Was der Standard fordert
ISO/IEC 42001 definiert Anforderungen an die Organisation, Planung, Durchführung und Überwachung von KI-Aktivitäten. Dazu gehören eine KI-Richtlinie, Risikobewertungen, Verantwortlichkeiten, Schulungen, Dokumentationspflichten und regelmäßige Überprüfungen.
Die Norm folgt der High-Level-Structure (HLS), die auch ISO 9001 (Qualitätsmanagement) und ISO 27001 (Informationssicherheit) zugrunde liegt. Unternehmen, die bereits ein Managementsystem nach einer dieser Normen betreiben, können bestehende Strukturen — Risikomanagement, Dokumentenlenkung, internes Audit, Managementbewertung — weitgehend wiederverwenden. Das senkt den Einführungsaufwand erheblich.
Warum die Norm an Bedeutung gewinnt
In Ausschreibungen und Lieferkettenprüfungen wird ein nachweisbares KI-Managementsystem zunehmend zur Anforderung. Unternehmen, die heute proaktiv nach ISO/IEC 42001 arbeiten, verschaffen sich einen Vorteil gegenüber Wettbewerbern, die erst auf regulatorischen Druck reagieren.
Zertifizierung
ISO/IEC 42001 ist zertifizierbar. Erste akkreditierte Zertifizierungsstellen — darunter TÜV, DEKRA, DQS und BSI — bieten Audits nach der Norm an. Eine erfolgreiche Zertifizierung belegt die Wirksamkeit des KI-Managementsystems und ist in Ausschreibungen zunehmend ein Qualifikationskriterium. Die Zertifizierung setzt in der Regel ein Vor-Audit, ein Zertifizierungsaudit und jährliche Überwachungsaudits voraus.
Zusammenspiel mit dem EU AI Act
ISO/IEC 42001 und der EU AI Act ergänzen sich: Der EU AI Act definiert gesetzliche Pflichten, die Norm liefert ein Managementsystem zu deren systematischer Umsetzung. Ein Unternehmen, das nach ISO/IEC 42001 arbeitet, erfüllt viele Anforderungen des EU AI Act bereits strukturell.