon/Evidence as Code
Ebene 1 · DefinitionEbene 2 · PraxisEbene 3 · Strategie

Compliance-Lexikon · Technik

Evidence as Code

[ˈɛvɪdəns æz kəʊd]

Evidence as Code bezeichnet den Ansatz, Compliance-Nachweise automatisiert, reproduzierbar und maschinenlesbar zu erzeugen – direkt aus dem laufenden System, statt sie nachträglich manuell zusammenzustellen.

Warum Evidence as Code wichtig ist

Manuell erstellte Evidence ist fehleranfällig, zeitaufwändig und im schlimmsten Fall rekonstruiert. Evidence as Code erzeugt Nachweise kontinuierlich und unveränderlich – als natürliches Nebenprodukt des laufenden Betriebs.

Wo Evidence as Code gefordert wird

FrameworkReferenzAnforderung
ISO 27001:2022Kap. 9.1Aufbewahrte Information kann automatisiert aus Systemen generiert werden – das erhöht Verlässlichkeit und reduziert Aufwand.
NIS-2 / BSIG§ 30 Abs. 2fWirksamkeitsbewertung durch maschinell erzeugten Nachweis ist belastbarer als manuelles Protokoll.
DORAArt. 9, 11Kontinuierliche IKT-Überwachung erzeugt Evidence as Code als Nebenprodukt.

BAM-Objektreferenz

BAM-Objekt CROSS-EAC-01
BeschreibungEvidence-as-Code-Integration mit automatischer Evidence-Erzeugung aus CI/CD-Pipelines und Monitoring-Systemen
GitHubBAM Core →

Häufige Audit-Fehler

  • Automatisch erzeugte Evidence ohne Zeitstempel-Verifikation
  • Evidence aus System ohne Manipulationsschutz
  • Kein Mapping zwischen automatischer Evidence und Compliance-Anforderung

Praxisbeispiel

Ein mittelständisches Unternehmen mit 150 Mitarbeitenden steht vor seiner ersten NIS-2-Prüfung. Der Auditor fragt nach dem Nachweis. Was in den meisten Fällen fehlt: ein datiertes, vollständiges Evidence-Dokument zur Wirksamkeit. Genau diese Lücke schließt das BAM-Objekt durch ein strukturiertes Evidence-Feld, das definiert, was konkret vorliegen muss – bevor der Audit stattfindet, nicht danach.

Abgrenzung und Zusammenhang

Dieser Begriff ist nicht isoliert zu betrachten. Er steht in direkter Verbindung zu Evidence (Was muss nachgewiesen werden?), Gap Analysis (Wo liegt die Lücke?) und Remediation (Wie wird die Lücke geschlossen?). Im BAM-Objektmodell sind alle vier Dimensionen im selben Objekt verankert – Requirement, Gap-Check, Remediation und Evidence bilden eine zusammenhängende Einheit statt verteilter Dokumente.

Nächste Ebene

Evidence as Code implementieren: CI/CD und Monitoring

Wie Compliance-Nachweise automatisch aus CI/CD-Pipelines und Monitoring-Systemen erzeugt werden – ohne manuelle Nacharbeit.

Verwandte Begriffe

EvidenceCompliance As CodeAudit TrailBam

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.

Stresstest starten Whitepaper