Ein Schritt-für-Schritt-Leitfaden zur Implementierung von ISO 42001 – Gap-Analyse, Kontrollen gemäß Anhang A, Zertifizierungsaudit und Ausrichtung am EU AI Act für Teams in Unternehmen.
•
•
14 Minuten Lesezeit
Themen
Bis April 2026 liest sich die Liste der nach ISO/IEC 42001 zertifizierten Organisationen wie ein Who’s who der Enterprise-KI: IBM für seine Granite-Modelle, Anthropic für Claude, Microsoft für 365 Copilot, KPMG Australia über die gesamte Beratungspraxis hinweg und Singapurs Changi Airport für seine operativen KI-Systeme.[1] Der im Dezember 2023 veröffentlichte Standard hat den Übergang von der Publikation zur Einführung in Unternehmen schneller geschafft, als die meisten Beobachter prognostiziert hatten. Und die Dynamik nimmt weiter zu, angetrieben zu einem großen Teil durch die näher rückende Frist im August 2026 für Verpflichtungen zu Hochrisiko-Systemen im EU AI Act.
Dennoch endet die meiste Anleitung zur Umsetzung von ISO 42001 bei „Was ist das?“ und „Warum ist das wichtig?“. Unternehmensteams, die mit der Erreichung der ISO-42001-Konformität beauftragt sind, stehen vor einer praktischeren Frage: Wie? Wie sieht eine Gap-Analyse aus? Welche Dokumentation ist erforderlich? Wie werden die 38 Kontrollen aus Anhang A in operative Praxis übersetzt? Und wie unterstützt die Zertifizierung die Einhaltung des EU AI Act – ohne sie zu ersetzen?
Dieser Leitfaden beantwortet diese Fragen. Er richtet sich an Compliance-Verantwortliche, KI-Governance-Leads und Engineering-Teams, die mit der Umsetzung von ISO 42001 beauftragt wurden und wissen müssen, was dies konkret beinhaltet.
Was ISO 42001 verlangt
ISO/IEC 42001 ist der erste internationale Standard für ein Managementsystem für Künstliche Intelligenz (AIMS). Er folgt derselben Harmonisierten Struktur (früher Anhang SL), die auch ISO 27001 für Informationssicherheit und ISO 9001 für Qualitätsmanagement verwenden. Das bedeutet, dass Organisationen, die bereits nach diesen Standards zertifiziert sind, das Grundgerüst des Managementsystems als vertraut empfinden werden.[2]
Die zehn Klauseln des Standards legen verbindliche Anforderungen in sieben Bereichen fest:
Kontext (Klausel 4): Definieren Sie die KI-Rolle der Organisation (Anbieter, Hersteller, Kunde oder Partner), identifizieren Sie Stakeholder und bestimmen Sie den Umfang des AIMS
Führung (Klausel 5): Etablieren Sie eine KI-Policy, weisen Sie Rollen und Verantwortlichkeiten zu und sichern Sie die Verpflichtung des Top-Managements
Planung (Klausel 6): Führen Sie KI-Risikobewertungen durch, erstellen Sie Folgenabschätzungen für KI-Systeme und definieren Sie Ziele
Unterstützung (Klausel 7): Stellen Sie Ressourcen bereit, bauen Sie Kompetenz auf und pflegen Sie dokumentierte Informationen
Betrieb (Klausel 8): Implementieren Sie Kontrollen, setzen Sie Risikobehandlungspläne um und steuern Sie operative Prozesse
Leistungsbewertung (Klausel 9): Überwachen und messen Sie die Wirksamkeit des AIMS, führen Sie interne Audits durch und halten Sie Managementbewertungen ab
Verbesserung (Klausel 10): Beheben Sie Nichtkonformitäten, ergreifen Sie Korrekturmaßnahmen und fördern Sie kontinuierliche Verbesserung
Was es von ISO 27001 unterscheidet
Organisationen, die mit ISO 27001 vertraut sind, werden die Struktur wiedererkennen. Die Unterschiede liegen in den KI-spezifischen Inhalten, die darauf aufbauen.
Klausel 4.1 verlangt von Organisationen, ihre Rolle im KI-Ökosystem zu definieren – ein Konzept ohne Entsprechung in ISO 27001. Ein großes Unternehmen kann gleichzeitig KI-Anbieter sein (KI-gestützte Produkte für Kunden anbieten), KI-Kunde (intern KI-Tools von Drittanbietern nutzen) und KI-Partner (Daten in das KI-System einer anderen Organisation einspeisen). Der Geltungsbereich des AIMS muss jede Rolle widerspiegeln, die die Organisation einnimmt.
Klausel 6.1.4 führt die Folgenabschätzung für KI-Systeme ein – eine formale, dokumentierte Bewertung der potenziellen Auswirkungen des KI-Einsatzes auf Einzelpersonen, Gruppen und die Gesellschaft. Dies geht über die organisatorische Risikobewertung hinaus (mit der Praktiker von ISO 27001 vertraut sind), indem auch externe Schäden berücksichtigt werden: algorithmische Verzerrung bei Einstellungsentscheidungen, automatisierte Systeme, die Finanzdienstleistungen verweigern, oder Überwachungstechnologien, die bürgerliche Freiheiten beeinträchtigen. Vom Ansatz her liegt dies näher an einer Datenschutz-Folgenabschätzung nach DSGVO als an einem klassischen Risikoregister, auch wenn der Standard bei der Methodik weniger präskriptiv ist.
Und Anhang A ist vollständig neu. Während Anhang A der ISO 27001 93 Informationssicherheitskontrollen enthält, umfasst Anhang A der ISO 42001 38 Kontrollen in neun Domänen, die sich spezifisch auf KI-Governance konzentrieren.[3]
Die 38 Kontrollen: Was Anhang A tatsächlich verlangt
Anhang A ist das operative Rückgrat des Standards. Seine 38 Kontrollen sind in neun Domänen organisiert, von denen jede einen anderen Aspekt verantwortungsvoller KI-Steuerung adressiert.
Domäne | Schwerpunkt | Wesentliche Kontrollen |
|---|---|---|
A.2 - KI-Policies | Vorhandensein und Angemessenheit von KI-Policies | KI-Policy im Einklang mit dem Organisationszweck; regelmäßige Überprüfung und Aktualisierung |
A.3 - Interne Organisation | Rechenschaftspflicht und Governance-Strukturen | Definierte Rollen für KI-Governance; funktionsübergreifende Koordinationsmechanismen |
A.4 - Ressourcen für KI-Systeme | Angemessenheit von Daten, Werkzeugen, Rechenleistung und menschlicher Kompetenz | Bewertung der Datenqualität; Angemessenheit der Infrastruktur; Anforderungen an Fähigkeiten und Kompetenzen |
A.5 - Folgenabschätzung | Methodik zur Bewertung der KI-Folgen | Dokumentierter Prozess der Folgenabschätzung; Bewertung der Auswirkungen auf Einzelpersonen und Gesellschaft |
A.6 - Lebenszyklus von KI-Systemen | Kontrollen über Design, Entwicklung, Tests, Bereitstellung und Außerbetriebnahme hinweg | Entwicklungsstandards; Test und Validierung; Änderungsmanagement; Modellstilllegung |
A.7 - Datenmanagement | Datenqualität, Herkunft und Schutz | Dokumentation der Datenherkunft; Kontrollen zur Datenqualität; Datenschutzmaßnahmen |
A.8 - Transparenz | Erklärbarkeit und Offenlegung gegenüber Stakeholdern | Dokumentation von KI-Fähigkeiten und -Grenzen; stakeholdergerechte Erklärungen |
A.9 - Nutzung von KI-Systemen | Menschliche Aufsicht und zulässige Nutzung | Definierte Auslöser für menschliches Eingreifen; Richtlinien zur zulässigen Nutzung; Überwachung von KI im Betrieb |
Nicht alle 38 Kontrollen sind für jede Organisation verpflichtend. Der Standard verlangt eine Erklärung zur Anwendbarkeit (SoA) – ein Dokument, das jede Kontrolle aus Anhang A aufführt, angibt, ob sie in das AIMS einbezogen oder ausgeschlossen wird, und jede Ausnahme begründet. Die SoA ist eines der ersten Dokumente, nach denen ein Auditor fragen wird, und ihre Qualität bestimmt häufig den Ton des gesamten Audits. Für Organisationen mit großen KI-Portfolios ermöglicht die SoA zudem eine gestufte Governance – die volle Tiefe der Kontrollen aus Anhang A auf Hochrisiko-Systeme anzuwenden und bei geringeren Risiken einen schlankeren Ansatz zu wählen, sofern die risikobasierte Begründung dokumentiert ist.
Anhang B bietet Umsetzungshinweise für jede Kontrolle. Anhang C ordnet Quellen von KI-Risiken zu. Anhang D enthält Querverweise auf domänenspezifische Standards. Zusammen bilden die vier Anhänge eine umfassende Umsetzungsreferenz.
ISO-42001-Implementierung: Sieben Schritte zur Zertifizierung
Schritt 1: Umfang festlegen und KI-Inventar aufbauen
Bevor irgendetwas anderes geschieht, definieren Sie, was innerhalb der AIMS-Grenzen liegt. Das bedeutet, jedes KI-System zu inventarisieren, das die Organisation entwickelt, einkauft, einsetzt oder zu dem sie beiträgt – einschließlich Drittanbieter-Tools, eingebetteter KI in Softwareprodukten und über APIs genutzter KI-Services.
Dieser Schritt ist durchgängig schwieriger, als er klingt. Shadow AI – Mitarbeitende, die ChatGPT, Copilot oder andere KI-Tools ohne Sichtbarkeit für die IT nutzen – wird in dieser Phase häufiger entdeckt als nicht. Das Inventar sollte mindestens erfassen: Systemname und Zweck, KI-Rolle (Anbieter, Kunde, Partner), Dateneingaben und -ausgaben, Bereitstellungsstatus, Risikoklassifizierung und Systemverantwortliche.
Die Umfangsentscheidung bestimmt auch den Maßstab der Implementierung. Einige Organisationen begrenzen das AIMS zunächst auf eine einzelne Geschäftseinheit oder Produktlinie und erweitern dann schrittweise. Andere verfolgen von Beginn an einen unternehmensweiten Umfang. Die richtige Antwort hängt von der organisatorischen Komplexität ab, aber ein engerer Einstieg mit anschließender Erweiterung ist in der Regel praktikabler als der Versuch einer vollständigen Abdeckung im ersten Durchlauf.
Schritt 2: Gap-Analyse durchführen
Mit definiertem Umfang führen Sie einen strukturierten Vergleich der aktuellen Praktiken mit jeder Anforderung der Klauseln (Klauseln 4–10) und jeder anwendbaren Kontrolle aus Anhang A durch. Stellen Sie ein funktionsübergreifendes Team aus Compliance, Rechtsabteilung, Data Science, Engineering, Produkt und Risikomanagement zusammen.
Dokumentieren Sie für jede Lücke, was fehlt, bewerten Sie den Schweregrad (priorisieren Sie Lücken, die Hochrisiko-KI-Systeme oder zentrale Governance-Anforderungen betreffen), und schätzen Sie den Aufwand für die Behebung. Organisationen mit bestehender ISO-27001-Zertifizierung werden feststellen, dass viele Lücken in den Klauseln 4–10 gering sind – die Managementsystem-Infrastruktur lässt sich direkt übertragen. Die wesentliche neue Arbeit konzentriert sich auf Klausel 6.1.4 (KI-Folgenabschätzung), die Kontrollen aus Anhang A und die KI-spezifischen Nachweisanforderungen.
Schritt 3: AIMS konzipieren
Bauen oder adaptieren Sie die Komponenten des Managementsystems:
KI-Policy und Unterrichtlinien: Die übergreifende KI-Policy (Klausel 5.2) muss verantwortungsvolle KI-Werte adressieren – Fairness, Transparenz, Rechenschaftspflicht, Sicherheit, Datenschutz. Je nach Umfang können Unterrichtlinien für zulässige Nutzung, Daten-Governance und KI von Drittanbietern erforderlich sein
Methodik der Risikobewertung: Passen Sie bestehende Risikobewertungsprozesse an KI-spezifische Risiken an – algorithmische Verzerrung, Model Drift, Missbrauch, nicht erklärbare Ausgaben, Sicherheitslücken. Die Methodik muss konsistente, vergleichbare Ergebnisse liefern
Methodik der Folgenabschätzung für KI-Systeme: Entwickeln Sie Vorlagen und Prozesse zur Bewertung von Folgen für Einzelpersonen, Gruppen und Gesellschaft. Definieren Sie Auslöser für eine Neubewertung: wesentliche Systemänderungen, neue Datenquellen, neue Anwendungsfälle, regulatorische Änderungen, negative Vorfälle
Rollen- und Verantwortungsmatrix: Definieren Sie, wer das AIMS verantwortet, wer einzelne KI-Systeme verantwortet, wer Risiko- und Folgenabschätzungen durchführt und wer für jede Kontrolldomäne aus Anhang A rechenschaftspflichtig ist
Schulungs- und Kompetenzprogramm: Identifizieren Sie Kompetenzanforderungen für jede Rolle und planen Sie Schulungen entsprechend
Schritt 4: Kontrollen implementieren und Nachweise sammeln
Rollen Sie Kontrollen operativ aus. Hier verlangsamen sich die meisten Implementierungen, weil der Standard verifizierbare Nachweise verlangt – nicht nur Richtlinien auf dem Papier.
Nachweisartefakte umfassen: Model Cards zur Dokumentation von Fähigkeiten und Grenzen des Systems, Test- und Validierungsprotokolle, Aufzeichnungen zu Bias-Bewertungen, Dokumentation der Datenherkunft, Vorfallsreaktionsprotokolle, Änderungsmanagement-Logs und Aufzeichnungen zu Eingriffen der menschlichen Aufsicht. Enzais Erfahrung bei der Unterstützung von Enterprise-Implementierungen bestätigt, was Early Adopters immer wieder berichten: Das Sammeln von Nachweisen und die Dokumentationsdisziplin sind die schwierigste operative Herausforderung – nicht weil die Nachweise nicht existieren, sondern weil sie über Tools, Teams und Systeme verteilt sind und kein zentralisierter Erfassungsmechanismus vorhanden ist.
Schritt 5: Internes Audit
Führen Sie mindestens ein vollständiges internes Audit gegen alle im Umfang befindlichen Klauseln und Kontrollen aus Anhang A durch, bevor Sie die Zertifizierung anstreben. Der interne Auditor muss unabhängig von den auditierten Kontrollen sein (dies kann internes Personal aus einer anderen Funktion oder eine qualifizierte Drittpartei sein). Das Audit muss Feststellungen erzeugen, und Nichtkonformitäten müssen vor dem Fortfahren über den Prozess für Korrekturmaßnahmen adressiert werden.
Schritt 6: Managementbewertung
Führen Sie eine formale Managementbewertung (Klausel 9.3) durch, die Folgendes umfasst: Leistungsdaten des AIMS, Ergebnisse interner Audits, Ergebnisse von Risiko- und Folgenabschätzungen, Nichtkonformitäten und Korrekturmaßnahmen, Stakeholder-Feedback sowie alle Änderungen mit Auswirkungen auf das AIMS. Das Ergebnis sind dokumentierte Entscheidungen und Maßnahmen zur kontinuierlichen Verbesserung. Diese Bewertung muss das Top-Management einbeziehen – sie kann nicht vollständig an das Governance-Team delegiert werden.
Schritt 7: Zertifizierungsaudit
Das externe Audit folgt einem zweistufigen Modell. Stufe 1 ist eine Dokumentationsprüfung (typischerweise 1–2 Tage), in der der Auditor bewertet, ob die AIMS-Dokumentation ausreichend ist und die Organisation für eine vollständige Bewertung bereit ist. Stufe 2 ist das Implementierungsaudit (3–9+ Tage je nach Umfang und Komplexität), in dem der Auditor Personal befragt, Nachweise prüft und die Kontrollen aus Anhang A im operativen Einsatz nachvollzieht.
Zertifikate sind drei Jahre gültig, mit jährlichen Überwachungsaudits und einer vollständigen Rezertifizierung am Ende des Zyklus.
Ein kritischer Hinweis zu Zertifizierungsstellen: Wählen Sie eine Zertifizierungsstelle (CB), die eine Akkreditierung besitzt, deren Geltungsbereich ISO 42001 ausdrücklich umfasst und die von einer anerkannten Akkreditierungsstelle stammt (ANAB, UKAS, DAkkS oder gleichwertig). ISO/IEC 42006, der Standard für Stellen, die gegen 42001 auditieren, befindet sich noch in der Finalisierung, und die Auditorenkompetenz variiert. Eine akkreditierte Zertifizierung durch eine CB mit nachweisbarer KI-Domänenexpertise hat deutlich mehr Gewicht als eine nicht akkreditierte – auch wenn die Zertifikate auf den ersten Blick ähnlich aussehen mögen.[4]
ISO 42001 und der EU AI Act: Komplementär, nicht gleichwertig
Die Beziehung zwischen ISO 42001 und dem EU AI Act wird häufig missverstanden. Das Wichtigste vorab: Eine ISO-42001-Zertifizierung stellt keine Konformität mit dem EU AI Act dar. Mit Stand April 2026 wurde der Standard nicht als harmonisierter Standard im Amtsblatt der EU gelistet, sodass der rechtliche Mechanismus der „Konformitätsvermutung“ nicht greift.[5]
Dennoch ist die Überschneidung erheblich. Das Joint Technical Committee 21 von CEN-CENELEC arbeitet aktiv daran, ISO 42001 in eine Europäische Norm zu überführen (der Entwurf mit der Bezeichnung prEN ISO/IEC 42001 war von November 2025 bis Februar 2026 zur öffentlichen Konsultation veröffentlicht). Separat ging prEN 18286 – ein speziell für regulatorische Zwecke des EU AI Act entwickelter harmonisierter Standard – im Oktober 2025 in die öffentliche Konsultation.[6] Wenn diese Standards finalisiert und im Amtsblatt veröffentlicht sind, wird sich die ISO-42001-Zertifizierung von „hilfreicher Vorbereitung“ zu einem „direkten Compliance-Pfad“ entwickeln.
In der Zwischenzeit umfasst die praktische Überschneidung:
Risikomanagement: Artikel 9 des EU AI Act verlangt Risikomanagementsysteme für Hochrisiko-KI. Klausel 6 der ISO 42001 liefert Methodik und Nachweisrahmen
Menschliche Aufsicht: Artikel 14 verlangt Aufsichtsmaßnahmen. Anhang A, Domäne A.9, definiert Kontrollen für menschliche Intervention
Transparenz und Dokumentation: Die Artikel 11 und 13 verlangen technische Dokumentation und Transparenz. Die Domänen A.7 und A.8 in Anhang A adressieren Datenmanagement, Erklärbarkeit und Offenlegung gegenüber Stakeholdern
Daten-Governance: Artikel 10 verlangt Datenqualität und Governance. Anhang A, Domäne A.7, liefert den Kontrollrahmen
Überwachung nach dem Inverkehrbringen: Artikel 72 verlangt laufende Überwachung. Die Klauseln 9 und 10 der ISO 42001 etablieren den Zyklus aus Leistungsbewertung und Verbesserung
Die praktische Empfehlung ist klar: ISO 42001 schafft die Governance-Infrastruktur, die Nachweisbasis und die Managementdisziplin, die für die Einhaltung des EU AI Act erforderlich sein werden. Organisationen, die den Standard jetzt umsetzen, sind wesentlich besser vorbereitet, wenn die Hochrisiko-Verpflichtungen im August 2026 voll wirksam werden – unabhängig davon, ob bis dahin eine formale Harmonisierung abgeschlossen wurde.
Häufige Fallstricke bei der ISO-42001-Implementierung
Bei der Auswertung der Erfahrungen von Early Adopters zeigen sich durchgängig mehrere Muster.
Das KI-Inventar wird unterschätzt. Organisationen zählen ihre KI-Systeme in der Scoping-Phase regelmäßig zu niedrig. Die Entdeckung von Shadow-AI-Nutzung, eingebetteter KI in Drittsoftware und KI-Komponenten, die in Anbieterplattformen verborgen sind, erweitert die anfängliche Umfangsschätzung typischerweise um 30–50 %. Planen Sie im Projektplan Zeit für einen gründlichen Discovery-Prozess ein.
Behandlung als reine Dokumentationsübung. ISO 42001 ist ein Managementsystem-Standard, kein Dokumentationsstandard. Auditoren sind darauf geschult, über Policies hinaus auf operative Nachweise zu schauen. Eine Organisation mit hervorragend formulierter KI-Policy, aber ohne Nachweise für durchgeführte Risikobewertungen, ausgeführte Modelltests oder wahrgenommene menschliche Aufsicht wird das Audit der Stufe 2 nicht bestehen.
Vernachlässigung der KI-Folgenabschätzung. Klausel 6.1.4 ist für die meisten Organisationen neu und erhält während der Umsetzung weniger Aufmerksamkeit, als sie verdient. Die Folgenabschätzung für KI-Systeme erfordert, gesellschaftliche und populationsbezogene Konsequenzen zu durchdenken – nicht nur Organisationsrisiken. Nur wenige Organisationen verfügen vor Beginn der ISO-42001-Arbeit über etablierte Methoden dafür, und deren Entwicklung dauert länger als erwartet.
Siloorientierte Implementierung. ISO 42001 betrifft Rechtsabteilung, Produkt, Engineering, Data Science, Sicherheit und Compliance gleichermaßen. Implementierungen, die vollständig von einer einzelnen Funktion getragen werden – typischerweise Compliance oder IT –, führen häufig zu Governance-Rahmenwerken, die vom Rest der Organisation nicht genutzt werden. Funktionsübergreifende Steuerungsgremien mit Sponsoring auf Führungsebene sind nicht optional; sie sind Voraussetzung für den Erfolg.
Verwechslung von Zertifizierung und Compliance. Eine Zertifizierung bestätigt, dass ein Managementsystem zu einem bestimmten Zeitpunkt die Anforderungen des Standards erfüllt. Sie bestätigt nicht, dass jedes von der Organisation betriebene KI-System frei von Verzerrungen, vollständig transparent oder mit jeder anwendbaren Regulierung konform ist. Das AIMS muss ein lebendiges System sein, das kontinuierliche Verbesserung vorantreibt, und keine einmalige Zertifizierungsübung.
Zeitplan und Investition
Realistische Zeitpläne für die Umsetzung von ISO 42001 variieren je nach organisatorischer Komplexität:
Organisationsprofil | Typischer Zeitplan | Wesentliche Variablen |
|---|---|---|
Kleine Organisation (1–10 KI-Systeme), ISO 27001 bereits vorhanden | 4–6 Monate | Komplexität des Umfangs, Nachweisbereitschaft |
Mittelstand (10–50 KI-Systeme), gewisse Reife bei Managementsystemen | 9–12 Monate | Funktionsübergreifende Koordination, Vollständigkeit des KI-Inventars |
Großunternehmen (50+ KI-Systeme), Umfang über mehrere Geschäftsbereiche | 12–18+ Monate | Organisatorische Komplexität, Discovery von Shadow AI, globale Koordination |
Organisationen, die bereits nach ISO 27001 zertifiziert sind, haben einen deutlichen Vorsprung. Die Harmonisierte Struktur bedeutet, dass Risikomanagement-Frameworks, interne Auditprozesse, Kontrollen dokumentierter Informationen und Zyklen kontinuierlicher Verbesserung direkt übernommen werden können. Mehrere Zertifizierungsstellen bieten kombinierte Auditprogramme für ISO 27001 + ISO 42001 an, die Nachweise gemeinsam nutzen und Audit-Tage reduzieren.
Die Investition besteht nicht nur aus Zeit. Budgetüberlegungen umfassen: Auditgebühren der CB (abhängig von Umfang und Komplexität), interne Ressourcenallokation im funktionsübergreifenden Team, potenzielle Tooling-Kosten für Nachweissammlung und KI-Inventarmanagement sowie Schulungen für Rollen, die neu in der KI-Governance sind. Der größte Kostentreiber ist in den meisten Implementierungen der menschliche Aufwand für Nachweissammlung und Dokumentation – insbesondere für Organisationen ohne zentralisierte Systeme zur Nachverfolgung von KI-System-Metadaten, Testaufzeichnungen und Risikobewertungen.
Die Implementierung von ISO 42001 über ein großes KI-Portfolio hinweg ist ebenso sehr ein Infrastrukturproblem wie ein Governance-Thema. Das erforderliche Nachweisvolumen – Model Cards, Testprotokolle, Bias-Bewertungen, Datenherkunftsaufzeichnungen, Folgenabschätzungen und Artefakte des Änderungsmanagements über Dutzende KI-Systeme hinweg – übersteigt das, was Tabellenkalkulationen und gemeinsame Laufwerke nachhaltig leisten können. Bei Enzai ist unsere Plattform genau für diese Herausforderung entwickelt: zentralisiertes KI-Inventar, strukturierte Zuordnung der Kontrollen aus Anhang A, automatisierte Nachweissammlung und kontinuierliches Monitoring im Einklang mit dem Managementsystem-Zyklus der ISO 42001. Organisationen, die sich auf die Zertifizierung vorbereiten, können eine Demo buchen, um zu sehen, wie dies in der Praxis funktioniert.
Referenzen
[1] IBM, „IBM Becomes First Major Open-Source AI Model Developer to Earn ISO 42001 Certification“, September 2024; Anthropic, „Anthropic Achieves ISO 42001 Certification“, Januar 2025; Microsoft Learn, „ISO/IEC 42001:2023 Compliance“; KPMG Australia, zertifiziert durch BSI; Changi Airport Group, zertifiziert durch SGS, Februar 2025.
[2] ISO/IEC 42001:2023, Information technology - Artificial intelligence - Management system. International Organization for Standardization, Dezember 2023.
[3] ISO/IEC 42001:2023, Anhang A (Referenz-Kontrollziele und Kontrollen). Umsetzungshinweise siehe Anhang B.
[4] ANAB führt ein Register der für ISO 42001 akkreditierten Zertifizierungsstellen unter anab.ansi.org. ISO/IEC 42006 (Anforderungen an Stellen, die Audits und Zertifizierung von AIMS durchführen) befindet sich in Entwicklung.
[5] Mit Stand April 2026 wurde kein KI-spezifischer harmonisierter Standard mit Konformitätsvermutungsstatus für den EU AI Act im Amtsblatt der EU veröffentlicht. Siehe ISMS.online, „Presumption of Conformity: Why ISO 42001 Isn't Your AI Act Legal Shield - Yet“, 2025.
[6] CEN-CENELEC, „Update on AI Standardization“, Oktober 2025. Öffentliche Konsultation zu prEN ISO/IEC 42001 von November 2025 bis Februar 2026; öffentliche Konsultation zu prEN 18286 ab 30. Oktober 2025.
Ermöglichen Sie Ihrer Organisation die Einführung, Steuerung und Überwachung von KI mit unternehmensgerechtem Vertrauen. Entwickelt für regulierte Organisationen, die im großen Maßstab operieren.