ISO 42001. Die AI-Management-System-Norm.

ISO/IEC 42001:2023 ist die weltweit erste internationale Management-System-Norm für künstliche Intelligenz. Sie wurde im Dezember 2023 veröffentlicht und definiert Anforderungen an Aufbau, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines AI-Management-Systems (AIMS). Die Norm folgt der gleichen High-Level-Structure (HLS / Annex SL) wie ISO 27001 und ISO 9001, mit sieben Kernkapiteln (4–10) und einem Annex A mit 38 Referenz-Controls in neun Zielkategorien. Sie gilt für jede Organisation, die KI-Systeme entwickelt, anbietet oder einsetzt – branchen- und größenunabhängig.

ISO 42001 ist der existierende Standard, der den operativen Anforderungen des AI Act am nächsten kommt – aber noch keine harmonisierte Norm nach Art. 40 KI-Verordnung. Die EU-Kommission hat im Mai 2023 das Normungsmandat M/593 an CEN-CENELEC erteilt; das Komitee JTC 21 entwickelt die AI-Act-spezifischen harmonisierten Normen (erwartet 2026–2027). Bis dahin ist die ISO-42001-Zertifizierung das stärkste verfügbare Signal für KI-Governance-Reife und eine solide Basis für die AI-Act-Vorbereitung – insbesondere für Hochrisiko-KI-Anbieter, die Risikomanagement (Art. 9), Daten-Governance (Art. 10), technische Dokumentation (Art. 11) und Post-Market-Monitoring (Art. 72) nachweisbar betreiben müssen.

ISO 42001 zielt auf jede Organisation, die KI-Systeme entwickelt, anbietet oder einsetzt – KI-Anbieter, Betreiber und Integratoren (gleiche Rolleneinteilung wie die KI-Verordnung). In der Praxis am wertvollsten für: (1) KI-Anbieter, die in regulierten EU-Markt verkaufen und sie zunehmend in RFPs gefordert bekommen, (2) Hochrisiko-KI-Anbieter, die sich auf die AI-Act-Konformitätsbewertung vorbereiten, (3) Unternehmen, die generative KI einsetzen (OpenAI, Anthropic, Azure OpenAI) und nachweisbare Governance für Vorstand, Audit und Kunden-DDs brauchen, (4) öffentliche Stellen mit Grundrechte-Folgenabschätzungspflicht aus dem AI Act.

Annex A gliedert 38 Referenz-Controls in neun Zielkategorien: A.2 Richtlinien für KI, A.3 Interne Organisation, A.4 Ressourcen für KI-Systeme, A.5 Folgenabschätzung von KI-Systemen, A.6 KI-System-Lebenszyklus, A.7 Daten für KI-Systeme, A.8 Information für Interessensgruppen, A.9 Nutzung von KI-Systemen, A.10 Beziehungen zu Dritten und Kunden. Die Controls sind nicht zwingend – die Organisation wendet sie risikobasiert an und dokumentiert eine Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) – gleiches Muster wie ISO-27001-Annex-A.

ISO 27001 ist ein Informationssicherheits-Management-System (ISMS) – es schützt Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. ISO 42001 ist ein AI-Management-System (AIMS) – es regelt, wie KI-Systeme entworfen, eingesetzt und betrieben werden, mit Fokus auf Fairness, Transparenz, menschliche Aufsicht und gesellschaftliche Auswirkungen. Beide nutzen die gleiche HLS-Struktur, lassen sich als integriertes Management-System betreiben, und viele Controls überlappen (Lieferantenmanagement, Change Management, Incident Response). Der Risikolinsen-Fokus ist aber grundsätzlich anders: ISO 27001 fragt 'was kann unseren Informationen passieren', ISO 42001 fragt 'was kann unser KI-System Menschen antun'.

Für eine Organisation mit etabliertem ISO-27001-ISMS liegt der typische Zeitrahmen bei 4–9 Monaten: Gap-Analyse (4–6 Wochen), AIMS-Aufbau (3–5 Monate), Stage-1-Audit (Dokumentenprüfung), Stage-2-Audit (operative Wirksamkeit). Greenfield-Organisationen ohne bestehendes Management-System sollten 9–18 Monate einplanen. Stand 2026 ist der Markt akkreditierter Zertifizierungsstellen noch im Aufbau – wenige Stellen (BSI, DNV, TÜV Süd, DEKRA, A-LIGN, Schellman) bieten akkreditierte ISO-42001-Zertifizierung an.

Gesamtkosten für eine mittelständische Organisation (50–500 Mitarbeitende) liegen für den ersten Drei-Jahres-Zyklus üblicherweise zwischen 15.000 € und 60.000 €: Zertifizierungsstellen-Gebühren (8.000–30.000 €), Implementierungsaufwand (5.000–25.000 € intern, 20.000–80.000 € mit Beratung), plus Überwachungsaudits in Jahr 2 und 3. Größter Kostentreiber: Aufbau als Add-on zu existierender ISO 27001 (deutlich günstiger) oder parallel von Grund auf. Das ISO-42001-Modul von Matproof reduziert den Implementierungsaufwand um 60–80 % durch vorgefertigte Richtlinien, automatisierte Evidenzsammlung und Annex-A-Control-Mappings.

Nein. ISO 42001 ist eine freiwillige Management-System-Norm; die KI-Verordnung schreibt für Hochrisiko-KI ein rechtsverbindliches Konformitätsbewertungsverfahren vor (interne Kontrolle nach Art. 43, oder Dritt-Bewertung durch eine notifizierte Stelle für biometrische Systeme u.a.). Sobald jedoch harmonisierte Normen auf Basis von ISO 42001 nach Art. 40 angenommen sind, begründet die Konformität mit diesen harmonisierten Normen die Vermutung der Konformität mit den entsprechenden AI-Act-Anforderungen. Bis dahin: ISO 42001 zeigt Governance-Reife, ersetzt aber den AI Act nicht.