Ein Schritt-für-Schritt-Leitfaden zur Implementierung von ISO 42001 – Gap-Analyse, Kontrollen gemäß Anhang A, Zertifizierungsaudit und Ausrichtung am EU AI Act für Teams in Unternehmen.
•
•
14 Minuten Lesezeit
Themen
Bis April 2026 liest sich die Liste der Organisationen, die nach ISO/IEC 42001 zertifiziert sind, wie ein Who’s Who der Enterprise-KI: IBM für seine Granite-Modelle, Anthropic für Claude, Microsoft für 365 Copilot, KPMG Australia über die gesamte Beratungspräsenz hinweg sowie der Flughafen Singapur Changi für seine operativen KI-Systeme.[1] Der Standard, der im Dezember 2023 veröffentlicht wurde, hat sich von der Veröffentlichung bis zur unternehmensweiten Einführung schneller entwickelt, als die meisten Beobachter erwartet hatten. Und die Dynamik nimmt weiter zu, nicht zuletzt getrieben durch die näher rückende Frist im August 2026 für die Pflichten des EU AI Act für Hochrisiko-KI-Systeme.
Dennoch endet die meiste Orientierung zur Implementierung von ISO 42001 bei „Was ist das?“ und „Warum ist das relevant?“. Unternehmensteams, die mit der Erlangung der ISO 42001-Konformität beauftragt sind, stehen vor einer praktischeren Frage: Wie? Wie sieht eine Gap-Analyse aus? Welche Dokumentation ist erforderlich? Wie lassen sich die 38 Kontrollen aus Anhang A in die operative Praxis übersetzen? Und wie unterstützt die Zertifizierung die Konformität mit dem EU AI Act - ohne sie zu ersetzen?
Dieser Leitfaden beantwortet diese Fragen. Er richtet sich an Compliance-Verantwortliche, Leitende im Bereich KI-Governance und Engineering-Teams, die mit der Implementierung von ISO 42001 beauftragt wurden und wissen müssen, was dies tatsächlich umfasst.
Was ISO 42001 verlangt
ISO/IEC 42001 ist der erste internationale Standard für ein Managementsystem für Künstliche Intelligenz (AIMS). Er folgt der gleichen harmonisierten Struktur (ehemals Annex SL), die auch von ISO 27001 für Informationssicherheit und ISO 9001 für Qualitätsmanagement verwendet wird. Das bedeutet, dass Organisationen, die bereits nach diesen Standards zertifiziert sind, das Grundgerüst des Managementsystems als vertraut empfinden werden.[2]
Die zehn Klauseln des Standards legen verbindliche Anforderungen in sieben Bereichen fest:
Kontext (Klausel 4): Definieren Sie die KI-Rolle der Organisation (Anbieter, Produzent, Kunde oder Partner), identifizieren Sie Stakeholder und bestimmen Sie den Geltungsbereich des AIMS
Führung (Klausel 5): Etablieren Sie eine KI-Richtlinie, weisen Sie Rollen und Verantwortlichkeiten zu und sichern Sie das Engagement des Top-Managements
Planung (Klausel 6): Führen Sie KI-Risikobewertungen durch, nehmen Sie KI-System-Folgenabschätzungen vor und definieren Sie Ziele
Unterstützung (Klausel 7): Stellen Sie Ressourcen bereit, bauen Sie Kompetenzen auf und pflegen Sie dokumentierte Informationen
Betrieb (Klausel 8): Setzen Sie Kontrollen um, führen Sie Risikobehandlungspläne aus und steuern Sie operative Prozesse
Bewertung der Leistung (Klausel 9): Überwachen und messen Sie die Wirksamkeit des AIMS, führen Sie interne Audits durch und halten Sie Managementbewertungen ab
Verbesserung (Klausel 10): Behandeln Sie Nichtkonformitäten, ergreifen Sie Korrekturmaßnahmen und treiben Sie die kontinuierliche Verbesserung voran
Was ihn von ISO 27001 unterscheidet
Organisationen, die mit ISO 27001 vertraut sind, werden die Struktur wiedererkennen. Die Unterschiede liegen in den KI-spezifischen Inhalten, die darauf aufgesetzt sind.
Klausel 4.1 verlangt, dass Organisationen ihre Rolle im KI-Ökosystem definieren - ein Konzept ohne Entsprechung in ISO 27001. Ein großes Unternehmen kann gleichzeitig KI-Anbieter (es bietet KI-gestützte Produkte für Kunden an), KI-Kunde (es nutzt KI-Tools Dritter intern) und KI-Partner (es liefert Daten in das KI-System einer anderen Organisation) sein. Der Geltungsbereich des AIMS muss jede Rolle widerspiegeln, die die Organisation einnimmt.
Klausel 6.1.4 führt die KI-System-Folgenabschätzung ein - eine formale, dokumentierte Bewertung der potenziellen Auswirkungen des Einsatzes von KI auf Einzelpersonen, Gruppen und die Gesellschaft. Dies geht über die organisationale Risikobewertung hinaus, mit der ISO-27001-Praktiker vertraut sind, und berücksichtigt externe Schäden: algorithmische Verzerrungen, die Einstellungsentscheidungen beeinflussen, automatisierte Systeme, die Finanzdienstleistungen verweigern, oder Überwachungstechnologien, die Bürgerrechte beeinträchtigen. In ihrer Ausrichtung kommt sie eher einer Datenschutz-Folgenabschätzung nach der DSGVO nahe als einem traditionellen Risikoregister, auch wenn der Standard die Methodik weniger detailliert vorgibt.
Und Anhang A ist vollständig neu. Während Anhang A von ISO 27001 93 Informationssicherheitskontrollen enthält, umfasst Anhang A von ISO 42001 38 Kontrollen in neun Domänen, die speziell auf die KI-Governance ausgerichtet sind.[3]
Die 38 Kontrollen: Was Anhang A tatsächlich verlangt
Anhang A bildet das operative Rückgrat des Standards. Seine 38 Kontrollen sind in neun Domänen organisiert, von denen jede einen anderen Aspekt des verantwortungsvollen KI-Managements adressiert.
Domäne | Schwerpunkt | Zentrale Kontrollen |
|---|---|---|
A.2 - KI-Richtlinien | Vorhandensein und Angemessenheit von KI-Richtlinien | KI-Richtlinie, abgestimmt auf den Unternehmenszweck; regelmäßige Überprüfung und Aktualisierung |
A.3 - Interne Organisation | Verantwortlichkeit und Governance-Strukturen | Definierte Rollen für die KI-Governance; Mechanismen zur funktionsübergreifenden Abstimmung |
A.4 - Ressourcen für KI-Systeme | Angemessenheit von Daten, Werkzeugen, Rechenkapazität und menschlicher Kompetenz | Bewertung der Datenqualität; Angemessenheit der Infrastruktur; Anforderungen an Fähigkeiten und Kompetenzen |
A.5 - Folgenabschätzung | Methodik zur Bewertung der Auswirkungen von KI | Dokumentierter Prozess für die Folgenabschätzung; Bewertung der Auswirkungen auf Einzelpersonen und die Gesellschaft |
A.6 - Lebenszyklus von KI-Systemen | Kontrollen über Design, Entwicklung, Test, Bereitstellung und Außerbetriebnahme hinweg | Entwicklungsstandards; Test und Validierung; Änderungsmanagement; Modellstilllegung |
A.7 - Datenmanagement | Datenqualität, Herkunft und Schutz | Dokumentation der Datenherkunft; Kontrollen der Datenqualität; Maßnahmen zum Datenschutz |
A.8 - Transparenz | Erklärbarkeit und Offenlegung gegenüber Stakeholdern | Dokumentation der Fähigkeiten und Grenzen von KI; stakeholdergerechte Erläuterungen |
A.9 - Nutzung von KI-Systemen | Menschliche Aufsicht und zulässige Nutzung | Definierte Auslöser für menschliches Eingreifen; Richtlinien zur zulässigen Nutzung; Überwachung von KI im Betrieb |
Nicht alle 38 Kontrollen sind für jede Organisation verpflichtend. Der Standard verlangt eine Anwendbarkeitserklärung (SoA) - ein Dokument, das jede Kontrolle aus Anhang A aufführt, angibt, ob sie in das AIMS aufgenommen oder ausgeschlossen ist, und jede Ausnahme begründet. Die SoA ist eines der ersten Dokumente, die ein Auditor anfordern wird, und ihre Qualität bestimmt oft den Ton des gesamten Audits. Für Organisationen mit umfangreichen KI-Portfolios ermöglicht die SoA zudem eine gestaffelte Governance - also die vollständige Tiefe der Kontrollen aus Anhang A auf Hochrisiko-Systeme anzuwenden und zugleich bei geringeren Risiken einen schlankeren Ansatz zu wählen, sofern die risikobasierte Begründung dokumentiert ist.
Anhang B bietet Implementierungsleitlinien für jede Kontrolle. Anhang C ordnet KI-Risikoquellen zu. Anhang D stellt Querverweise zu domänenspezifischen Standards her. Zusammen bilden die vier Anhänge eine umfassende Referenz für die Implementierung.
Implementierung von ISO 42001: Sieben Schritte zur Zertifizierung
Schritt 1: Geltungsbereich festlegen und das KI-Inventar aufbauen
Definieren Sie zunächst, was in den Geltungsbereich des AIMS fällt. Dies bedeutet, jedes KI-System zu erfassen, das die Organisation entwickelt, einkauft, bereitstellt oder zu dem sie beiträgt - einschließlich Tools von Drittanbietern, eingebetteter KI in Softwareprodukten und KI-Services, die über APIs genutzt werden.
Dieser Schritt ist regelmäßig schwieriger, als er klingt. Shadow AI - Mitarbeitende, die ChatGPT, Copilot oder andere KI-Tools ohne Sichtbarkeit der IT nutzen - wird in dieser Phase häufiger als nicht entdeckt. Das Inventar sollte mindestens Folgendes erfassen: Systemname und Zweck, KI-Rolle (Anbieter, Kunde, Partner), Dateninputs und -outputs, Bereitstellungsstatus, Risikoklassifizierung und Systemverantwortliche.
Die Scope-Entscheidung bestimmt auch den Umfang der Implementierung. Manche Organisationen begrenzen den Geltungsbereich des AIMS zunächst auf eine einzelne Geschäftseinheit oder Produktlinie und erweitern ihn später. Andere verfolgen von Beginn an einen unternehmensweiten Geltungsbereich. Die richtige Antwort hängt von der organisatorischen Komplexität ab, doch ein engerer Start mit anschließender Erweiterung ist in der Regel praktischer als der Versuch einer umfassenden Abdeckung im ersten Anlauf.
Schritt 2: Eine Gap-Analyse durchführen
Ist der Geltungsbereich definiert, folgt ein strukturierter Vergleich der aktuellen Praxis mit jeder Klauselanforderung (Klauseln 4-10) sowie jeder anwendbaren Kontrolle aus Anhang A. Stellen Sie ein funktionsübergreifendes Team zusammen, das Compliance, Recht, Data Science, Engineering, Produktmanagement und Risikomanagement abdeckt.
Dokumentieren Sie für jede Lücke, was fehlt, bewerten Sie die Schwere (priorisieren Sie Lücken, die Hochrisiko-KI-Systeme oder zentrale Governance-Anforderungen betreffen) und schätzen Sie den Aufwand zur Behebung. Organisationen, die bereits nach ISO 27001 zertifiziert sind, werden feststellen, dass viele Lücken in den Klauseln 4-10 geringfügig sind - die Managementsystem-Infrastruktur wird direkt übernommen. Die wesentliche neue Arbeit konzentriert sich auf Klausel 6.1.4 (KI-Folgenabschätzung), die Kontrollen aus Anhang A und die KI-spezifischen Nachweise.
Schritt 3: Das AIMS entwerfen
Entwickeln oder passen Sie die Komponenten des Managementsystems an:
KI-Richtlinie und Unterrichtlinien: Die übergreifende KI-Richtlinie (Klausel 5.2) muss verantwortungsvolle KI-Werte adressieren - Fairness, Transparenz, Verantwortlichkeit, Sicherheit und Datenschutz. Unterrichtlinien für zulässige Nutzung, Daten-Governance und Drittanbieter-KI können je nach Geltungsbereich erforderlich sein
Methodik der Risikobewertung: Passen Sie bestehende Risikobewertungsprozesse auf KI-spezifische Risiken an - algorithmische Verzerrung, Model Drift, Missbrauch, nicht erklärbare Ausgaben, Sicherheitslücken. Die Methodik muss konsistente, vergleichbare Ergebnisse liefern
Methodik der KI-System-Folgenabschätzung: Entwickeln Sie Vorlagen und Prozesse zur Bewertung der Auswirkungen auf Einzelpersonen, Gruppen und die Gesellschaft. Definieren Sie Auslöser für eine erneute Bewertung: wesentliche Systemänderungen, neue Datenquellen, neue Anwendungsfälle, regulatorische Änderungen, negative Vorfälle
Matrix für Rollen und Verantwortlichkeiten: Definieren Sie, wer das AIMS verantwortet, wer einzelne KI-Systeme verantwortet, wer Risiko- und Folgenabschätzungen durchführt und wer für jede Domäne der Kontrollen aus Anhang A verantwortlich ist
Schulungs- und Kompetenzprogramm: Identifizieren Sie die Kompetenzanforderungen für jede Rolle und planen Sie die Schulungen entsprechend
Schritt 4: Kontrollen umsetzen und Nachweise sammeln
Setzen Sie die Kontrollen operativ um. Hier verlangsamen sich die meisten Implementierungen, da der Standard überprüfbare Nachweise verlangt - nicht nur Richtlinien auf dem Papier.
Zu den Nachweis-Artefakten gehören: Model Cards, die Fähigkeiten und Grenzen des Systems dokumentieren, Protokolle zu Tests und Validierungen, Aufzeichnungen von Verzerrungsbewertungen, Dokumentation der Datenherkunft, Vorfälle zur Reaktion auf Zwischenfälle, Änderungsmanagement-Protokolle und Aufzeichnungen menschlicher Eingriffe. Die Erfahrung von Enzai mit der Unterstützung von Unternehmensimplementierungen bestätigt, was Early Adopter durchgängig berichten: Die Sammlung von Nachweisen und die Disziplin in der Dokumentation sind die größte operative Herausforderung - nicht, weil die Nachweise nicht existieren, sondern weil sie über Tools, Teams und Systeme ohne zentralen Sammelmechanismus verteilt sind.
Schritt 5: Internes Audit
Führen Sie vor dem Zertifizierungsantrag mindestens ein vollständiges internes Audit gegen alle in den Geltungsbereich fallenden Klauseln und Kontrollen aus Anhang A durch. Der interne Auditor muss von den geprüften Kontrollen unabhängig sein (dies kann internes Personal aus einer anderen Funktion oder ein qualifizierter Dritter sein). Das Audit muss Feststellungen hervorbringen, und Nichtkonformitäten müssen vor dem Fortfahren über den Prozess der Korrekturmaßnahmen behoben werden.
Schritt 6: Managementbewertung
Halten Sie eine formelle Managementbewertung (Klausel 9.3) ab, die Folgendes umfasst: Leistungsdaten des AIMS, Ergebnisse interner Audits, Ergebnisse aus Risiko- und Folgenabschätzungen, Nichtkonformitäten und Korrekturmaßnahmen, Stakeholder-Feedback sowie alle Änderungen, die das AIMS betreffen. Das Ergebnis sind dokumentierte Entscheidungen und Maßnahmen zur kontinuierlichen Verbesserung. Diese Bewertung muss das Top-Management einbeziehen - sie kann nicht vollständig an das Governance-Team delegiert werden.
Schritt 7: Zertifizierungsaudit
Das externe Audit folgt einem Zwei-Stufen-Modell. Stufe 1 ist eine Dokumentenprüfung (typischerweise 1-2 Tage), bei der der Auditor beurteilt, ob die AIMS-Dokumentation angemessen ist und ob die Organisation für eine vollständige Bewertung bereit ist. Stufe 2 ist das Implementierungs-Audit (3-9+ Tage, abhängig von Geltungsbereich und Komplexität), bei dem der Auditor Mitarbeitende befragt, Nachweise prüft und die in Betrieb befindlichen Kontrollen aus Anhang A durchgeht.
Zertifikate sind drei Jahre gültig, mit jährlichen Überwachungsaudits und einer vollständigen Re-Zertifizierung am Ende des Zyklus.
Ein wichtiger Hinweis zu Zertifizierungsstellen: Wählen Sie eine Zertifizierungsstelle (CB), die eine Akkreditierung besitzt, die ausdrücklich auf ISO 42001 durch eine anerkannte Akkreditierungsstelle (ANAB, UKAS, DAkkS oder gleichwertig) ausgerichtet ist. ISO/IEC 42006, der Standard für Stellen, die nach 42001 auditieren, befindet sich noch in der Finalisierung, und die Auditorenkompetenz variiert. Eine akkreditierte Zertifizierung durch eine CB mit nachweisbarer KI-Fachexpertise hat deutlich mehr Gewicht als eine nicht akkreditierte - auch wenn die Zertifikate auf den ersten Blick ähnlich aussehen mögen.[4]
ISO 42001 und der EU AI Act: Ergänzend, nicht gleichwertig
Das Verhältnis zwischen ISO 42001 und dem EU AI Act wird häufig missverstanden. Das Wichtigste vorab: Eine ISO-42001-Zertifizierung stellt keine Konformität mit dem EU AI Act dar. Stand April 2026 ist der Standard nicht im Amtsblatt der EU als harmonisierter Standard gelistet, weshalb der Rechtsmechanismus der „Konformitätsvermutung“ nicht greift.[5]
Der Überschneidungsbereich ist jedoch beträchtlich. Der Gemeinsame Technische Ausschuss 21 von CEN-CENELEC arbeitet aktiv daran, ISO 42001 in eine Europäische Norm zu überführen (der Entwurf mit der Bezeichnung prEN ISO/IEC 42001 wurde von November 2025 bis Februar 2026 zur öffentlichen Konsultation gestellt). Separat dazu trat prEN 18286 - ein speziell für die regulatorischen Anforderungen des EU AI Act entwickelter harmonisierter Standard - im Oktober 2025 in die öffentliche Konsultation ein.[6] Wenn diese Standards finalisiert und im Amtsblatt veröffentlicht sind, wird sich die ISO-42001-Zertifizierung von einer „hilfreichen Vorbereitung“ zu einem „direkten Weg zur Konformität“ entwickeln.
Bis dahin umfasst die praktische Überschneidung:
Risikomanagement: Artikel 9 des EU AI Act verlangt Risikomanagementsysteme für Hochrisiko-KI. Klausel 6 von ISO 42001 liefert dafür die Methodik und den Nachweisrahmen
Menschliche Aufsicht: Artikel 14 verlangt Aufsichtsmaßnahmen. Domäne A.9 in Anhang A definiert Kontrollen für menschliches Eingreifen
Transparenz und Dokumentation: Artikel 11 und 13 verlangen technische Dokumentation und Transparenz. Die Domänen A.7 und A.8 in Anhang A adressieren Datenmanagement, Erklärbarkeit und Offenlegung gegenüber Stakeholdern
Daten-Governance: Artikel 10 verlangt Datenqualität und Governance. Domäne A.7 in Anhang A stellt dafür den Kontrollrahmen bereit
Überwachung nach dem Inverkehrbringen: Artikel 72 verlangt eine fortlaufende Überwachung. Die Klauseln 9 und 10 von ISO 42001 etablieren den Zyklus aus Leistungsbewertung und Verbesserung
Die praktische Empfehlung ist eindeutig: ISO 42001 schafft die Governance-Infrastruktur, die Nachweisbasis und die Managementdisziplin, die für die Konformität mit dem EU AI Act erforderlich sein werden. Organisationen, die den Standard jetzt umsetzen, werden deutlich besser vorbereitet sein, wenn die Pflichten für Hochrisiko-KI-Systeme im August 2026 vollständig wirksam werden - unabhängig davon, ob die formale Harmonisierung bis dahin abgeschlossen ist.
Häufige Fallstricke bei der Implementierung von ISO 42001
Aus den Erfahrungen früher Anwender ergeben sich mehrere Muster, die sich immer wieder zeigen.
Unterschätzung des KI-Inventars. Organisationen unterschätzen ihre KI-Systeme in der Scoping-Phase regelmäßig. Die Entdeckung von Shadow-AI-Nutzung, eingebetteter KI in Drittanbietersoftware und KI-Komponenten, die in Anbieterplattformen verborgen sind, erweitert die ursprüngliche Umfangsschätzung typischerweise um 30-50 %. Planen Sie im Projektplan ausreichend Zeit für einen gründlichen Discovery-Prozess ein.
Behandlung als reine Dokumentationsübung. ISO 42001 ist ein Managementsystemstandard, kein Dokumentationsstandard. Auditoren sind geschult, über Richtlinien hinaus auf operative Nachweise zu achten. Eine Organisation mit einer hervorragend formulierten KI-Richtlinie, aber ohne Nachweise darüber, dass Risikobewertungen durchgeführt, Modelltests vorgenommen oder menschliche Aufsicht ausgeübt wurden, wird das Stufe-2-Audit nicht bestehen.
Vernachlässigung der KI-Folgenabschätzung. Klausel 6.1.4 ist für die meisten Organisationen neu und erhält während der Implementierung weniger Aufmerksamkeit, als ihr zusteht. Die KI-System-Folgenabschätzung erfordert ein Nachdenken über gesellschaftliche und bevölkerungsbezogene Auswirkungen - nicht nur über organisationale Risiken. Nur wenige Organisationen verfügen vor Beginn der ISO-42001-Arbeiten über etablierte Methoden dafür, und deren Entwicklung dauert länger als erwartet.
Implementierung in Silos. ISO 42001 betrifft Recht, Produkt, Engineering, Data Science, Sicherheit und Compliance gleichermaßen. Implementierungen, die vollständig von einer einzigen Funktion verantwortet werden - typischerweise Compliance oder IT - führen häufig zu Governance-Rahmenwerken, die vom Rest der Organisation nicht genutzt werden. Funktionsübergreifende Lenkungsausschüsse mit Unterstützung der Führungsebene sind nicht optional; sie sind eine Voraussetzung für den Erfolg.
Zertifizierung mit Konformität verwechseln. Eine Zertifizierung bestätigt, dass ein Managementsystem zu einem bestimmten Zeitpunkt die Anforderungen des Standards erfüllt. Sie bestätigt nicht, dass jedes KI-System der Organisation frei von Verzerrungen, vollständig transparent oder mit jeder anwendbaren Regulierung konform ist. Das AIMS muss ein lebendes System sein, das kontinuierliche Verbesserung vorantreibt - und keine einmalige Zertifizierungsübung.
Zeitrahmen und Investition
Realistische Zeitpläne für die Implementierung von ISO 42001 variieren je nach organisatorischer Komplexität:
Organisationsprofil | Typischer Zeitrahmen | Wesentliche Variablen |
|---|---|---|
Kleine Organisation (1-10 KI-Systeme), ISO 27001 bereits umgesetzt | 4-6 Monate | Komplexität des Geltungsbereichs, Bereitschaft der Nachweise |
Mittelstand (10-50 KI-Systeme), gewisse Reife des Managementsystems | 9-12 Monate | Funktionsübergreifende Abstimmung, Vollständigkeit des KI-Inventars |
Großunternehmen (50+ KI-Systeme), Geltungsbereich über mehrere Geschäftseinheiten | 12-18+ Monate | Organisatorische Komplexität, Entdeckung von Shadow AI, globale Abstimmung |
Organisationen, die bereits nach ISO 27001 zertifiziert sind, haben einen spürbaren Vorsprung. Die harmonisierte Struktur bedeutet, dass Risikomanagementrahmen, interne Auditprozesse, Kontrollen dokumentierter Informationen und Zyklen der kontinuierlichen Verbesserung direkt übernommen werden können. Mehrere Zertifizierungsstellen bieten kombinierte Auditprogramme für ISO 27001 + ISO 42001 an, die Nachweise gemeinsam nutzen und Audit-Tage reduzieren.
Die Investition betrifft nicht nur Zeit. Zu den Budgetüberlegungen gehören: Auditgebühren der Zertifizierungsstelle (abhängig von Geltungsbereich und Komplexität), interne Ressourcenzuteilung über das funktionsübergreifende Team hinweg, mögliche Tools für die Nachweiserhebung und das Management des KI-Inventars sowie Schulungen für Rollen, die für die KI-Governance neu sind. Der größte Kostenfaktor in den meisten Implementierungen ist der personelle Aufwand für die Sammlung von Nachweisen und die Dokumentation - insbesondere für Organisationen, die keine zentralen Systeme zur Erfassung von Metadaten zu KI-Systemen, Testaufzeichnungen und Risikobewertungen haben.
Die Implementierung von ISO 42001 über ein großes KI-Portfolio hinweg ist ebenso sehr ein Infrastrukturproblem wie ein Governance-Problem. Der Umfang der erforderlichen Nachweise - Model Cards, Testprotokolle, Verzerrungsbewertungen, Aufzeichnungen zur Datenherkunft, Folgenabschätzungen und Artefakte des Änderungsmanagements über Dutzende von KI-Systemen hinweg - übersteigt das, was Tabellenkalkulationen und gemeinsam genutzte Laufwerke dauerhaft leisten können. Bei Enzai ist unsere Plattform speziell für diese Herausforderung entwickelt: zentrales KI-Inventar, strukturierte Zuordnung der Kontrollen aus Anhang A, automatisierte Nachweiserhebung und kontinuierliche Überwachung, ausgerichtet am Managementsystem-Zyklus von ISO 42001. Organisationen, die sich auf die Zertifizierung vorbereiten, können eine Demo buchen, um zu sehen, wie dies in der Praxis funktioniert.
Referenzen
[1] IBM, „IBM wird erster großer Entwickler von Open-Source-KI-Modellen, der die ISO 42001-Zertifizierung erhält“, September 2024; Anthropic, „Anthropic erreicht ISO 42001-Zertifizierung“, Januar 2025; Microsoft Learn, „Konformität mit ISO/IEC 42001:2023“; KPMG Australia, zertifiziert durch BSI; Changi Airport Group, zertifiziert durch SGS, Februar 2025.
[2] ISO/IEC 42001:2023, Informationstechnologie - Künstliche Intelligenz - Managementsystem. Internationale Organisation für Normung, Dezember 2023.
[3] ISO/IEC 42001:2023, Anhang A (Referenz-Zielsetzungen und Kontrollen). Hinweise zur Implementierung finden Sie in Anhang B.
[4] ANAB führt unter anab.ansi.org ein Verzeichnis der für ISO 42001 akkreditierten Zertifizierungsstellen. ISO/IEC 42006 (Anforderungen an Stellen, die Audit und Zertifizierung von AIMS anbieten) befindet sich in Entwicklung.
[5] Stand April 2026 wurde im Amtsblatt der EU kein KI-spezifischer harmonisierter Standard mit Konformitätsvermutungsstatus für den EU AI Act veröffentlicht. Siehe ISMS.online, „Konformitätsvermutung: Warum ISO 42001 noch nicht Ihr rechtlicher Schutzschild für den AI Act ist“, 2025.
[6] CEN-CENELEC, „Aktualisierung zur KI-Normung“, Oktober 2025. Öffentliche Konsultation zu prEN ISO/IEC 42001 von November 2025 bis Februar 2026; öffentliche Konsultation zu prEN 18286 ab dem 30. Oktober 2025.
Ermöglichen Sie Ihrer Organisation die Einführung, Steuerung und Überwachung von KI mit unternehmensgerechtem Vertrauen. Entwickelt für regulierte Organisationen, die im großen Maßstab operieren.