Concepture Logo 211x40 1.svg
Beratung anfordern
  • Blog, Security Compliance

Der blinde Fleck im Compliance-Cockpit: Warum das Mapping zwischen Regulatorik und Normenwerk zur eigentlichen Engpassstelle wird

Concepture

Die unsichtbare Mehrarbeit der letzten 24 Monate

Compliance-Verantwortliche in deutschen Unternehmen erleben gerade eine paradoxe Situation: Sie haben in den letzten zwei Jahren mehr Regulatorik verarbeiten müssen als in den zehn Jahren davor — NIS2, DORA, der EU AI Act, CSRD, das Lieferkettensorgfaltspflichtengesetz, das KRITIS-Dachgesetz, dazu fortlaufend aktualisierte BSI-Bausteine, neue ISO-Revisionen (27001:2022, 42001:2023), ENISA-Leitlinien, BaFin-Rundschreiben, EDPB-Guidelines. Gleichzeitig sind die Compliance-Teams in den meisten mittelständischen und gehobenen mittelständischen Unternehmen nicht im gleichen Maße gewachsen.


Was sich verändert hat, ist nicht primär die Anzahl der Verpflichtungen — sondern ihre Fragmentierung über Quellen, Sprachen, Reifegrade und Verbindlichkeiten. Eine BaFin-Auslegungshilfe, ein ENISA-Implementation-Guide, ein BSI-Community-Draft und ein delegierter Rechtsakt der Kommission haben unterschiedliche Halbwertzeiten, unterschiedliche Verbindlichkeit und treffen häufig auf dieselbe Control im internen Normenwerk. Genau hier entsteht der eigentliche Aufwand — und der wird in den meisten Organisationen systematisch unterschätzt.

Was Compliance-Officer heute tatsächlich tun (und was nicht in der Stellenbeschreibung steht)

Wer einen Tag lang neben einem Compliance-Officer, einer Datenschutzbeauftragten oder einem ISB sitzt, sieht meist drei Tätigkeiten, die zusammen 60–70 % der Arbeitszeit ausmachen:

  1. Quellen-Monitoring. Newsletter abonnieren, Aufsichts-Websites manuell prüfen, LinkedIn-Posts von Fachanwälten lesen, BSI- und ENISA-Mailinglisten durchscrollen, Verbände-Updates auswerten. Die Quellenzahl liegt in einem typischen Mittelstandsunternehmen bei 25–60 — kuratiert wird in Excel, OneNote oder Outlook-Ordnern.
  2. Relevanzbewertung. Ist die neue Veröffentlichung für uns einschlägig? Bindend oder empfehlend? Welcher Geltungsbeginn? Welche Übergangsfristen? Diese Bewertung erfordert Volltext-Lesen, Quervergleich mit dem eigenen Geltungsbereich (Branche, Größe, Geographien, Datenarten) — und ist in der Regel nicht delegierbar.
  3. Mapping auf das interne Normenwerk. Das ist der eigentliche Engpass. Eine neue Anforderung — etwa zur Protokollierung KI-gestützter Entscheidungen aus dem AI Act — muss gegen das eigene Control-Framework gespiegelt werden: Welche ISO-27001-Annex-A-Control ist betroffen? Welcher BSI-Baustein? Welches Verfahrensverzeichnis? Welche bestehende Maßnahme deckt das bereits ab, welche Lücke entsteht? Und vor allem: Welcher Maßnahmenverantwortliche muss informiert werden, mit welcher Frist?

Punkt 3 ist die Stelle, an der die meisten Compliance-Programme ins Stocken geraten. Nicht, weil das Wissen fehlt — sondern weil die Übersetzungsarbeit zwischen externer Regulatorik und internem Normenwerk hochgradig manuell, nicht skalierbar und stark personengebunden ist.


Warum bestehende Werkzeuge das Problem nicht lösen

Der Werkzeugmarkt zerfällt heute in zwei klar getrennte Welten — und in der Lücke dazwischen sitzt der Compliance-Officer.
Auf der einen Seite stehen Control-Mapping-Plattformen wie ISMS-Tools, GRC-Suiten und die jüngere Generation von Compliance-Automation-Lösungen. Sie sind stark im internen Blick: Sie verwalten Controls, sammeln Evidenz, generieren Audit-Reports. Was sie strukturell nicht leisten: Sie schauen nicht aktiv nach außen. Eine neue ENISA-Guideline taucht in ihnen erst auf, wenn jemand sie manuell einpflegt.


Auf der anderen Seite stehen Regulatory-Intelligence-Anbieter — überwiegend angelsächsisch geprägt, mit Fokus auf Finanzdienstleister-Aufsicht und globale Regulatorik. Sie liefern strukturierte Feeds, oft mit beeindruckender Quellenbreite. Was sie strukturell nicht leisten: Sie kennen das interne Normenwerk des Kunden nicht. Der Feed landet im Postfach, die Übersetzung auf die eigene Control-Landschaft bleibt Handarbeit.


Die ehrliche Diagnose lautet: Es gibt heute kein etabliertes Werkzeug, das einen kontinuierlichen, breit angelegten Regulatorik-Scan mit dem konkreten, kundenindividuellen Normenwerk verbindet — sei es ISO 27001 Annex A, BSI-Grundschutz, NIST CSF, TISAX, SOC 2, ISO 42001 oder ein hauseigenes Framework. Genau in diesem Übergang verbrennt der Compliance-Officer die meiste Zeit — und übersieht regelmäßig Anforderungen, weil schlicht niemand bemerkt hat, dass eine Behörde am Donnerstagabend ein Update veröffentlicht hat.


Die drei strukturellen Konsequenzen für mittelständische Compliance-Funktionen

Aus dieser Lage ergeben sich drei Effekte, die wir in Beratungsprojekten regelmäßig sehen:

  1. Reaktive statt proaktive Compliance. Anforderungen werden häufig erst dann wahrgenommen, wenn ein Auditor sie anspricht oder ein Vorfall sie sichtbar macht. Das ist keine Frage von Fachkompetenz, sondern von Quellenabdeckung und Verarbeitungskapazität.
  2. Schatten-Inventare. Weil das Mapping zwischen Regulatorik und Controls so aufwändig ist, entstehen parallele Excel-Listen — eine für die ISO-27001-Auditvorbereitung, eine für NIS2, eine für TISAX, eine für den Datenschutz. Inkonsistenzen sind die Regel, nicht die Ausnahme, und Doppelarbeit ist strukturell.
  3. Personenrisiko. Das Wissen darüber, welche Aufsichts-Veröffentlichung in welche Control übersetzt werden muss, sitzt fast immer in einem einzelnen Kopf — dem Compliance-Officer oder dem externen DSB. Fällt diese Person aus, fehlt der Organisation nicht nur Kapazität, sondern auch das Kontinuitätsmodell. Das ist aus Risikosicht eine Single-Point-of-Failure-Architektur, die in anderen Funktionen (IT-Betrieb, Buchhaltung) längst aufgelöst wäre.

Was sich verändern muss — unabhängig vom Werkzeug

Bevor man über Tools spricht, lohnt sich der Blick auf drei organisatorische Hebel, die jede Compliance-Funktion heute angehen kann:

  • Quellen-Kuratierung formalisieren. Welche Quellen verfolgen wir, mit welcher Frequenz, durch wen? Eine dokumentierte Quellenliste mit Verantwortlichkeiten ist die Mindestbasis — und in vielen Häusern noch nicht vorhanden.
  • Normenwerk konsolidieren. Ein einziges, führendes internes Control-Framework, auf das alle externen Anforderungen gemappt werden, schlägt jede Parallelwelt aus Einzel-Excels. Welches Framework führend ist (ISO 27001, BSI, NIST), ist sekundär — entscheidend ist die Einheitlichkeit.
  • Mapping-Tiefe definieren. Nicht jede externe Veröffentlichung muss bis auf Maßnahmenebene heruntergebrochen werden. Eine Triage in „informativ / prüfen / handeln“ reduziert die Last erheblich.

Diese drei Schritte lösen das Skalierungsproblem nicht vollständig — aber sie machen es bearbeitbar und schaffen die Voraussetzung dafür, dass technische Unterstützung überhaupt wirken kann.


Wohin die Reise geht: Agentische Unterstützung im Compliance-Workflow

Mittelfristig wird sich der Engpass nicht durch zusätzliche Personalkapazität lösen lassen — der Markt für erfahrene Compliance-Officer und Datenschutzbeauftragte ist erkennbar leer. Die naheliegende Antwort liegt in einer Kombination aus kontinuierlichem, automatisiertem Regulatorik-Scan und einem automatisierten Mapping auf das individuelle Normenwerk des Unternehmens, das von qualifizierten Analysten kuratiert wird. Solche Ansätze entstehen derzeit international, sind in Deutschland aber noch nicht breit verfügbar.

Entscheidend ist dabei, dass das Normenwerk nicht vorgegeben, sondern abgebildet wird: Welche Standards für ein Unternehmen relevant sind — ISO 27001, BSI-Grundschutz, NIST CSF, TISAX, SOC 2, ISO 42001, branchenspezifische Aufsichtsanforderungen oder ein hauseigenes Control-Framework — entscheidet sich aus Branche, Geschäftsmodell, Kundenanforderungen und Geographien. Genau diese Heterogenität war historisch der Grund, warum Mapping-Werkzeuge entweder zu starr oder zu generisch waren. Mit agentischen KI-Architekturen lässt sich diese Komplexität heute erstmals praktikabel beherrschen: Unterschiedliche Frameworks, parallele Geltungsbereiche und individuelle Control-Strukturen können in einem konsistenten Modell zusammengeführt werden, ohne dass das Unternehmen sein Normenverständnis dem Werkzeug anpassen muss.

Wir bei Concepture beraten Unternehmen seit über 25 Jahren in Fragen der Security-Compliance — von der Einführung von Managementsystemen über Auditbegleitung bis hin zur operativen Unterstützung von Compliance-Funktionen. In dieser Zeit haben wir aus erster Hand gesehen, wo Regulatorik-Programme reibungslos laufen, wo sie ins Stocken geraten und an welchen Stellen die immer gleichen manuellen Übersetzungsleistungen wieder und wieder anfallen. Dieses über Jahre gewachsene methodische Wissen — Quellenlandkarten, Mapping-Logiken, Triage-Heuristiken, branchenspezifische Auslegungspraxis — überführen wir aktuell konsequent in eine agentische KI-Lösung. Ziel ist eine Plattform, die das, was unsere Berater heute manuell leisten, kontinuierlich, nachvollziehbar und skalierbar abbildet — und sich dabei dem individuellen Normenwerk eines Unternehmens anpasst, statt ein vordefiniertes Set an Standards vorzugeben.

Die Einführung in den deutschen Markt steht unmittelbar bevor. Wer vorab in den Austausch einsteigen möchte — als Pilotanwender, als auditierende Stelle oder als externer Datenschutzbeauftragter mit eigenem Mandantenstamm — ist herzlich eingeladen, sich zu melden.

Wichtiger als jedes Werkzeug bleibt jedoch die Erkenntnis, die wir mit diesem Beitrag teilen wollten: Das Problem ist nicht die Menge der Regulatorik. Das Problem ist die fehlende Brücke zwischen dem, was draußen veröffentlicht wird, und dem, was im eigenen Haus tatsächlich umgesetzt werden muss. Wer diese Brücke baut — organisatorisch, prozessual und perspektivisch technisch — gewinnt nicht nur Zeit zurück, sondern reduziert ein unterschätztes Risiko.


Holger Berens

Holger Berens ist Ihr Ansprechpartner rund um den Themenkomplex der Security Compliance und berät unsere Kunden online und vor Ort.
Beratung anfordern
Weitere Beiträge

Jetzt weiterlesen!

Alle anzeigen
A company monitoring its water usage and implementing conservation measures, symbolizing responsible resource management. Concept of water conservation.

Blog

Bedeutung der Wasserversorgung und ihrer Sicherheit

Flag of European Union waving in the breeze against a sunset sky. Banner with EU flag.

Security Compliance, Sicherheitsberatung

Initiativen in Deutschland und auf EU-Ebene

2025 war auch das Jahr, in dem man gesehen hat: Es gibt inzwischen viele Initiativen, die versuchen, aus „wir sollten“ ein „wir machen“ zu machen. Nicht alles davon ist sofort spürbar im Alltag eines Unternehmens. Aber die Richtung ist klar: mehr Resilienz, weniger Abhängigkeit, bessere Koordination.
Loading progress bar from 2025 to 2026 represents digital transformation, planning for the future, technology trends, business growth, and new year goal development.

Concepture Gruppe

Fachliche Jahresrückblicke

2025 war das Jahr, in dem Security Compliance in vielen Bereichen den Charakter eines Umsetzungsprojekts verloren hat. Für viele Organisationen wurde sie Teil des operativen Tagesgeschäfts. Nicht als Selbstzweck, sondern als Reaktion auf reale Risiken, Prüfungen und Haftungsfragen.

Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren
Mehr Informationen

Alternativ zum Formular können Sie uns auch eine E-Mail an info@concepture.de senden.