Compliance-Lexikon · Technik
Executable Compliance
[ɪgˈzɛkjʊtəbl kəmˈplaɪəns]
Executable Compliance bezeichnet den Paradigmenwechsel in der IT-Compliance, bei dem Kontrollen nicht mehr beschrieben, sondern als ausführbare, versionierbare und prüfbare Artefakte verwaltet werden – analog zu Infrastructure-as-Code für IT-Infrastruktur.
Warum Executable Compliance wichtig ist
Dokumentenbasierte Compliance erzeugt Konfigurationsdrift: Die Richtlinie beschreibt, was sein soll – der Systemzustand ist davon abgewichen. Executable Compliance verbindet Anforderung und Realität durch maschinell prüfbare Controls.
Wo Executable Compliance gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| NIS-2 / BSIG | § 30 Abs. 2f | Wirksamkeitsbewertung – Executable Compliance ermöglicht kontinuierliche statt punktuelle Bewertung. |
| DORA | Art. 9 | Kontinuierliches IKT-Risikomanagement – Executable Compliance ist der operative Umsetzungsweg. |
| ISO 27001:2022 | Kap. 9.1, 10.1 | Überwachung, Messung und kontinuierliche Verbesserung – maschinell ausführbar statt manuell. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Executable Compliance nur für technische Controls
- IaC-Tools verwenden ohne Compliance-Objektmodell
- Policy as Code ohne Verbindung zu Framework-Anforderungen
Praxisbeispiel
Ein mittelständisches Unternehmen mit 150 Mitarbeitenden steht vor seiner ersten NIS-2-Prüfung. Der Auditor fragt nach dem Nachweis. Was in den meisten Fällen fehlt: ein datiertes, vollständiges Evidence-Dokument zur Wirksamkeit. Genau diese Lücke schließt das BAM-Objekt durch ein strukturiertes Evidence-Feld, das definiert, was konkret vorliegen muss – bevor der Audit stattfindet, nicht danach.
Abgrenzung und Zusammenhang
Dieser Begriff ist nicht isoliert zu betrachten. Er steht in direkter Verbindung zu Evidence (Was muss nachgewiesen werden?), Gap Analysis (Wo liegt die Lücke?) und Remediation (Wie wird die Lücke geschlossen?). Im BAM-Objektmodell sind alle vier Dimensionen im selben Objekt verankert – Requirement, Gap-Check, Remediation und Evidence bilden eine zusammenhängende Einheit statt verteilter Dokumente.
Nächste Ebene
Executable Compliance einführen: Von der Richtlinie zum Artefakt
Wie der Übergang von dokumentenbasierter zu ausführbarer Compliance schrittweise gelingt – mit BAM als Datenmodell.