Ersetzt eine ISO-42001-Zertifizierung die AI-Act-Compliance?

Nein. Sie ist ein starker Indikator, deckt den AI Act aber nicht vollständig ab – insbesondere bei Hochrisiko-Systemen sind zusätzliche gesetzliche Verfahren erforderlich.

Welche Frist ist entscheidend?

Die Hauptpflichten des EU AI Act, einschließlich der Anforderungen an Hochrisiko-KI, greifen ab dem 2. August 2026. Für bestimmte Annex-I-Hochrisiko-Systeme gilt eine verlängerte Frist bis August 2027.

Hilft eine bestehende ISO-27001-Zertifizierung?

Ja. ISO 42001 nutzt dieselbe Struktur. Vorhandene Prozesse, Dokumentation und Nachweise lassen sich in Sightadel weitgehend wiederverwenden.

Wie lange dauert der Aufbau?

Je nach Größe und KI-Komplexität typischerweise mehrere Monate. Mit einem strukturierten Vorgehen und priorisierten kritischen Systemen lässt sich der Aufwand steuern.

ISO 27001 ISO 9001 ISO 42001 NIS2 DSGVO BSI C5:2026 NIST CSF 2.0 SOC 2

ISO 42001 · KI-Management

ISO 42001: Das Managementsystem für verantwortungsvolle KI

ISO/IEC 42001 ist der erste internationale Standard für KI-Managementsysteme (AI Management System, AIMS), veröffentlicht im Dezember 2023. Er gibt Organisationen einen prüfbaren Rahmen vor, um KI verantwortungsvoll zu entwickeln, zu betreiben und zu steuern. Die Relevanz steigt mit dem EU AI Act, dessen Hauptpflichten – darunter die Anforderungen an Hochrisiko-KI – ab dem 2. August 2026 greifen. Diese Seite erklärt, was ISO 42001 ist, für wen sie sinnvoll ist (und für wen nicht), wie sie sich zum EU AI Act verhält und wie Sie ein AIMS mit Sightadel aufbauen.

Was ist ISO 42001?

ISO/IEC 42001 beschreibt Anforderungen an ein Artificial Intelligence Management System (AIMS) – also an die Prozesse, Rollen, Kontrollen und Nachweise, mit denen eine Organisation den Einsatz von KI nachvollziehbar steuert. Die Norm gibt keinen technischen Bauplan für ein KI-Modell vor. Sie schafft die organisatorische Ebene: Wie werden KI-Systeme erfasst, Risiken bewertet, Zuständigkeiten festgelegt und Nachweise geführt?

ISO 42001 nutzt dieselbe High-Level-Struktur wie ISO 27001 und lässt sich daher gut in ein bestehendes Managementsystem integrieren. Im Zentrum stehen ein KI-Risikomanagement, eine KI-System-Inventur und ein Satz von Kontrollen (Annex A) zu Themen wie Transparenz, Datenqualität, Bias-Minderung, Sicherheit und kontinuierlicher Verbesserung.

Eine Zertifizierung erfolgt durch unabhängige, akkreditierte Stellen.

Für wen ist ISO 42001 relevant – und für wen nicht?

ISO 42001 ist relevant für Sie, wenn …

… Ihre Organisation KI-Systeme entwickelt, betreibt oder KI-basierte Dienstleistungen anbietet. Besonders sinnvoll ist sie, wenn:

Sie mehrere KI-Anwendungsfälle haben oder externe KI-Plattformen einsetzen,
Sie unter den EU AI Act fallen und Ihre Pflichten sauber und auditfähig nachweisen wollen,
Sie mit sensiblen Daten arbeiten oder in einem regulierten Umfeld tätig sind,
Sie KI-Governance brauchen, aber bisher keine klare interne Zuständigkeit dafür haben.

Auch ohne gesetzliche Zertifizierungspflicht ist ISO 42001 der strukturierte Weg, AI-Act-Pflichten ohne internes Chaos umzusetzen.

ISO 42001 ist für Sie wahrscheinlich noch nicht vordringlich, wenn …

… Ihre Organisation KI nicht produktiv und nicht in nennenswertem Umfang einsetzt. Dann steht zunächst eine Bestandsaufnahme an: Welche KI-Systeme nutzen Sie bereits – auch eingebettet in Standardsoftware – und unter welche Risikoklasse fallen sie?

Der Vorbehalt: Sobald Kunden, Ausschreibungen oder Partner einen Nachweis verantwortungsvoller KI verlangen, wird ISO 42001 schnell vom „Nice-to-have“ zur Marktanforderung.

ISO 42001 und der EU AI Act: Wie sie zusammenpassen

Der EU AI Act (Verordnung (EU) 2024/1689) ist rechtsverbindlich. ISO 42001 ist ein freiwilliger Standard – aber der praktikabelste Weg, die organisatorischen Voraussetzungen für die AI-Act-Compliance zu schaffen. Beide überschneiden sich in Risikomanagement, Data Governance, Transparenz und Dokumentation deutlich.

Wichtig ist die Abgrenzung: Eine ISO-42001-Zertifizierung bedeutet nicht automatisch volle AI-Act-Konformität. Der AI Act geht in Teilen darüber hinaus – etwa mit Konformitätsbewertungsverfahren und CE-Kennzeichnung für Hochrisiko-Systeme, EU-Datenbank-Registrierung, spezifischen Aufbewahrungs- und Transparenzpflichten sowie der Meldung schwerwiegender Vorfälle an die zuständigen Behörden. ISO 42001 liefert das Fundament; die AI-Act-spezifischen Lücken müssen gezielt ergänzt werden.

Die typische Herausforderung beim AIMS-Aufbau

Keine Übersicht über die eigene KI. KI steckt heute in Chatbots, Standardsoftware, Predictive-Maintenance- und Entscheidungsunterstützungssystemen. Ohne KI-Inventur lässt sich kein Risiko bewerten.
Zwei Regelwerke, doppelte Arbeit. AI Act und ISO 42001 werden getrennt bearbeitet, obwohl sie sich stark überlappen – das erzeugt Redundanz und Lücken zugleich.
Zeitdruck zum Stichtag. Wer erst kurz vor August 2026 startet, zieht AI Literacy, Dokumentation, Rollen und Nachweise unter Druck nach.

Wie Sightadel den AIMS-Aufbau vereinfacht

Sightadel ist das Compliance-Portal der Pervigon Security Suite. Es bildet ISO 42001 als strukturierten Anforderungs- und Kontrollkatalog ab und verbindet ihn mit den relevanten Anforderungen des EU AI Act.

Schneller startklar. Geführte KI-Inventur und Risikoklassifizierung nach AI Act, dann eine Gap-Analyse gegen die ISO-42001-Kontrollen. Sie starten mit einem vorstrukturierten AIMS, nicht mit einer leeren Vorlage.

AI Act und ISO 42001 in einem Modell. Sightadel verknüpft ISO-42001-Kontrollen mit den korrespondierenden AI-Act-Artikeln. Sie erkennen sofort, welche AI-Act-Pflichten durch Ihr AIMS bereits abgedeckt sind – und welche darüber hinaus separat zu erfüllen sind (z. B. Konformitätsbewertung bei Hochrisiko).

Dauerhaft aktuell. Wenn sich Anforderungen ändern – etwa durch neue Veröffentlichungen der Kommission oder der Bundesnetzagentur –, aktualisiert Sightadel den hinterlegten Katalog zentral.

Keine externen Berater als Dauerlösung. Die Zuordnungslogik ist im Portal hinterlegt und wird durch den KI-Kern neoAI unterstützt. Ihr Team baut das AIMS eigenständig auf und pflegt es.

Prüfungssicher. Jede Kontrolle ist mit Verantwortlichem, Status und Nachweis verknüpft – die Grundlage für ein Zertifizierungsaudit und für AI-Act-Nachweise gegenüber Behörden.

ISO 42001 mit Sightadel in der Praxis

1
Inventarisieren.Alle KI-Systeme erfassen und je System eine Risikoklasse nach AI Act zuordnen.
2
Bewerten.Gap-Analyse gegen die ISO-42001-Kontrollen, priorisierter Maßnahmenplan.
3
Umsetzen.Kontrollen einrichten, Rollen festlegen, AI Literacy nachweisen, Nachweise hinterlegen.
4
Aufrechterhalten.Laufende Überwachung, Vorfallmeldewege, kontinuierliche Verbesserung – als Vorbereitung auf Zertifizierung und behördliche Prüfung.

Häufige Fragen zu ISO 42001

Nein, die Norm ist freiwillig. Verpflichtend ist der EU AI Act. ISO 42001 ist der strukturierte Weg, dessen Anforderungen organisatorisch umzusetzen.

KI-Governance als Zustand, nicht als Stichtagsprojekt

KI entwickelt sich weiter, und mit ihr die regulatorischen Anforderungen. Sightadel hält Ihr AIMS und die Verknüpfung zum AI Act fortlaufend aktuell – damit KI-Governance ein gepflegter Zustand bleibt und nicht kurz vor jeder Frist neu entsteht.

Sehen Sie Ihren ISO-42001-Stand in Sightadel.

Demo vereinbaren