Ein Schritt-für-Schritt-Leitfaden zur Implementierung von ISO 42001 – Gap-Analyse, Kontrollen gemäß Anhang A, Zertifizierungsaudit und Ausrichtung am EU AI Act für Teams in Unternehmen.
•
•
14 Minuten Lesezeit
Themen
Bis April 2026 liest sich die Liste der nach ISO/IEC 42001 zertifizierten Organisationen wie ein Who's Who der KI in Unternehmen: IBM für seine Granite-Modelle, Anthropic für Claude, Microsoft für 365 Copilot, KPMG Australia in seiner Beratungsfunktion und der Flughafen Changi in Singapur für seine operativen KI-Systeme.[1] Der im Dezember 2023 veröffentlichte Standard hat den Weg von der Veröffentlichung bis zur Einführung in Unternehmen schneller zurückgelegt, als die meisten Beobachter erwartet hatten. Und die Dynamik nimmt weiter zu, nicht zuletzt getrieben durch die bevorstehende Frist im August 2026 für die Pflichten zu Hochrisikosystemen im EU AI Act.
Dennoch endet der Großteil der Leitlinien zur Implementierung von ISO 42001 bei „Was ist das?“ und „Warum ist das wichtig?“. Unternehmens-Teams, die mit der Umsetzung der ISO 42001-Compliance beauftragt sind, stehen vor einer praktischeren Frage: Wie? Wie sieht eine Gap-Analyse aus? Welche Dokumentation ist erforderlich? Wie lassen sich die 38 Kontrollen in Anhang A in die operative Praxis übersetzen? Und wie unterstützt die Zertifizierung die Compliance mit dem EU AI Act – ohne sie zu ersetzen?
Dieser Leitfaden beantwortet diese Fragen. Er richtet sich an Compliance-Verantwortliche, KI-Governance-Leads und Engineering-Teams, die mit der Implementierung von ISO 42001 beauftragt wurden und wissen müssen, was das konkret umfasst.
Was ISO 42001 erfordert
ISO/IEC 42001 ist der erste internationale Standard für ein Managementsystem für künstliche Intelligenz (AIMS). Er folgt derselben Harmonisierten Struktur (ehemals Annex SL), die von ISO 27001 für Informationssicherheit und ISO 9001 für Qualitätsmanagement verwendet wird. Das bedeutet, dass Organisationen, die bereits nach diesen Standards zertifiziert sind, das Grundgerüst des Managementsystems vertraut finden werden.[2]
Die zehn Klauseln des Standards legen verbindliche Anforderungen in sieben Bereichen fest:
Kontext (Klausel 4): Die Rolle der Organisation im KI-Ökosystem definieren (Anbieter, Hersteller, Kunde oder Partner), Stakeholder identifizieren und den Geltungsbereich des AIMS festlegen
Führung (Klausel 5): Eine KI-Richtlinie festlegen, Rollen und Verantwortlichkeiten zuweisen und das Engagement der obersten Leitung sichern
Planung (Klausel 6): KI-Risikoanalysen durchführen, KI-System-Auswirkungsbewertungen vornehmen und Ziele definieren
Unterstützung (Klausel 7): Ressourcen bereitstellen, Kompetenzen aufbauen und dokumentierte Informationen pflegen
Betrieb (Klausel 8): Kontrollen implementieren, Pläne zur Risikobehandlung umsetzen und operative Prozesse steuern
Leistungsbewertung (Klausel 9): Die Wirksamkeit des AIMS überwachen und messen, interne Audits durchführen und Management-Reviews abhalten
Verbesserung (Klausel 10): Nichtkonformitäten beheben, Korrekturmaßnahmen ergreifen und kontinuierliche Verbesserung vorantreiben
Was es von ISO 27001 unterscheidet
Organisationen, die mit ISO 27001 vertraut sind, werden die Struktur wiedererkennen. Die Unterschiede liegen in den KI-spezifischen Inhalten, die darauf aufbauen.
Klausel 4.1 verlangt von Organisationen, ihre Rolle im KI-Ökosystem zu definieren – ein Konzept ohne Entsprechung in ISO 27001. Ein großes Unternehmen kann gleichzeitig KI-Anbieter (KI-gestützte Produkte für Kunden anbieten), KI-Kunde (KI-Tools von Drittanbietern intern nutzen) und KI-Partner (Daten in das KI-System einer anderen Organisation einspeisen) sein. Der Geltungsbereich des AIMS muss jede Rolle widerspiegeln, die die Organisation einnimmt.
Klausel 6.1.4 führt die KI-System-Auswirkungsbewertung ein – eine formale, dokumentierte Bewertung der potenziellen Folgen des Einsatzes von KI für Einzelpersonen, Gruppen und die Gesellschaft. Dies geht über die organisatorische Risikobewertung hinaus, mit der Praktiker von ISO 27001 vertraut sein werden, und berücksichtigt externe Schäden: algorithmische Verzerrungen, die Einstellungsentscheidungen beeinflussen, automatisierte Systeme, die Finanzdienstleistungen verweigern, oder Überwachungstechnologien, die Grundfreiheiten beeinträchtigen. Inhaltlich kommt dies eher einer Datenschutz-Folgenabschätzung gemäß DSGVO nahe als einem klassischen Risikoregister, auch wenn der Standard bei der Methodik weniger präskriptiv ist.
Und Anhang A ist vollständig neu. Während Anhang A von ISO 27001 93 Informationssicherheitskontrollen enthält, umfasst Anhang A von ISO 42001 38 Kontrollen in neun Domänen, die sich gezielt auf KI-Governance konzentrieren.[3]
Die 38 Kontrollen: Was Anhang A tatsächlich verlangt
Anhang A ist das operative Rückgrat des Standards. Seine 38 Kontrollen sind in neun Domänen organisiert, von denen jede einen anderen Aspekt des verantwortungsvollen KI-Managements adressiert.
Domäne | Schwerpunkt | Wesentliche Kontrollen |
|---|---|---|
A.2 - KI-Richtlinien | Existenz und Angemessenheit von KI-Richtlinien | KI-Richtlinie im Einklang mit dem Organisationszweck; regelmäßige Überprüfung und Aktualisierung |
A.3 - Interne Organisation | Rechenschaftspflicht und Governance-Strukturen | Definierte Rollen für die KI-Governance; funktionsübergreifende Koordinationsmechanismen |
A.4 - Ressourcen für KI-Systeme | Angemessenheit von Daten, Werkzeugen, Rechenleistung und menschlicher Kompetenz | Bewertung der Datenqualität; Angemessenheit der Infrastruktur; Anforderungen an Fähigkeiten und Kompetenzen |
A.5 - Auswirkungsbewertung | Methodik zur Bewertung der Folgen von KI | Dokumentierter Prozess für die Auswirkungsbewertung; Bewertung der Auswirkungen auf Einzelpersonen und die Gesellschaft |
Kontrollen über Design, Entwicklung, Tests, Bereitstellung und Außerbetriebnahme | Entwicklungsstandards; Tests und Validierung; Änderungsmanagement; Modellstilllegung | |
A.7 - Datenmanagement | Datenqualität, Herkunft und Schutz | Dokumentation der Datenherkunft; Kontrollen der Datenqualität; Maßnahmen zum Datenschutz |
A.8 - Transparenz | Erklärbarkeit und Offenlegung gegenüber Stakeholdern | Dokumentation der Fähigkeiten und Grenzen von KI; stakeholdergerechte Erklärungen |
A.9 - Nutzung von KI-Systemen | Menschliche Aufsicht und zulässige Nutzung | Definierte Auslöser für menschliches Eingreifen; Richtlinien zur zulässigen Nutzung; Überwachung der KI im Betrieb |
Nicht alle 38 Kontrollen sind für jede Organisation verpflichtend. Der Standard verlangt eine Statement of Applicability (SoA) – ein Dokument, das jede Kontrolle aus Anhang A auflistet, angibt, ob sie im AIMS enthalten oder ausgeschlossen ist, und jede Ausnahme begründet. Die SoA gehört zu den ersten Dokumenten, die ein Auditor anfordern wird, und ihre Qualität bestimmt oft den Ton des gesamten Audits. Für Organisationen mit umfangreichen KI-Portfolios ermöglicht die SoA zudem eine gestufte Governance – also die volle Tiefe der Kontrollen aus Anhang A auf Hochrisikosysteme anzuwenden und bei weniger riskanten Bereitstellungen einen leichteren Ansatz zu wählen, sofern die risikobasierte Begründung dokumentiert ist.
Anhang B bietet Umsetzungsleitlinien für jede Kontrolle. Anhang C ordnet KI-Risikquellen zu. Anhang D verweist auf domänenspezifische Standards. Zusammen bilden die vier Anhänge eine umfassende Referenz für die Implementierung.
Implementierung von ISO 42001: Sieben Schritte zur Zertifizierung
Schritt 1: Geltungsbereich festlegen und das KI-Inventar aufbauen
Bevor irgendetwas anderes geschieht, definieren Sie, was in den AIMS-Geltungsbereich fällt. Das bedeutet, jedes KI-System zu inventarisieren, das die Organisation entwickelt, kauft, einsetzt oder zu dem sie beiträgt – einschließlich Tools von Drittanbietern, eingebetteter KI in Softwareprodukten und KI-Services, die über APIs genutzt werden.
Dieser Schritt ist durchgängig schwieriger, als er klingt. Shadow AI – Mitarbeitende, die ChatGPT, Copilot oder andere KI-Tools ohne Sichtbarkeit für die IT nutzen – wird in dieser Phase häufiger als nicht entdeckt. Das Inventar sollte mindestens erfassen: Systemname und Zweck, KI-Rolle (Anbieter, Kunde, Partner), Dateninputs und -outputs, Bereitstellungsstatus, Risikoklassifizierung und Systemverantwortliche.
Die Scope-Entscheidung bestimmt auch den Umfang der Implementierung. Einige Organisationen begrenzen den AIMS-Geltungsbereich zunächst auf eine einzelne Geschäftseinheit oder Produktlinie und erweitern ihn anschließend. Andere streben von Beginn an einen unternehmensweiten Geltungsbereich an. Die richtige Antwort hängt von der organisatorischen Komplexität ab, doch ein engerer Start mit anschließender Erweiterung ist in der Regel praktikabler als der Versuch, beim ersten Durchlauf eine vollständige Abdeckung zu erreichen.
Schritt 2: Eine Gap-Analyse durchführen
Mit definiertem Geltungsbereich führen Sie einen strukturierten Vergleich der aktuellen Praktiken mit jeder Klauselanforderung (Klauseln 4–10) und jeder anwendbaren Kontrolle aus Anhang A durch. Stellen Sie dazu ein funktionsübergreifendes Team aus Compliance, Recht, Data Science, Engineering, Produkt und Risikomanagement zusammen.
Dokumentieren Sie für jede Lücke, was fehlt, bewerten Sie die Schwere (priorisieren Sie Lücken, die Hochrisiko-KI-Systeme oder zentrale Governance-Anforderungen betreffen), und schätzen Sie den Behebungsaufwand. Organisationen, die bereits nach ISO 27001 zertifiziert sind, werden feststellen, dass viele Lücken in den Klauseln 4–10 geringfügig sind – die Infrastruktur des Managementsystems wird direkt übernommen. Die wesentlichen neuen Aufgaben konzentrieren sich auf Klausel 6.1.4 (KI-Auswirkungsbewertung), die Kontrollen aus Anhang A und die KI-spezifischen Nachweisanforderungen.
Schritt 3: Das AIMS gestalten
Bauen Sie die Komponenten des Managementsystems auf oder passen Sie sie an:
KI-Richtlinie und Teilrichtlinien: Die übergreifende KI-Richtlinie (Klausel 5.2) muss verantwortungsvolle KI-Werte adressieren – Fairness, Transparenz, Rechenschaftspflicht, Sicherheit, Datenschutz. Je nach Geltungsbereich können Teilrichtlinien für zulässige Nutzung, Daten-Governance und Drittanbieter-KI erforderlich sein
Risikobewertungsmethodik: Bestehende Risikobewertungsprozesse an KI-spezifische Risiken anpassen – algorithmische Verzerrung, Model Drift, Missbrauch, nicht erklärbare Ausgaben, Sicherheitslücken. Die Methodik muss konsistente, vergleichbare Ergebnisse liefern
Methodik zur KI-System-Auswirkungsbewertung: Vorlagen und Prozesse zur Bewertung der Folgen für Einzelpersonen, Gruppen und die Gesellschaft entwickeln. Auslöser für eine Neubewertung definieren: wesentliche Systemänderungen, neue Datenquellen, neue Anwendungsfälle, regulatorische Änderungen, negative Vorfälle
Matrix für Rollen und Verantwortlichkeiten: Definieren, wer das AIMS verantwortet, wer die einzelnen KI-Systeme verantwortet, wer Risiko- und Auswirkungsbewertungen durchführt und wer für jede Kontrolldomäne aus Anhang A verantwortlich ist
Schulungs- und Kompetenzprogramm: Kompetenzanforderungen für jede Rolle identifizieren und Schulungen entsprechend planen
Schritt 4: Kontrollen umsetzen und Nachweise sammeln
Rollen Sie die Kontrollen operativ aus. Hier verlangsamen sich die meisten Implementierungen, weil der Standard überprüfbare Nachweise verlangt – nicht nur Richtlinien auf dem Papier.
Zu den Nachweis-Artefakten gehören: Model Cards, die Systemfähigkeiten und -grenzen dokumentieren, Protokolle zu Tests und Validierungen, Aufzeichnungen von Bias-Bewertungen, Dokumentation der Datenherkunft, Vorfallreaktionsprotokolle, Änderungsmanagement-Logs und Aufzeichnungen menschlicher Eingriffe. Die Erfahrung von Enzai bei der Unterstützung von Implementierungen in Unternehmen bestätigt, was frühe Anwender durchgängig berichten: Die Erfassung und Dokumentation von Nachweisen ist die schwierigste operative Herausforderung – nicht weil die Nachweise nicht existieren, sondern weil sie über Werkzeuge, Teams und Systeme ohne zentralen Sammelmechanismus verteilt sind.
Schritt 5: Internes Audit
Führen Sie vor dem Zertifizierungsantrag mindestens ein vollständiges internes Audit gegen alle im Geltungsbereich befindlichen Klauseln und Anhang-A-Kontrollen durch. Der interne Auditor muss unabhängig von den geprüften Kontrollen sein (dies kann internes Personal aus einer anderen Funktion oder ein qualifizierter Dritter sein). Das Audit muss Feststellungen liefern, und Nichtkonformitäten müssen vor dem weiteren Vorgehen über den Korrekturmaßnahmenprozess behoben werden.
Schritt 6: Management-Review
Führen Sie ein formelles Management-Review (Klausel 9.3) durch, das Folgendes abdeckt: Leistungsdaten des AIMS, Ergebnisse interner Audits, Ergebnisse von Risiko- und Auswirkungsbewertungen, Nichtkonformitäten und Korrekturmaßnahmen, Stakeholder-Feedback sowie alle Änderungen, die das AIMS betreffen. Das Ergebnis sind dokumentierte Entscheidungen und Maßnahmen zur kontinuierlichen Verbesserung. Dieses Review muss die oberste Leitung einbeziehen – es kann nicht vollständig an das Governance-Team delegiert werden.
Schritt 7: Zertifizierungsaudit
Das externe Audit folgt einem zweistufigen Modell. Stufe 1 ist eine Dokumentenprüfung (typischerweise 1–2 Tage), bei der der Auditor bewertet, ob die AIMS-Dokumentation angemessen ist und die Organisation für eine vollständige Bewertung bereit ist. Stufe 2 ist das Implementierungsaudit (3–9+ Tage, je nach Umfang und Komplexität), bei dem der Auditor Mitarbeitende befragt, Nachweise prüft und die Kontrollen aus Anhang A im Betrieb nachvollzieht.
Zertifikate sind drei Jahre gültig, mit jährlichen Überwachungsaudits und einer vollständigen Rezertifizierung am Ende des Zyklus.
Ein wichtiger Hinweis zu Zertifizierungsstellen: Wählen Sie eine CB, die über eine von einer anerkannten Akkreditierungsstelle speziell für ISO 42001 ausgestellte Akkreditierung verfügt (ANAB, UKAS, DAkkS oder gleichwertig). ISO/IEC 42006, der Standard für Stellen, die gegen 42001 auditieren, befindet sich noch in der Finalisierung, und die Auditorenkompetenz variiert. Eine akkreditierte Zertifizierung durch eine CB mit nachweisbarer KI-Fachexpertise hat deutlich mehr Gewicht als eine nicht akkreditierte – auch wenn die Zertifikate auf den ersten Blick ähnlich aussehen mögen.[4]
ISO 42001 und der EU AI Act: Ergänzend, nicht gleichwertig
Die Beziehung zwischen ISO 42001 und dem EU AI Act wird häufig missverstanden. Das Wichtigste vorab: Eine ISO 42001-Zertifizierung stellt keine Compliance mit dem EU AI Act dar. Stand April 2026 ist der Standard nicht im Amtsblatt der EU als harmonisierter Standard aufgeführt, was bedeutet, dass der rechtliche Mechanismus der „Vermutung der Konformität“ nicht greift.[5]
Gleichwohl ist die Überschneidung erheblich. Das Gemeinsame Technische Komitee 21 von CEN-CENELEC arbeitet aktiv daran, ISO 42001 in eine Europäische Norm zu überführen (der Entwurf mit der Bezeichnung prEN ISO/IEC 42001 wurde von November 2025 bis Februar 2026 zur öffentlichen Stellungnahme veröffentlicht). Parallel dazu ging prEN 18286 – ein speziell für die regulatorischen Zwecke des EU AI Act entwickelter harmonisierter Standard – im Oktober 2025 in die öffentliche Stellungnahme.[6] Sobald diese Standards finalisiert und im Amtsblatt veröffentlicht werden, wird sich die ISO 42001-Zertifizierung von einer „hilfreichen Vorbereitung“ zu einem „direkten Compliance-Pfad“ entwickeln.
In der Zwischenzeit umfasst die praktische Überschneidung:
Risikomanagement: Artikel 9 des EU AI Act verlangt Risikomanagementsysteme für Hochrisiko-KI. Klausel 6 von ISO 42001 liefert die Methodik und den Nachweisrahmen
Menschliche Aufsicht: Artikel 14 verlangt Aufsichtsmaßnahmen. Die Domäne A.9 in Anhang A definiert Kontrollen für menschliches Eingreifen
Transparenz und Dokumentation: Die Artikel 11 und 13 verlangen technische Dokumentation und Transparenz. Die Domänen A.7 und A.8 in Anhang A adressieren Datenmanagement, Erklärbarkeit und Offenlegung gegenüber Stakeholdern
Daten-Governance: Artikel 10 verlangt Datenqualität und Governance. Die Domäne A.7 in Anhang A bietet den Kontrollrahmen
Überwachung nach der Markteinführung: Artikel 72 verlangt eine fortlaufende Überwachung. Die Klauseln 9 und 10 von ISO 42001 etablieren den Zyklus für Leistungsbewertung und Verbesserung
Die praktische Empfehlung ist eindeutig: ISO 42001 baut die Governance-Infrastruktur, die Nachweisbasis und die Managementdisziplin auf, die für die Einhaltung des EU AI Act erforderlich sind. Organisationen, die den Standard jetzt implementieren, werden deutlich besser vorbereitet sein, wenn die Hochrisikopflichten im August 2026 vollständig wirksam werden – unabhängig davon, ob die formale Harmonisierung bis dahin abgeschlossen ist.
Häufige Fallstricke bei der Implementierung von ISO 42001
Aus den Erfahrungen früher Anwender zeigen sich durchgängig mehrere Muster.
Unterschätzung des KI-Inventars. Organisationen unterschätzen ihre KI-Systeme in der Scoping-Phase regelmäßig. Die Entdeckung von Shadow-AI-Nutzung, eingebetteter KI in Drittsoftware und KI-Komponenten, die in Anbieterplattformen verborgen sind, erweitert die anfängliche Schätzung des Geltungsbereichs typischerweise um 30–50 %. Planen Sie im Projektplan ausreichend Zeit für einen gründlichen Discovery-Prozess ein.
Als Dokumentationsübung behandeln. ISO 42001 ist ein Managementsystem-Standard, kein Dokumentationsstandard. Auditoren sind darauf trainiert, über Richtlinien hinaus operative Nachweise zu betrachten. Eine Organisation mit einer hervorragend formulierten KI-Richtlinie, aber ohne Nachweise für durchgeführte Risikobewertungen, Modelltests oder tatsächliche menschliche Aufsicht wird das Stufe-2-Audit nicht bestehen.
Die KI-Auswirkungsbewertung vernachlässigen. Klausel 6.1.4 ist für die meisten Organisationen neu und erhält während der Implementierung weniger Aufmerksamkeit, als sie verdient. Die KI-System-Auswirkungsbewertung erfordert das Nachdenken über gesellschaftliche und populationsbezogene Folgen – nicht nur über organisatorische Risiken. Nur wenige Organisationen verfügen vor Beginn der ISO-42001-Arbeit über etablierte Methoden hierfür, und die Entwicklung einer solchen Methode dauert länger als erwartet.
Siloartige Implementierung. ISO 42001 greift über Legal, Produkt, Engineering, Data Science, Security und Compliance hinweg. Implementierungen, die vollständig von nur einer Funktion getragen werden – typischerweise Compliance oder IT – erzeugen häufig Governance-Frameworks, die der Rest der Organisation nicht nutzt. Funktionsübergreifende Steering-Gruppen mit Unterstützung durch das Management sind keine Option, sondern eine Voraussetzung für den Erfolg.
Zertifizierung mit Compliance verwechseln. Eine Zertifizierung bestätigt, dass ein Managementsystem zu einem bestimmten Zeitpunkt die Anforderungen des Standards erfüllt. Sie bestätigt nicht, dass jedes vom Unternehmen betriebene KI-System frei von Verzerrungen ist, vollständig transparent ist oder alle anwendbaren Vorschriften erfüllt. Das AIMS muss ein lebendes System sein, das kontinuierliche Verbesserung vorantreibt – kein einmaliges Zertifizierungsprojekt.
Zeitplan und Investition
Realistische Zeitpläne für die Implementierung von ISO 42001 variieren je nach organisatorischer Komplexität:
Organisationsprofil | Typischer Zeitplan | Wichtige Einflussfaktoren |
|---|---|---|
Kleine Organisation (1–10 KI-Systeme), ISO 27001 bereits vorhanden | 4–6 Monate | Komplexität des Geltungsbereichs, Bereitschaft der Nachweise |
Mid-Market (10–50 KI-Systeme), gewisse Reife im Managementsystem | 9–12 Monate | Funktionsübergreifende Koordination, Vollständigkeit des KI-Inventars |
Großunternehmen (50+ KI-Systeme), Geltungsbereich über mehrere Geschäftsbereiche | 12–18+ Monate | Organisatorische Komplexität, Entdeckung von Shadow AI, globale Koordination |
Organisationen, die bereits nach ISO 27001 zertifiziert sind, haben einen erheblichen Vorsprung. Die harmonisierte Struktur bedeutet, dass Risikomanagementrahmen, interne Auditprozesse, Kontrollen für dokumentierte Informationen und Zyklen der kontinuierlichen Verbesserung direkt übernommen werden können. Mehrere Zertifizierungsstellen bieten kombinierte ISO-27001- + ISO-42001-Auditprogramme an, die Nachweise gemeinsam nutzen und die Auditdauer reduzieren.
Die Investition betrifft nicht nur Zeit. Bei der Budgetplanung sind zu berücksichtigen: Auditgebühren der CB (je nach Umfang und Komplexität unterschiedlich), interne Ressourcenzuteilung über das funktionsübergreifende Team hinweg, mögliche Werkzeuge für die Nachweiserfassung und das Management des KI-Inventars sowie Schulungen für Rollen, die neu in der KI-Governance sind. Der größte Kostentreiber ist in den meisten Implementierungen der menschliche Aufwand für Nachweiserfassung und Dokumentation – insbesondere für Organisationen, die keine zentralisierten Systeme zur Nachverfolgung von KI-System-Metadaten, Testergebnissen und Risikobewertungen haben.
Die Implementierung von ISO 42001 über ein großes KI-Portfolio hinweg ist ebenso sehr ein Infrastrukturproblem wie ein Governance-Thema. Das erforderliche Nachweisvolumen – Model Cards, Testprotokolle, Bias-Bewertungen, Aufzeichnungen zur Datenherkunft, Auswirkungsbewertungen und Artefakte des Änderungsmanagements über Dutzende von KI-Systemen hinweg – übersteigt das, was Tabellenkalkulationen und gemeinsam genutzte Laufwerke dauerhaft leisten können. Bei Enzai ist unsere Plattform speziell für diese Herausforderung entwickelt: zentrales KI-Inventar, strukturierte Zuordnung der Kontrollen aus Anhang A, automatisierte Nachweiserfassung und kontinuierliche Überwachung, abgestimmt auf den Managementsystem-Zyklus von ISO 42001. Organisationen, die sich auf die Zertifizierung vorbereiten, können eine Demo buchen, um zu sehen, wie das in der Praxis funktioniert.
Enzai ist die führende KI-Governance für Unternehmen-Plattform, speziell entwickelt, um Organisationen beim Übergang von abstrakter Richtlinie zu operativer Aufsicht zu unterstützen. Unsere KI-Risikomanagement-Plattform bietet die spezialisierte Infrastruktur, die erforderlich ist, um agentische KI-Governance zu steuern, ein umfassendes KI-Inventar zu pflegen und die Compliance mit dem EU AI Act sicherzustellen. Durch die Automatisierung komplexer Workflows ermöglicht Enzai Unternehmen, die Einführung von KI mit Zuversicht zu skalieren und gleichzeitig die Ausrichtung an globalen Standards wie ISO 42001 und NIST aufrechtzuerhalten.
Referenzen
[1] IBM, „IBM Becomes First Major Open-Source AI Model Developer to Earn ISO 42001 Certification“, September 2024; Anthropic, „Anthropic Achieves ISO 42001 Certification“, Januar 2025; Microsoft Learn, „ISO/IEC 42001:2023 Compliance“; KPMG Australia, zertifiziert durch BSI; Changi Airport Group, zertifiziert durch SGS, Februar 2025.
[2] ISO/IEC 42001:2023, Informationstechnik - Künstliche Intelligenz - Managementsystem. Internationale Organisation für Normung, Dezember 2023.
[3] ISO/IEC 42001:2023, Anhang A (Referenz-Kontrollziele und Kontrollen). Hinweise zur Implementierung finden Sie in Anhang B.
[4] ANAB führt ein Register von Zertifizierungsstellen, die für ISO 42001 akkreditiert sind, unter anab.ansi.org. ISO/IEC 42006 (Anforderungen an Stellen, die Audits und Zertifizierung von AIMS anbieten) befindet sich in Entwicklung.
[5] Stand April 2026 wurde im Amtsblatt der EU kein KI-spezifischer harmonisierter Standard mit dem Status der Konformitätsvermutung für den EU AI Act veröffentlicht. Siehe ISMS.online, „Presumption of Conformity: Why ISO 42001 Isn't Your AI Act Legal Shield - Yet“, 2025.
[6] CEN-CENELEC, „Update on AI Standardization“, Oktober 2025. Öffentliche Stellungnahme zu prEN ISO/IEC 42001 von November 2025 bis Februar 2026; öffentliche Stellungnahme zu prEN 18286 ab 30. Oktober 2025.
Ermöglichen Sie Ihrer Organisation die Einführung, Steuerung und Überwachung von KI mit unternehmensgerechtem Vertrauen. Entwickelt für regulierte Organisationen, die im großen Maßstab operieren.