Compliance

Compliance bezeichnet die Praxis, sicherzustellen, dass Menschen, Prozesse und Technologien einer Organisation die geltenden Gesetze, Vorschriften, Branchennormen und Vertragspflichten einhalten. In der Cybersicherheit umfasst sie Datenschutzgesetze (DSGVO, CCPA, HIPAA), branchenspezifische Rahmenwerke (PCI DSS, SOC 2, ISO/IEC 27001) und sektorale Regelwerke (SOX, GLBA, FedRAMP). Ein Compliance-Programm definiert Kontrollziele, ordnet sie autoritativen Quellen zu, erzeugt Nachweise (Richtlinien, Protokolle, Bestätigungen) und prüft diese durch interne und externe Audits. Compliance wird oft mit Sicherheit verwechselt, ist aber nur eine Mindestbasis – compliant zu sein bedeutet nicht, sicher zu sein.