Ein Schritt-für-Schritt-Leitfaden zur Implementierung von ISO 42001 – Gap-Analyse, Kontrollen gemäß Anhang A, Zertifizierungsaudit und Ausrichtung am EU AI Act für Teams in Unternehmen.
•
•
15 Minuten Lesezeit
Themen
Bis April 2026 liest sich die Liste der nach ISO/IEC 42001 zertifizierten Organisationen wie das Who's Who der Enterprise-KI: IBM für seine Granite-Modelle, Anthropic für Claude, Microsoft für 365 Copilot, KPMG Australien für seine gesamte Beratungspraxis und der Flughafen Changi in Singapur für seine betrieblichen KI-Systeme.[1] Der im Dezember 2023 veröffentlichte Standard hat sich schneller von der Veröffentlichung zur unternehmensweiten Einführung entwickelt, als die meisten Beobachter prognostizierten. Und die Dynamik beschleunigt sich weiter, was zu einem großen Teil auf die herannahende Frist im August 2026 für die Verpflichtungen zu Hochrisikosystemen gemäß dem EU-KI-Gesetz (EU AI Act) zurückzuführen ist.
Dennoch beschränken sich die meisten Leitfäden zur Implementierung von ISO 42001 auf das „Was ist es?“ und „Warum ist es wichtig?“. Unternehmensteams, die mit der Umsetzung der ISO 42001-Compliance betraut sind, stehen vor einer praktischeren Frage: Wie? Wie sieht eine Gap-Analyse aus? Welche Dokumentation ist erforderlich? Wie lassen sich die 38 Kontrollen aus Anhang A in die betriebliche Praxis übertragen? Und wie unterstützt eine Zertifizierung – ohne sie zu ersetzen – die Einhaltung des EU-KI-Gesetzes?
Dieser Leitfaden beantwortet diese Fragen. Er richtet sich an Compliance-Beauftragte, Verantwortliche für KI-Governance und Entwicklungsteams, die mit der Implementierung von ISO 42001 beauftragt wurden und wissen müssen, was dies konkret beinhaltet.
Was ISO 42001 verlangt
ISO/IEC 42001 ist der erste internationale Standard für ein Managementsystem für Künstliche Intelligenz (M_K_I bzw. AIMS). Er folgt derselben harmonisierten Struktur (ehemals Annex SL), die auch bei ISO 27001 für Informationssicherheit und ISO 9001 für Qualitätsmanagement zum Einsatz kommt. Dies bedeutet, dass Organisationen, die bereits nach diesen Standards zertifiziert sind, mit dem Grundgerüst des Managementsystems vertraut sein werden.[2]
Die zehn Abschnitte des Standards legen verbindliche Anforderungen in sieben Bereichen fest:
Kontext (Abschnitt 4): Definition der KI-Rolle der Organisation (Anbieter, Produzent, Kunde oder Partner), Identifizierung von Stakeholdern und Bestimmung des Anwendungsbereichs des AIMS
Führung (Abschnitt 5): Etablierung einer KI-Richtlinie, Zuweisung von Rollen und Verantwortlichkeiten sowie Sicherstellung des Engagements der obersten Führungsebene
Planung (Abschnitt 6): Durchführung von KI-Risikobewertungen, Durchführung von Folgenabschätzungen für KI-Systeme und Definition von Zielen
Unterstützung (Abschnitt 7): Bereitstellung von Ressourcen, Aufbau von Kompetenzen und Pflege dokumentierter Informationen
Betrieb (Abschnitt 8): Implementierung von Kontrollen, Ausführung von Plänen zur Risikobehandlung und Steuerung betrieblicher Prozesse
Bewertung der Leistung (Abschnitt 9): Überwachung und Messung der Wirksamkeit des AIMS, Durchführung interner Audits und Durchführung von Management-Bewertungen
Verbesserung (Abschnitt 10): Behandlung von Nichtkonformitäten, Ergreifen von Korrekturmaßnahmen und Förderung kontinuierlicher Verbesserungen
Was den Unterschied zu ISO 27001 ausmacht
Organisationen, die mit ISO 27001 vertraut sind, werden die Struktur wiedererkennen. Die Unterschiede liegen in den spezifischen KI-Inhalten, die darauf aufbauen.
Abschnitt 4.1 verlangt von Organisationen, ihre Rolle im KI-Ökosystem zu definieren – ein Konzept, für das es in ISO 27001 keine Entsprechung gibt. Ein Großunternehmen kann gleichzeitig KI-Anbieter sein (indem es KI-gestützte Produkte für Kunden anbietet), KI-Kunde (indem es intern KI-Tools von Drittanbietern nutzt) und KI-Partner (indem es Daten für das KI-System einer anderen Organisation bereitstellt). Der Anwendungsbereich des AIMS muss jede Rolle widerspiegeln, die die Organisation einnimmt.
Abschnitt 6.1.4 führt die Folgenabschätzung für KI-Systeme ein – eine formelle, dokumentierte Bewertung der potenziellen Auswirkungen des KI-Einsatzes auf Einzelpersonen, Gruppen und die Gesellschaft. Dies geht über die organisatorische Risikobewertung hinaus (mit der ISO 27001-Praktiker vertraut sein werden), um externe Schäden zu berücksichtigen: algorithmische Voreingenommenheit (Bias), die sich auf Einstellungsentscheidungen auswirkt, automatisierte Systeme, die Finanzdienstleistungen verweigern, oder Überwachungstechnologien, die Bürgerrechte verletzen. Dies ist vom Geist her näher an einer Datenschutz-Folgenabschätzung gemäß DSGVO als an einem traditionellen Risikoregister, auch wenn der Standard bezüglich der Methodik weniger präskriptiv ist.
Und Anhang A ist völlig neu. Während der Anhang A der ISO 27001 93 Kontrollmaßnahmen für die Informationssicherheit enthält, umfasst der Anhang A der ISO 42001 38 Kontrollen in neun Bereichen, die speziell auf die KI-Governance ausgerichtet sind.[3]
Die 38 Kontrollen: Was Anhang A tatsächlich verlangt
Anhang A ist das operative Rückgrat des Standards. Seine 38 Kontrollen sind in neun Bereiche unterteilt, die jeweils auf einen anderen Aspekt des verantwortungsvollen KI-Managements abzielen.
Bereich | Schwerpunkt | Wichtige Kontrollmaßnahmen |
|---|---|---|
A.2 – KI-Richtlinien | Vorhandensein und Angemessenheit von KI-Richtlinien | Am Organisationszweck ausgerichtete KI-Richtlinie; regelmäßige Überprüfung und Aktualisierung |
A.3 – Interne Organisation | Verantwortlichkeits- und Governance-Strukturen | Definierte Rollen für die KI-Governance; abteilungsübergreifende Koordinationsmechanismen |
A.4 – Ressourcen für KI-Systeme | Angemessenheit von Daten, Werkzeugen, Rechenleistung und personeller Kompetenz | Bewertung der Datenqualität; Angemessenheit der Infrastruktur; Anforderungen an Fähigkeiten und Kompetenzen |
A.5 – Folgenabschätzung | Methodik zur Bewertung von KI-Konsequenzen | Dokumentierter Prozess zur Folgenabschätzung; Bewertung der Auswirkungen auf Einzelpersonen und die Gesellschaft |
A.6 – KI-Systemlebenszyklus | Kontrollen über Design, Entwicklung, Test, Bereitstellung und Außerbetriebnahme | Entwicklungsstandards; Testen und Validieren; Änderungsmanagement; Modell-Ausmusterung |
A.7 – Datenmanagement | Datenqualität, Herkunft und Schutz | Dokumentation der Datenherkunft (Data Lineage); Qualitätskontrollen für Daten; Datenschutzmaßnahmen |
A.8 – Transparenz | Erklärbarkeit und Offenlegung gegenüber Stakeholdern | Dokumentation von KI-Fähigkeiten und -Grenzen; empfängergerechte Erklärungen für Stakeholder |
A.9 – Nutzung von KI-Systemen | Menschliche Aufsicht und zulässige Nutzung | Definierte Auslöser für menschliches Eingreifen; Richtlinien zur akzeptablen Nutzung; Überwachung der KI im Betrieb |
Nicht alle 38 Kontrollen sind für jede Organisation obligatorisch. Der Standard erfordert eine Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) – ein Dokument, das jede Kontrolle aus Anhang A auflistet, angibt, ob sie im AIMS enthalten oder davon ausgeschlossen ist, und eine Begründung für eventuelle Ausschlüsse liefert. Die SoA ist eines der ersten Dokumente, nach denen ein Auditor fragen wird, und ihre Qualität bestimmt oft den Ton des gesamten Audits. Für Organisationen mit großen KI-Portfolios ermöglicht die SoA auch eine gestaffelte Governance – indem die Kontrollen des Anhangs A in vollem Umfang auf Hochrisikosysteme angewendet werden, während bei Systemen mit geringerem Risiko ein pragmatischerer Ansatz gewählt wird, vorausgesetzt, die risikobasierte Begründung ist dokumentiert.
Anhang B bietet Implementierungshilfen für jede Kontrolle. Anhang C kartografiert KI-Risikoquellen. Anhang D stellt Querverweise zu domänenspezifischen Standards her. Zusammen bilden die vier Anhänge eine umfassende Referenz für die Implementierung.
ISO 42001-Implementierung: In sieben Schritten zur Zertifizierung
Schritt 1: Scope definieren und KI-Inventar erstellen
Legen Sie vor allen anderen Schritten fest, was in den Bereich des AIMS fällt. Das bedeutet, dass jedes KI-System inventarisiert werden muss, das die Organisation entwickelt, zukauft, einsetzt oder zu dem sie beiträgt – einschließlich Tools von Drittanbietern, eingebetteter KI in Softwareprodukten und über APIs genutzter KI-Dienste.
Dieser Schritt ist erfahrungsgemäß schwieriger, als es klingt. Schatten-KI – Mitarbeitende, die ChatGPT, Copilot oder andere KI-Tools ohne Wissen der IT nutzen – wird in dieser Phase meistens entdeckt. Das Inventar sollte mindestens Folgendes erfassen: Name und Zweck des Systems, KI-Rolle (Anbieter, Kunde, Partner), Dateneingänge und -ausgänge, Bereitstellungsstatus, Risikoklassifizierung und System-Owner.
Die Entscheidung über den Anwendungsbereich bestimmt auch das Ausmaß der Implementierung. Einige Organisationen beschränken das AIMS zunächst auf eine einzelne Geschäftseinheit oder Produktlinie und weiten es dann aus. Andere streben von Anfang an einen unternehmensweiten Anwendungsbereich an. Die richtige Antwort hängt von der Komplexität der Organisation ab, aber ein engerer Start mit anschließender Erweiterung ist im ersten Durchlauf im Allgemeinen praktikabler als der Versuch einer lückenlosen Abdeckung.
Schritt 2: Gap-Analyse durchführen
Führen Sie nach der Definition des Anwendungsbereichs einen strukturierten Abgleich der aktuellen Praktiken mit den Anforderungen der einzelnen Abschnitte (Abschnitte 4-10) und den anwendbaren Kontrollen aus Anhang A durch. Stellen Sie dazu ein funktionsübergreifendes Team zusammen, das die Bereiche Compliance, Recht, Data Science, Engineering, Produkt und Risikomanagement abdeckt.
Dokumentieren Sie für jede Lücke, was fehlt, bewerten Sie den Schweregrad (priorisieren Sie Lücken, die Hochrisiko-KI-Systeme oder Kernanforderungen der Governance betreffen) und schätzen Sie den Behebungsaufwand ab. Organisationen, die bereits nach ISO 27001 zertifiziert sind, werden feststellen, dass viele Lücken in den Abschnitten 4-10 geringfügig sind – die Infrastruktur des Managementsystems lässt sich direkt übertragen. Die wesentliche neue Arbeit konzentriert sich auf Abschnitt 6.1.4 (KI-Folgenabschätzung), die Kontrollen aus Anhang A und die KI-spezifischen Nachweisanforderungen.
Schritt 3: AIMS konzipieren
Bauen Sie die Komponenten des Managementsystems auf oder passen Sie diese an:
KI-Richtlinie und untergeordnete Richtlinien: Die übergeordnete KI-Richtlinie (Abschnitt 5.2) muss Werte für eine verantwortungsvolle KI adressieren – Fairness, Transparenz, Rechenschaftspflicht, Sicherheit, Datenschutz. Je nach Anwendungsbereich können zusätzliche Richtlinien für die zulässige Nutzung, Data Governance und KI von Drittanbietern erforderlich sein.
Methodik zur Risikobewertung: Passen Sie bestehende Risikobewertungsprozesse für KI-spezifische Risiken an – algorithmische Voreingenommenheit, Model Drift, Missbrauch, nicht erklärbare Ergebnisse, Sicherheitslücken. Die Methodik muss konsistente und vergleichbare Ergebnisse liefern.
Methodik zur Folgenabschätzung für KI-Systeme: Entwickeln Sie Vorlagen und Prozesse zur Bewertung der Auswirkungen auf Einzelpersonen, Gruppen und die Gesellschaft. Definieren Sie Auslöser für eine erneute Bewertung: wesentliche Systemänderungen, neue Datenquellen, neue Anwendungsfälle, regulatorische Änderungen, Sicherheitsvorfälle.
Rollen- und Verantwortlichkeitsmatrix: Definieren Sie, wer das AIMS leitet, wer die Verantwortung für einzelne KI-Systeme trägt, wer Risiko- und Folgenabschätzungen durchführt und wer für die jeweiligen Kontrollbereiche aus Anhang A verantwortlich ist.
Schulungs- und Kompetenzprogramm: Identifizieren Sie die Kompetenzanforderungen für jede Rolle und planen Sie entsprechende Schulungen.
Schritt 4: Kontrollen implementieren und Nachweise sammeln
Rollen Sie die Kontrollen operativ aus. An dieser Stelle geraten die meisten Implementierungen ins Stocken, da der Standard überprüfbare Nachweise verlangt – und nicht nur Richtlinien auf dem Papier.
Zu den Nachweisen gehören: Model Cards zur Dokumentation von Systemfähigkeiten und -grenzen, Test- und Validierungsprotokolle, Aufzeichnungen zur Bias-Bewertung, Dokumentationen zur Datenherkunft, Incident-Response-Protokolle, Change-Management-Logs und Protokolle über menschliche Eingriffe. Die Erfahrung von Enzai bei der Unterstützung von Unternehmensimplementierungen bestätigt, was Pioniere einhellig berichten: Die Disziplin bei der Nachweiserbringung und Dokumentation ist die größte operative Herausforderung – nicht, weil die Nachweise nicht existieren, sondern weil sie über verschiedene Tools, Teams und Systeme verstreut sind und kein zentraler Erfassungsmechanismus existiert.
Schritt 5: Internes Audit
Führen Sie mindestens ein vollständiges internes Audit aller relevanten Abschnitte und Kontrollen aus Anhang A durch, bevor Sie die Zertifizierung anstreben. Der interne Auditor muss unabhängig von den geprüften Kontrollen sein (dies können interne Mitarbeitende aus einer anderen Abteilung oder qualifizierte Dritte sein). Das Audit muss Ergebnisse liefern, und Abweichungen müssen über den Prozess für Korrekturmaßnahmen behoben werden, bevor fortgefahren werden kann.
Schritt 6: Management-Bewertung
Führen Sie eine formelle Management-Bewertung (Abschnitt 9.3) durch, die folgende Punkte abdeckt: Leistungsdaten des AIMS, Ergebnisse interner Audits, Ergebnisse von Risiko- und Folgenabschätzungen, Nichtkonformitäten und Korrekturmaßnahmen, Feedback von Stakeholdern sowie alle Änderungen, die sich auf das AIMS auswirken. Das Ergebnis sind dokumentierte Entscheidungen und Maßnahmen zur kontinuierlichen Verbesserung. Diese Bewertung muss die oberste Führungsebene einbeziehen – sie kann nicht vollständig an das Governance-Team delegiert werden.
Schritt 7: Zertifizierungsaudit
Das externe Audit folgt einem zweistufigen Modell. Stufe 1 ist eine Dokumentenprüfung (in der Regel 1–2 Tage), bei der der Auditor beurteilt, ob die AIMS-Dokumentation angemessen ist und die Organisation für eine vollständige Bewertung bereit ist. Stufe 2 ist das Implementierungsaudit (3–9+ Tage, je nach Anwendungsbereich und Komplexität), bei dem der Auditor Mitarbeiter interviewt, Nachweise prüft und Kontrollen aus Anhang A im laufenden Betrieb begutachtet.
Zertifikate haben eine Gültigkeit von drei Jahren, mit jährlichen Überwachungsaudits und einer vollständigen Rezertifizierung am Ende des Zyklus.
Ein wichtiger Hinweis zu Zertifizierungsstellen: Wählen Sie eine Zertifizierungsstelle (CB), die über eine speziell auf ISO 42001 ausgerichtete Akkreditierung einer anerkannten Akkreditierungsstelle (ANAB, UKAS, DAkkS oder gleichwertig) verfügt. Die ISO/IEC 42006, der Standard für Stellen, die Audits nach 42001 durchführen, befindet sich noch in der Finalisierung, und die Kompetenz der Auditoren ist unterschiedlich. Eine akkreditierte Zertifizierung durch eine Stelle mit nachweisbarer KI-Fachkompetenz hat wesentlich mehr Gewicht als eine nicht akkreditierte – auch wenn die Zertifikate auf den ersten Blick ähnlich aussehen mögen.[4]
ISO 42001 und das EU-KI-Gesetz: Komplementär, nicht gleichwertig
Die Beziehung zwischen ISO 42001 und dem EU-KI-Gesetz (EU AI Act) wird häufig missverstanden. Das Wichtigste vorweg: Eine ISO 42001-Zertifizierung ist nicht gleichbedeutend mit der Einhaltung des EU-KI-Gesetzes. Bis April 2026 wurde der Standard nicht im Amtsblatt der EU als harmonisierter Standard gelistet, was bedeutet, dass der rechtliche Mechanismus der „Konformitätsvermutung“ nicht greift.[5]
Dennoch ist die Überschneidung beträchtlich. Das Joint Technical Committee 21 von CEN-CENELEC arbeitet aktiv daran, ISO 42001 in eine europäische Norm zu überführen (der Entwurf mit der Bezeichnung prEN ISO/IEC 42001 stand von November 2025 bis Februar 2026 zur öffentlichen Konsultation). Unabhängig davon ging prEN 18286 – ein speziell für die regulatorischen Zwecke des EU-KI-Gesetzes entwickelter harmonisierter Standard – im Oktober 2025 in die öffentliche Konsultation.[6] Sobald diese Standards finalisiert und im Amtsblatt veröffentlicht sind, wird sich die ISO 42001-Zertifizierung von einer „hilfreichen Vorbereitung“ zu einem „direkten Compliance-Pfad“ entwickeln.
In der Zwischenzeit umfasst die praktische Überschneidung:
Risikomanagement: Artikel 9 des EU-KI-Gesetzes verlangt Risikomanagementsysteme für Hochrisiko-KI. ISO 42001 Abschnitt 6 liefert dafür die Methodik und das Nachweis-Framework.
Menschliche Aufsicht: Artikel 14 fordert Aufsichtsmaßnahmen. Anhang A, Bereich A.9, definiert Kontrollen für menschliche Eingriffe.
Transparenz und Dokumentation: Die Artikel 11 und 13 verlangen technische Dokumentation und Transparenz. Die Bereiche A.7 und A.8 im Anhang A adressieren Datenmanagement, Erklärbarkeit und die Offenlegung gegenüber Stakeholdern.
Data Governance: Artikel 10 verlangt Datenqualität und Governance. Anhang A, Bereich A.7, bietet das entsprechende Kontroll-Framework.
Beobachtung nach dem Inverkehrbringen (Post-Market Monitoring): Artikel 72 verlangt eine kontinuierliche Überwachung. Die ISO 42001 Abschnitte 9 und 10 etablieren den Zyklus zur Leistungsbewertung und kontinuierlichen Verbesserung.
Die praktische Empfehlung ist eindeutig: ISO 42001 baut genau die Governance-Infrastruktur, Nachweisbasis und Managementdisziplin auf, die für die Einhaltung des EU-KI-Gesetzes erforderlich sein werden. Organisationen, die den Standard jetzt implementieren, sind wesentlich besser vorbereitet, wenn die Verpflichtungen für Hochrisikosysteme im August 2026 in Kraft treten – unabhängig davon, ob bis zu diesem Datum eine formelle Harmonisierung abgeschlossen wurde.
Häufige Stolpersteine bei der ISO 42001-Implementierung
Bei der Analyse der Erfahrungen von Pionieren zeichnen sich regelmäßig mehrere Muster ab.
Unterschätzung des KI-Inventars. Organisationen unterschätzen ihre KI-Systeme in der Phase der Scoping-Definition systematisch. Die Entdeckung von Schatten-KI, eingebetteter KI in Drittanbietersoftware und KI-Komponenten, die in Plattformen von Dienstleistern verborgen sind, erhöht die ursprüngliche Aufwandsschätzung für den Scope in der Regel um 30–50 %. Planen Sie im Projektplan ausreichend Zeit für einen gründlichen Erfassungsprozess ein.
Behandlung als reine Dokumentationsübung. ISO 42001 ist ein Standard für Managementsysteme, kein reiner Dokumentationsstandard. Auditoren sind darauf geschult, hinter die Richtlinien zu blicken und operative Nachweise einzufordern. Eine Organisation mit einer hervorragend formulierten KI-Richtlinie, aber ohne Nachweise über durchgeführte Risikobewertungen, Modelltests oder ausgeübte menschliche Aufsicht wird das Audit der Stufe 2 nicht bestehen.
Vernachlässigung der Folgenabschätzung für KI-Systeme. Abschnitt 6.1.4 ist für die meisten Organisationen neu und erhält bei der Implementierung weniger Aufmerksamkeit, als ihm zusteht. Die Folgenabschätzung für KI-Systeme erfordert das Durchdenken gesellschaftlicher und populationsweiter Konsequenzen – nicht nur organisatorischer Risiken. Nur wenige Organisationen verfügen vor dem Start der ISO 42001-Arbeit über etablierte Methoden dafür; die Entwicklung einer solchen Methodik nimmt mehr Zeit in Anspruch als gedacht.
Silo-Implementierung. ISO 42001 berührt die Bereiche Recht, Produkt, Engineering, Data Science, Sicherheit und Compliance. Implementierungen, die vollständig von einer einzigen Abteilung – meist Compliance oder IT – verantwortet werden, führen oft zu Governance-Frameworks, die vom Rest des Unternehmens nicht gelebt werden. Funktionsübergreifende Steuerungskreise mit Unterstützung durch das Management sind keine Option, sondern eine Grundvoraussetzung für den Erfolg.
Verwechslung von Zertifizierung und Compliance. Die Zertifizierung bestätigt, dass ein Managementsystem zu einem bestimmten Zeitpunkt die Anforderungen des Standards erfüllt. Sie bestätigt nicht, dass jedes von der Organisation betriebene KI-System frei von Bias, vollständig transparent oder konform mit allen geltenden Vorschriften ist. Das AIMS muss ein lebendiges System sein, das kontinuierliche Verbesserungen vorantreibt, und keine einmalige Zertifizierungsübung.
Zeitplan und Investition
Realistische Zeitpläne für eine ISO 42001-Implementierung variieren je nach Komplexität der Organisation:
Unternehmensprofil | Typischer Zeitrahmen | Wichtige Variablen |
|---|---|---|
Kleine Organisation (1–10 KI-Systeme), ISO 27001 bereits vorhanden | 4–6 Monate | Komplexität des Scopes, Reife der Nachweise |
Mittelstand (10–50 KI-Systeme), gewisse Reife des Managementsystems vorhanden | 9–12 Monate | Abteilungsübergreifende Koordination, Vollständigkeit des KI-Inventars |
Großunternehmen (50+ KI-Systeme), mehrere Geschäftsbereiche im Scope | 12–18+ Monate | Organisatorische Komplexität, Aufdeckung von Schatten-KI, globale Abstimmung |
Organisationen, die bereits nach ISO 27001 zertifiziert sind, haben einen erheblichen Startvorteil. Durch die harmonisierte Struktur lassen sich Frameworks zur Risikobewertung, interne Auditprozesse, dokumentierte Informationskontrollen und Zyklen zur kontinuierlichen Verbesserung direkt übertragen. Mehrere Zertifizierungsstellen bieten kombinierte Auditprogramme für ISO 27001 + ISO 42001 an, bei denen Nachweise gemeinsam genutzt und Audit-Tage reduziert werden können.
Die Investition bemisst sich nicht nur in Zeit. Zu den Budgetfaktoren gehören: Auditgebühren der Zertifizierungsstelle (je nach Scope und Komplexität), interne Ressourcenbindung im gesamten funktionsübergreifenden Team, potenzielle Software-Tools für die Nachweiserfassung und das KI-Inventarmanagement sowie Schulungen für Rollen, die in der KI-Governance neu sind. Der größte Kostentreiber bei den meisten Implementierungen ist der Arbeitsaufwand für die Nachweiserbringung und Dokumentation – insbesondere für Unternehmen, die über keine zentralen Systeme zur Erfassung von Metadaten zu KI-Systemen, Testprotokollen und Risikobewertungen verfügen.
Die Implementierung von ISO 42001 über ein großes KI-Portfolio hinweg ist ebenso ein Infrastrukturproblem wie ein Governance-Problem. Die Menge der erforderlichen Nachweise – Model Cards, Testprotokolle, Bias-Bewertungen, Dokumente zur Datenherkunft, Folgenabschätzungen und Change-Management-Artefakte für Dutzende von KI-Systemen – übersteigt das, was Tabellenkalkulationen und freigegebene Laufwerke bewältigen können. Die Plattform von Enzai ist speziell für diese Herausforderung konzipiert: ein zentrales KI-Inventar, strukturiertes Mapping von Kontrollen aus Anhang A, automatisierte Nachweiserhebung und kontinuierliche Überwachung, die auf den Managementsystemzyklus von ISO 42001 abgestimmt sind. Organisationen, die sich auf eine Zertifizierung vorbereiten, können eine Demo buchen, um zu sehen, wie dies in der Praxis funktioniert.
Enzai ist die führende Plattform für Enterprise-KI-Governance, die speziell dafür entwickelt wurde, Organisationen beim Übergang von abstrakten Richtlinien zur operativen Aufsicht zu unterstützen. Unsere Plattform für KI-Risikomanagement bietet die spezialisierte Infrastruktur, die für die Verwaltung von agentenbasierter KI-Governance erforderlich ist, pflegt ein umfassendes KI-Inventar und stellt die Compliance mit dem EU-KI-Gesetz sicher. Durch die Automatisierung komplexer Workflows versetzt Enzai Unternehmen in die Lage, die Einführung von KI vertrauensvoll zu skalieren und gleichzeitig die Ausrichtung an globalen Standards wie ISO 42001 und NIST zu wahren.
Referenzen
[1] IBM, „IBM Becomes First Major Open-Source AI Model Developer to Earn ISO 42001 Certification“, September 2024; Anthropic, „Anthropic Achieves ISO 42001 Certification“, Januar 2025; Microsoft Learn, „ISO/IEC 42001:2023 Compliance“; KPMG Australia, zertifiziert durch BSI; Changi Airport Group, zertifiziert durch SGS, Februar 2025.
[2] ISO/IEC 42001:2023, Information technology - Artificial intelligence - Management system. International Organization for Standardization, Dezember 2023.
[3] ISO/IEC 42001:2023, Annex A (Reference control objectives and controls). Leitlinien zur Implementierung finden Sie in Anhang B.
[4] ANAB führt ein Register der für ISO 42001 akkreditierten Zertifizierungsstellen unter anab.ansi.org. ISO/IEC 42006 (Anforderungen für Stellen, die Audits und Zertifizierungen von AIMS durchführen) befindet sich in der Entwicklung.
[5] Bis April 2026 wurde im Amtsblatt der EU kein KI-spezifischer harmonisierter Standard veröffentlicht, der den Status einer Konformitätsvermutung für das EU-KI-Gesetz besitzt. Siehe ISMS.online, „Presumption of Conformity: Why ISO 42001 Isn't Your AI Act Legal Shield - Yet“, 2025.
[6] CEN-CENELEC, „Update on AI Standardization“, Oktober 2025. Öffentliche Konsultation zu prEN ISO/IEC 42001 von November 2025 bis Februar 2026; öffentliche Konsultation zu prEN 18286 ab dem 30. Oktober 2025.
Ermöglichen Sie Ihrer Organisation die Einführung, Steuerung und Überwachung von KI mit unternehmensgerechtem Vertrauen. Entwickelt für regulierte Organisationen, die im großen Maßstab operieren.