Policy as Code

Warum Policy as Code wichtig ist

Eine Richtlinie auf Papier hat keinen Effekt auf das System. Eine Richtlinie als Code blockiert Deployments, die gegen sie verstoßen. Policy as Code ist der technische Kern von Compliance as Code.

Wo Policy as Code gefordert wird

Framework	Referenz	Anforderung
NIS-2 / BSIG	§ 30 Abs. 2e	Sicherheit bei Erwerb und Entwicklung: Policy-as-Code-Checks in der CI/CD-Pipeline erfüllen diese Anforderung automatisiert.
ISO 27001:2022	A.8.8	Verwaltung technischer Schwachstellen: Policy as Code ermöglicht automatische Patch-Stand-Prüfung.
DORA	Art. 9 Abs. 4	IKT-Sicherheitsrichtlinien müssen umgesetzt und ihre Wirksamkeit kontinuierlich überwacht werden.

BAM-Objektreferenz

Häufige Audit-Fehler

• Policy as Code nur für Cloud-Infrastruktur, nicht für On-Premises
• Rego-Regeln nicht versioniert
• Policy-Violations protokolliert, aber nicht als Evidence archiviert

Praxisbeispiel

Ein mittelständisches Unternehmen mit 150 Mitarbeitenden steht vor seiner ersten NIS-2-Prüfung. Der Auditor fragt nach dem Nachweis. Was in den meisten Fällen fehlt: ein datiertes, vollständiges Evidence-Dokument zur Wirksamkeit. Genau diese Lücke schließt das BAM-Objekt durch ein strukturiertes Evidence-Feld, das definiert, was konkret vorliegen muss – bevor der Audit stattfindet, nicht danach.

Abgrenzung und Zusammenhang

Dieser Begriff ist nicht isoliert zu betrachten. Er steht in direkter Verbindung zu Evidence (Was muss nachgewiesen werden?), Gap Analysis (Wo liegt die Lücke?) und Remediation (Wie wird die Lücke geschlossen?). Im BAM-Objektmodell sind alle vier Dimensionen im selben Objekt verankert – Requirement, Gap-Check, Remediation und Evidence bilden eine zusammenhängende Einheit statt verteilter Dokumente.

Verwandte Begriffe