ISO 42001 · Managementsystem für künstliche Intelligenz
Unabhaengige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und Leon) fuer ganz Spanien.
Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und León) für ganz Spanien.
ISO 42001:2023 ist die erste internationale Norm für Managementsysteme für künstliche Intelligenz (AI Management System · AIMS). Veröffentlicht im Dezember 2023. Freiwillig, durch akkreditierte Stellen zertifizierbar. Im Jahr 2026 ist das Ökosystem in Spanien noch im Aufbau: AENOR, Bureau Veritas und SGS beginnen mit dem Angebot. Implementierungskosten für ein KMU: 12.000 bis 40.000 € in 4 bis 8 Monaten. Sie deckt rund 80 % der organisatorischen Pflichten des EU AI Act ab: Governance, Risikomanagement, menschliche Aufsicht und Transparenz. Es ist der solideste Weg, Compliance mit dem AI Act gegenüber Kunden, Investoren und Behörden zu belegen.
Was umfasst ein KI-Managementsystem nach ISO 42001?
Es gliedert sich in zehn Bausteine. Erstens eine von der Geschäftsleitung genehmigte KI-Politik, die Grundsätze, Geltungsbereich und Verantwortlichkeiten festlegt. Zweitens eine Analyse des Kontexts und der interessierten Parteien (Stakeholder, die durch die KI betroffen sind: Kunden, Beschäftigte, Aufsichtsbehörden, Gesellschaft). Drittens eine Folgenabschätzung für die Grundrechte (FRIA, Fundamental Rights Impact Assessment), die der EU AI Act für Hochrisikosysteme verlangt. Viertens die Identifikation und Klassifizierung der KI-Systeme nach Risiko: minimal, begrenzt, hoch oder inakzeptabel. Fünftens die Steuerung des gesamten Lebenszyklus: Design, Datenerhebung, Training, Validierung, Bereitstellung, Monitoring und Stilllegung. Sechstens die operative menschliche Aufsicht, die sicherstellt, dass eine qualifizierte Person automatisierte Entscheidungen mit hohem Einfluss überprüfen oder rückgängig machen kann. Siebtens Transparenz und Erklärbarkeit der Modelle gegenüber Nutzern und betroffenen Personen. Achtens die Governance der Trainings- und Validierungsdaten: Qualität, Repräsentativität, Verzerrungserkennung und Herkunftsnachweis. Neuntens das Management der KI-Anbieter (vorvertragliche Bewertung, vertragliche Klauseln, kontinuierliche Überwachung). Zehntens kontinuierliche Verbesserung mit Audits, Managementbewertung und Korrekturmassnahmen.
Wie ist das Verhältnis zwischen ISO 42001 und dem EU AI Act?
Sie sind komplementär. Der EU AI Act (Verordnung EU 2024/1689) ist verpflichtend und in der gesamten Europäischen Union unmittelbar anwendbar. ISO 42001 ist freiwillig und bietet das "Wie" zur Umsetzung des Managementsystems, das der AI Act fordert. Für Hochrisikosysteme nach Anhang III des AI Act deckt ISO 42001 etwa 80 % der organisatorischen Pflichten ab: Risikomanagement, Datenqualität, menschliche Aufsicht, Transparenz, technische Dokumentation und Nachverfolgbarkeit. Eine externe ISO-42001-Auditierung ist ein belastbarer dokumentarischer Nachweis bei einer Inspektion durch die AESIA, die spanische Agentur für die Aufsicht über künstliche Intelligenz. Sie erleichtert ebenfalls Konformitätsbewertungen, die der AI Act für bestimmte Systeme von einer benannten Stelle verlangt.
Was kostet die ISO-42001-Zertifizierung im Jahr 2026?
Der Markt in Spanien steht erst am Anfang, und die Preise sind etwas höher als bei etablierten Normen. Für ein KMU mit 20 bis 50 Beschäftigten: Beratung 10.000 bis 18.000 €, externe Auditierung 3.500 bis 6.500 € und jährliche Aufrechterhaltung 3.000 bis 5.500 €. Für ein KMU mit 50 bis 200 Beschäftigten: Beratung 18.000 bis 30.000 €, Auditierung 5.500 bis 9.500 € und Aufrechterhaltung 5.500 bis 9.000 € pro Jahr. Die Implementierungsdauer liegt typischerweise bei fünf bis acht Monaten, abhängig vom Reifegrad der KI-Governance und davon, ob bereits eine ISO-27001-Zertifizierung vorliegt, die einen Grossteil der Sicherheitskontrollen bereitstellt. Da es sich um eine junge Norm handelt, hat die Position als eines der ersten zertifizierten spanischen Unternehmen einen erheblichen kommerziellen Wert: Sie öffnet anspruchsvolle Ausschreibungen und stärkt das Vertrauen institutioneller Kunden, die KI-Compliance bereits aktiv im Lieferantenmanagement bewerten.
Wann lohnt sich die Zertifizierung?
Sie ist besonders empfehlenswert für Unternehmen, die eigene KI-Lösungen entwickeln oder vermarkten, für Anbieter regulierter Sektoren (Gesundheit, Finanzen, öffentlicher Sektor), für Lieferanten von Hochrisiko-KI im Sinne des AI Act und für Beratungs- oder Softwareunternehmen, die KI in Drittprodukte integrieren. In allen diesen Fällen erleichtert die Zertifizierung den Marktzugang, mindert das Sanktionsrisiko und schützt die Reputation vor Vorfällen im Zusammenhang mit Verzerrungen, Diskriminierung oder Fehlentscheidungen.
Offizielle Quellen
- ISO · Norm 42001:2023 AI Management System
- AENOR · ISO 42001 KI
- AESIA · spanische Agentur für die Aufsicht über KI
- EUR-Lex · Verordnung EU 2024/1689 EU AI Act
Autor: Ángel Ortega Castro · unabhängiger Berater für Strategie, Qualität und Digitalisierung für KMU.