Compliance-Lexikon · Technik

Executable Compliance

[ɪgˈzɛkjʊtəbl kəmˈplaɪəns]

Executable Compliance bezeichnet den Paradigmenwechsel in der IT-Compliance, bei dem Kontrollen nicht mehr beschrieben, sondern als ausführbare, versionierbare und prüfbare Artefakte verwaltet werden – analog zu Infrastructure-as-Code für IT-Infrastruktur.

Warum Executable Compliance wichtig ist

Dokumentenbasierte Compliance erzeugt Konfigurationsdrift: Die Richtlinie beschreibt, was sein soll – der Systemzustand ist davon abgewichen. Executable Compliance verbindet Anforderung und Realität durch maschinell prüfbare Controls.

Wo Executable Compliance gefordert wird

FrameworkReferenzAnforderung
NIS-2 / BSIG§ 30 Abs. 2fWirksamkeitsbewertung – Executable Compliance ermöglicht kontinuierliche statt punktuelle Bewertung.
DORAArt. 9Kontinuierliches IKT-Risikomanagement – Executable Compliance ist der operative Umsetzungsweg.
ISO 27001:2022Kap. 9.1, 10.1Überwachung, Messung und kontinuierliche Verbesserung – maschinell ausführbar statt manuell.

BAM-Objektreferenz

BAM-Objekt CROSS-EC-01
BeschreibungExecutable-Compliance-Reifegrad mit vier Eigenschaften: versionierbar, testbar, deploybar, auditierbar per Diff

Häufige Audit-Fehler

  • Executable Compliance nur für technische Controls
  • IaC-Tools verwenden ohne Compliance-Objektmodell
  • Policy as Code ohne Verbindung zu Framework-Anforderungen

Praxisbeispiel

Ein mittelständisches Unternehmen mit 150 Mitarbeitenden steht vor seiner ersten NIS-2-Prüfung. Der Auditor fragt nach dem Nachweis. Was in den meisten Fällen fehlt: ein datiertes, vollständiges Evidence-Dokument zur Wirksamkeit. Genau diese Lücke schließt das BAM-Objekt durch ein strukturiertes Evidence-Feld, das definiert, was konkret vorliegen muss – bevor der Audit stattfindet, nicht danach.

Abgrenzung und Zusammenhang

Dieser Begriff ist nicht isoliert zu betrachten. Er steht in direkter Verbindung zu Evidence (Was muss nachgewiesen werden?), Gap Analysis (Wo liegt die Lücke?) und Remediation (Wie wird die Lücke geschlossen?). Im BAM-Objektmodell sind alle vier Dimensionen im selben Objekt verankert – Requirement, Gap-Check, Remediation und Evidence bilden eine zusammenhängende Einheit statt verteilter Dokumente.

Nächste Ebene

Executable Compliance einführen: Von der Richtlinie zum Artefakt

Wie der Übergang von dokumentenbasierter zu ausführbarer Compliance schrittweise gelingt – mit BAM als Datenmodell.

Verwandte Begriffe

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.