Die erste internationale Managementsystemnorm für KI, die einen Rahmen für die Einrichtung, Umsetzung und Verbesserung der KI-Governance bietet.
ISO/IEC 42001:2023 ist die weltweit erste internationale Norm, die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Managementsystems für künstliche Intelligenz (AIMS) in Organisationen festlegt. Sie wurde am 18. Dezember 2023 von der Internationalen Organisation für Normung und der Internationalen Elektrotechnischen Kommission veröffentlicht und bietet einen strukturierten Rahmen für das Management KI-bezogener Risiken und Chancen.
Die Norm folgt der harmonisierten Struktur (HS), die allen ISO-Managementsystemnormen (wie ISO 27001, ISO 9001) gemeinsam ist, wodurch sie Organisationen, die bereits nach anderen ISO-Normen zertifiziert sind, vertraut ist und eine unkomplizierte Integration in bestehende Managementsysteme ermöglicht.
ISO 42001 ist so konzipiert, dass sie auf jede Organisation anwendbar ist, die KI-basierte Produkte oder Dienstleistungen bereitstellt oder nutzt, unabhängig von Größe, Art oder Branche. Sie befasst sich mit den besonderen Herausforderungen von KI-Systemen, einschließlich ethischer Erwägungen, Transparenz, Rechenschaftspflicht und der dynamischen Natur der KI-Technologie.
Die Norm verlangt von Organisationen, den KI-spezifischen Kontext ihrer Tätigkeiten zu berücksichtigen, einschließlich der gesellschaftlichen Auswirkungen von KI-Systemen, regulatorischer Anforderungen und der Erwartungen der Interessengruppen. Sie schreibt einen systematischen Ansatz für das KI-Risikomanagement vor, der über herkömmliche IT-Risikorahmenwerke hinausgeht und Fairness, Transparenz, Erklärbarkeit und menschliche Aufsicht umfasst.
Zu den wichtigsten strukturellen Elementen gehören das Bekenntnis der Leitung zu verantwortungsvoller KI, eine KI-Politik, Prozesse zur Bewertung und Behandlung von KI-Risiken, Ziele und Planung für das KI-Management, Unterstützungsanforderungen (Ressourcen, Kompetenz, Bewusstsein, Kommunikation), operative Planung und Steuerung, Leistungsbewertung und kontinuierliche Verbesserung.
ISO 42001 ist als Compliance-Instrument besonders wertvoll, da sie einen zertifizierbaren Rahmen bietet, mit dem die gebotene Sorgfalt über mehrere Regulierungsregime hinweg nachgewiesen werden kann. Organisationen, die beispielsweise den EU AI Act einhalten möchten, können die ISO-42001-Zertifizierung als Nachweis eines robusten KI-Governance-Rahmens verwenden, auch wenn die Zertifizierung allein keine Einhaltung der Vorschriften garantiert.
Die Norm befasst sich auch mit dem Lebenszyklus von KI-Systemen, von der Konzeption und Gestaltung über Entwicklung, Erprobung, Bereitstellung und Betrieb bis hin zur Außerbetriebnahme. Dieser lebenszyklusorientierte Ansatz stellt sicher, dass die KI-Governance kein nachträglicher Gedanke ist, sondern in jede Phase der Entwicklung und Nutzung von KI-Systemen eingebettet wird.
Die Anhänge der Norm enthalten detaillierte Leitlinien zu KI-spezifischen Maßnahmen, einschließlich Maßnahmen für das Datenmanagement, die Folgenabschätzung von KI-Systemen, Entwicklungsprozesse von KI-Systemen, Beziehungen zu Dritten und Kunden sowie die Überwachung des Systembetriebs. Diese Maßnahmen können auf der Grundlage der spezifischen KI-Risikobewertung der Organisation ausgewählt und angepasst werden.
Ein KI-Managementsystem mit definiertem Anwendungsbereich und definierten Grenzen einrichten
Eine von der obersten Leitung genehmigte KI-Politik entwickeln
KI-Risikobewertungen durchführen, die Sicherheit, Fairness, Transparenz und Rechenschaftspflicht abdecken
Pläne zur Behandlung von KI-Risiken mit geeigneten Maßnahmen aus Anhang A umsetzen
Rollen, Verantwortlichkeiten und Befugnisse für die KI-Governance festlegen
Die Kompetenz und das Bewusstsein des an KI-Systemen beteiligten Personals sicherstellen
Dokumentierte Informationen für das AIMS pflegen
Die Prozesse des KI-System-Lebenszyklus planen und steuern
Folgenabschätzungen von KI-Systemen durchführen
Die Leistung des AIMS überwachen, messen, analysieren und bewerten
Interne Audits des AIMS durchführen
Managementbewertungen durchführen
Nichtkonformitäten beheben und die kontinuierliche Verbesserung vorantreiben
Dritte KI-Anbieter und Risiken in der KI-Lieferkette steuern
Nein, die ISO-42001-Zertifizierung ist freiwillig. Sie bietet jedoch einen strukturierten Rahmen für die KI-Governance, der dabei helfen kann, die Einhaltung neu entstehender KI-Vorschriften wie des EU AI Act nachzuweisen. Einige Beschaffungsverfahren und Branchen könnten die ISO-42001-Zertifizierung zunehmend verlangen oder bevorzugen.
ISO 42001 bietet einen Managementsystemrahmen, der die Einhaltung des EU AI Act unterstützen kann. Während der EU AI Act rechtliche Anforderungen festlegt, bietet ISO 42001 einen systematischen Ansatz zur Erfüllung vieler dieser Anforderungen. Die Europäische Kommission kann bestimmte Normen als Grundlage für eine Konformitätsvermutung anerkennen.
Ja. ISO 42001 folgt der harmonisierten ISO-Struktur, wodurch sie sich direkt mit ISO 27001 (Informationssicherheit), ISO 9001 (Qualität), ISO 14001 (Umwelt) und anderen Managementsystemnormen integrieren lässt.
Get notified when new AI regulations are introduced or updated. Join 500+ compliance professionals.