ISO 42001 vs EU AI Act
ISO 42001 vs KI-Verordnung. Das komplette Mapping.
Eine freiwillige Management-System-Norm gegen eine bindende EU-Verordnung. Keine Alternativen — sondern komplementär, und die Kombination ist der schnellste Weg zu reifer KI-Governance.
Artikelweises Mapping · Konformitätsbewertung vs Zertifizierung · Was ISO 42001 nicht abdeckt
Auf einen Blick
Die acht wesentlichen Unterschiede.
Artikelmapping
Wo sie sich treffen.
Etwa 60 % der Hochrisiko-AI-Act-Pflichten haben ein direktes ISO-42001-Pendant. Behandeln Sie das als Implementierungsfahrplan — mit ISO 42001 starten, AI-Act-spezifische Verfahren aufsetzen.
Was ISO 42001 nicht abdeckt
Sieben AI-Act-Pflichten außerhalb des ISO-42001-Scopes.
Reine AI-Act-Pflichten. Die Zertifizierung erfüllt sie nicht; separate Verfahren erforderlich.
- →Konformitätsbewertungsverfahren (AI Act Art. 43) — interne Kontrolle oder notifizierte Stelle
- →CE-Kennzeichnung für Hochrisiko-Systeme (AI Act Art. 48)
- →EU-Konformitätserklärung (AI Act Art. 47)
- →Registrierung in der EU-KI-Datenbank (AI Act Art. 49 + 71)
- →Meldung schwerwiegender Vorfälle innerhalb von 15 Tagen (AI Act Art. 73)
- →GPAI-Code-of-Practice-Pflichten (AI Act Art. 56)
- →Grundrechte-Folgenabschätzung für öffentlich-rechtliche Betreiber (Art. 27) über A.5-Scope hinaus
Wie Matproof hilft
Eine Plattform, beide Frameworks.
Das KI-Modul von Matproof betreibt das AIMS für ISO 42001 und speist die AI-Act-Pflichten aus derselben Quelle. Die 38 Annex-A-Controls mappen automatisch auf AI-Act-Artikel 9, 10, 11, 12, 13, 14, 15, 25 und 72. Wo der AI Act Lücken hinzufügt (Art. 43 Konformitätsbewertung, Art. 48 CE, Art. 73 Vorfallsmeldung), bietet Matproof dedizierte Workflows, die Evidenz aus dem AIMS automatisch ziehen.
FAQ
Häufige Fragen
Ist ISO 42001 eine harmonisierte Norm nach dem AI Act?+
Noch nicht. Artikel 40 der KI-Verordnung schafft eine Vermutung der Konformität für Hochrisiko-KI-Systeme, die harmonisierten Normen entsprechen. Die EU-Kommission hat im Mai 2023 das Normungsmandat M/593 an CEN-CENELEC erteilt; das Komitee JTC 21 entwickelt die AI-Act-spezifischen harmonisierten Normen (erwartet 2026-2027). ISO 42001 informiert diese Arbeit und ist die existierende Norm, die dem am nächsten kommt — aber bis sie (oder ein Derivat) als harmonisierte Norm im Amtsblatt veröffentlicht ist, löst die Zertifizierung die Konformitätsvermutung nicht direkt aus.
Ersetzt eine ISO-42001-Zertifizierung die AI-Act-Konformitätsbewertung?+
Nein. Für Hochrisiko-KI-Systeme verlangt der AI Act ein formales Konformitätsbewertungsverfahren: interne Kontrolle (Art. 43 + Anhang VI) für die meisten Kategorien, oder Drittbewertung durch eine notifizierte Stelle (Anhang VII) für biometrische Identifikationssysteme. ISO 42001 ist eine freiwillige Management-System-Zertifizierung — sie zeigt Governance-Reife, ist aber rechtlich getrennt von der Konformitätsbewertung. Die beiden ergänzen sich: ein starkes AIMS macht die Konformitätsbewertung deutlich schneller und risikoärmer.
Wenn wir nicht im Scope des AI Act sind, brauchen wir trotzdem ISO 42001?+
Die meisten KI-Anbieter und -Betreiber sind in irgendeiner Form im AI-Act-Scope — Anbieter/Betreiber von Hochrisiko-Systemen tragen die schwersten Pflichten, aber begrenzt-risiko-Systeme (Chatbots, Deepfakes, Emotionserkennung) haben Transparenzpflichten nach Art. 50, und alle KI-Akteure haben die KI-Kompetenzpflicht nach Art. 4. ISO 42001 ist auch jenseits des AI-Act-Scopes wertvoll: Enterprise Procurement (RFPs und DPAs fragen zunehmend danach), Vorstands-Governance, Kunden-Due-Diligence und andere Jurisdiktionen (UK, US-Bundesstaaten, Kanada, Singapur), die auf ISO 42001 als Referenzstandard konvergieren könnten.
Was verlangt der AI Act, was ISO 42001 nicht abdeckt?+
Mehrere AI-Act-spezifische Pflichten liegen außerhalb des ISO-42001-Scopes: (1) das Konformitätsbewertungsverfahren selbst (Art. 43), (2) CE-Kennzeichnung für Hochrisiko-Systeme (Art. 48), (3) EU-Konformitätserklärung (Art. 47), (4) Registrierung in der EU-KI-Datenbank (Art. 49 + 71), (5) Grundrechte-Folgenabschätzung für Betreiber bestimmter öffentlich-rechtlicher KI (Art. 27 — A.5 deckt das teilweise ab), (6) Meldung schwerwiegender Vorfälle an nationale Behörden innerhalb von 15 Tagen (Art. 73), (7) die GPAI-Code-of-Practice-Pflichten nach Art. 56. ISO 42001 baut das Management-System; der AI Act fügt diese verfahrens- und meldetechnischen Auflagen hinzu.
Welche AI-Act-Artikel deckt ISO 42001 tatsächlich ab?+
ISO 42001 unterstützt direkt Art. 9 (Risikomanagement — Kapitel 6), Art. 10 (Daten und Daten-Governance — A.7), Art. 11 + Anhang IV (technische Dokumentation — Kapitel 7.5 + A.6.2), Art. 12 (Protokollierung — A.6.2.6), Art. 13 (Transparenz und Gebrauchsanweisung — A.8), Art. 14 (menschliche Aufsicht — A.9.3), Art. 15 (Genauigkeit, Robustheit, Cybersicherheit — A.6.2.8), Art. 17 (Qualitätsmanagementsystem — gesamtes AIMS), Art. 27 (Grundrechte-Folgenabschätzung — teilweise via A.5), Art. 72 (Post-Market-Monitoring — Kapitel 9) und Art. 25 (Wertschöpfungskettenverantwortung — A.10). Das sind etwa 60 % der Hochrisiko-Pflichten nach Artikelzahl.
Was ist schneller erreicht: ISO-42001-Zertifizierung oder AI-Act-Compliance?+
ISO 42001 ist meist schneller (4-9 Monate für Organisationen mit reifer ISO 27001), aber die beiden sind keine Alternativen — sie beantworten unterschiedliche Fragen. AI-Act-Compliance ist ein Status, bestimmt durch die Klassifizierung Ihrer KI-Systeme (verboten, Hochrisiko, begrenzt-risiko, minimal-risiko) und Ihre Rolle (Anbieter, Betreiber, Einführer, Händler). ISO 42001 ist ein Management-System, das die Arbeit für die jeweilige AI-Act-Klassifizierung unterstützt. Die pragmatische Reihenfolge: KI-Systeme nach AI Act klassifizieren, dann AIMS aufbauen, dann zertifizieren, dann AI-Act-spezifische Verfahren (Konformitätsbewertung, CE, Registrierung) abschließen.
Loslegen
Zertifiziert und AI-Act-bereit in einem Programm.
30-minütige Demo. Sehen Sie, wie Matproof ISO 42001 und AI-Act-Compliance aus einer Plattform mit geteilter Evidenz betreibt.