Zurück zum Glossar
I
Definition

ISO 42001 IT-Definition

Internationale Norm, die die Anforderungen an ein Managementsystem für künstliche Intelligenz (AIMS) definiert, veröffentlicht im Dezember 2023.

Die Norm ISO/IEC 42001:2023, veröffentlicht im Dezember 2023, definiert die Anforderungen an ein Managementsystem für künstliche Intelligenz (AI Management System, AIMS). Es ist die weltweit erste zertifizierbare Norm, die der KI-Governance gewidmet ist — das KI-Äquivalent zu ISO 27001 für Informationssicherheit oder ISO 9001 für Qualität.

Der Einsatz ist doppelt: den aufkommenden regulatorischen Anforderungen entsprechen (insbesondere dem EU AI Act, in Kraft seit 2024) und den Organisationen einen prüfbaren Rahmen für die Governance ihrer KI-Systeme geben.

Für wen?

ISO 42001 richtet sich an jede Organisation, die KI-Systeme entwickelt, einsetzt oder nutzt:

  • SaaS-Herausgeber, die KI in ihre Produkte integrieren.
  • Großunternehmen, die generative KI und KI-Agenten intern industrialisieren.
  • Vom AI Act betroffene Organisationen (Bank, Gesundheit, HR, Bildung, Justiz).
  • IT-Dienstleister und Berater auf KI-Projekten.

Struktur der Norm

ISO 42001 übernimmt die hohe Struktur, die den ISO-Managementnormen gemeinsam ist:

  • Kontext der Organisation: .
  • Führung: KI-Politik, Rollen und Verantwortlichkeiten.
  • Planung: KI-Ziele, Risiko- und Chancenbewertung.
  • Unterstützung: Ressourcen, Kompetenzen, Kommunikation, Dokumentation.
  • Betriebliche Umsetzung: Entwurf, Entwicklung, Bereitstellung, Rückzug der KI-Systeme.
  • Bewertung der Leistung: .
  • Verbesserung: .

Anhang A beschreibt 38 Kontrollen, organisiert in 9 Domänen.

ISO 42001 vs. AI Act

Die beiden Texte sind komplementär:

  • Der AI Act ist eine verbindliche EU-Verordnung, die KI-Systeme nach Risikostufen klassifiziert.
  • ISO 42001: ist eine freiwillige Norm, die das Managementsystem bereitstellt.

Eine ISO 42001 zertifizierte Organisation verfügt über einen strukturierten Konformitätsnachweis, der gegenüber den europäischen Kontrollbehörden mobilisierbar ist.

Vorteile einer ISO 42001-Initiative

  • Regulatorische Konformität: strukturierte Nachweise für AI Act, DSGVO, NIS2, DORA.
  • Kundenvertrauen: .
  • Risikobeherrschung: systematische Identifikation der KI-Risiken (Bias, Halluzinationen, Sicherheit, Menschenrechte).
  • Interne Governance: .
  • Kampf gegen [Schatten-KI](/de/glossary/shadow-ai): .
  • Kompatibilität mit anderen Normen: ausgerichtet auf ISO 27001, ISO 9001, ISO 27701.

ISO 42001 implementieren

In 6 bis 12 Monaten für eine mittelgroße Organisation:

  1. Initiale Diagnose: bestehende KI-Systeme kartografieren (auch Schatten-KI).
  2. KI-Politik.
  3. Risikobewertung.
  4. Design der Kontrollen.
  5. Dokumentation und Schulung.
  6. Interne Audits.
  7. Zertifizierung: Audit durch eine akkreditierte Stelle (Bureau Veritas, AFNOR, BSI, LRQA).

KI-Inventar: unverzichtbare Voraussetzung

Keine ISO 42001-Initiative ist ohne ein aktuelles Inventar der in der Organisation genutzten KI-Systeme möglich — einschließlich nicht deklarierter Nutzungen. Kabeen enthüllt automatisch die GenAI-, LLM- und KI-Agenten-Nutzungen im SI.

Häufig gestellte Fragen

Was ist ISO 42001?

+

ISO/IEC 42001:2023 ist die erste international zertifizierbare Norm, die der Governance der künstlichen Intelligenz gewidmet ist. Im Dezember 2023 veröffentlicht, definiert sie die Anforderungen an ein KI-Managementsystem (AIMS), das Strategie, Risiko, Konformität, Transparenz, Bereitstellung und kontinuierliche Verbesserung abdeckt. Sie ist das KI-Äquivalent zu ISO 27001 für Sicherheit oder ISO 9001 für Qualität.

Unterschied zwischen ISO 42001 und EU AI Act?

+

Der AI Act ist eine verbindliche EU-Verordnung, die KI-Systeme nach Risikostufen (verboten, hohes Risiko, begrenzt, minimal) klassifiziert und spezifische Pflichten auferlegt. ISO 42001 ist eine freiwillige Norm, die das Managementsystem bereitstellt, um diese Pflichten zu erfüllen. Die beiden sind komplementär: die ISO 42001-Zertifizierung ist ein strukturierter Konformitätsnachweis, der gegenüber den europäischen Behörden mobilisierbar ist.

Wer ist von ISO 42001 betroffen?

+

Jede Organisation, die KI-Systeme entwickelt, einsetzt oder nutzt: SaaS-Herausgeber, die KI in ihre Produkte integrieren, Großunternehmen, die GenAI und KI-Agenten intern industrialisieren, vom AI Act betroffene Organisationen (Bank, Gesundheit, HR, Bildung, Justiz), IT-Dienstleister und Berater. Breiter gefasst, jede Organisation, die ihren Kunden oder Regulatoren eine reife KI-Governance nachweisen möchte.

Wie bereitet man sich auf eine ISO 42001-Zertifizierung vor?

+

In sechs Schritten über 6 bis 12 Monate: (1) initiale Diagnose mit Kartografie der KI-Systeme, einschließlich Schatten-KI, (2) KI-Politik und Engagement der Geschäftsleitung, (3) Risikobewertung pro System, (4) Bereitstellung der 38 Kontrollen aus Anhang A, (5) Dokumentation und Schulung, (6) interne Audits, dann Zertifizierung durch eine akkreditierte Stelle. Ein aktuelles KI-Inventar ist die nicht verhandelbare Voraussetzung.

Alle Begriffe

ABCDEFGHIJKLMNOPQRSTUVWXYZ
5

5R-Methode

Eine Strategie bei der Anwendungsrationalisierung zur Bestimmung des besten Ansatzes für das Anwendungsmanagement.

8

8R-Methode

Eine erweiterte Version der 5R-Methode für Application Portfolio Management und Migrationsstrategien.

A

Anwendung

Ein Computerprogramm oder eine Reihe von Programmen zur Rationalisierung von Geschäftsabläufen.

A

Architektur

Bezieht sich auf die Struktur und das Verhalten von IT-Systemen, Prozessen und Infrastruktur innerhalb einer Organisation.

Zurück zum Glossar

Brauchen Sie Hilfe bei der Kartierung Ihrer IT-Landschaft?

Kabeen hilft Ihnen, Ihr Anwendungsportfolio zu inventarisieren, zu analysieren und zu optimieren.

Kostenlos testen