30 Tage Risikoerkennung für generative KI:Jetzt starten
Demo buchen
ActiveInternationalStandardIn Kraft: 2023-12-18

ISO/IEC 42001, Norm für KI-Managementsysteme

Die erste internationale Managementsystemnorm für KI, die einen Rahmen für die Einrichtung, Umsetzung und Verbesserung der KI-Governance bietet.

Überblick

ISO/IEC 42001:2023 ist die weltweit erste internationale Norm, die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Managementsystems für künstliche Intelligenz (AIMS) in Organisationen festlegt. Sie wurde am 18. Dezember 2023 von der Internationalen Organisation für Normung und der Internationalen Elektrotechnischen Kommission veröffentlicht und bietet einen strukturierten Rahmen für das Management KI-bezogener Risiken und Chancen.

Die Norm folgt der harmonisierten Struktur (HS), die allen ISO-Managementsystemnormen (wie ISO 27001, ISO 9001) gemeinsam ist, wodurch sie Organisationen, die bereits nach anderen ISO-Normen zertifiziert sind, vertraut ist und eine unkomplizierte Integration in bestehende Managementsysteme ermöglicht.

ISO 42001 ist so konzipiert, dass sie auf jede Organisation anwendbar ist, die KI-basierte Produkte oder Dienstleistungen bereitstellt oder nutzt, unabhängig von Größe, Art oder Branche. Sie befasst sich mit den besonderen Herausforderungen von KI-Systemen, einschließlich ethischer Erwägungen, Transparenz, Rechenschaftspflicht und der dynamischen Natur der KI-Technologie.

Die Norm verlangt von Organisationen, den KI-spezifischen Kontext ihrer Tätigkeiten zu berücksichtigen, einschließlich der gesellschaftlichen Auswirkungen von KI-Systemen, regulatorischer Anforderungen und der Erwartungen der Interessengruppen. Sie schreibt einen systematischen Ansatz für das KI-Risikomanagement vor, der über herkömmliche IT-Risikorahmenwerke hinausgeht und Fairness, Transparenz, Erklärbarkeit und menschliche Aufsicht umfasst.

Zu den wichtigsten strukturellen Elementen gehören das Bekenntnis der Leitung zu verantwortungsvoller KI, eine KI-Politik, Prozesse zur Bewertung und Behandlung von KI-Risiken, Ziele und Planung für das KI-Management, Unterstützungsanforderungen (Ressourcen, Kompetenz, Bewusstsein, Kommunikation), operative Planung und Steuerung, Leistungsbewertung und kontinuierliche Verbesserung.

ISO 42001 ist als Compliance-Instrument besonders wertvoll, da sie einen zertifizierbaren Rahmen bietet, mit dem die gebotene Sorgfalt über mehrere Regulierungsregime hinweg nachgewiesen werden kann. Organisationen, die beispielsweise den EU AI Act einhalten möchten, können die ISO-42001-Zertifizierung als Nachweis eines robusten KI-Governance-Rahmens verwenden, auch wenn die Zertifizierung allein keine Einhaltung der Vorschriften garantiert.

Die Norm befasst sich auch mit dem Lebenszyklus von KI-Systemen, von der Konzeption und Gestaltung über Entwicklung, Erprobung, Bereitstellung und Betrieb bis hin zur Außerbetriebnahme. Dieser lebenszyklusorientierte Ansatz stellt sicher, dass die KI-Governance kein nachträglicher Gedanke ist, sondern in jede Phase der Entwicklung und Nutzung von KI-Systemen eingebettet wird.

Die Anhänge der Norm enthalten detaillierte Leitlinien zu KI-spezifischen Maßnahmen, einschließlich Maßnahmen für das Datenmanagement, die Folgenabschätzung von KI-Systemen, Entwicklungsprozesse von KI-Systemen, Beziehungen zu Dritten und Kunden sowie die Überwachung des Systembetriebs. Diese Maßnahmen können auf der Grundlage der spezifischen KI-Risikobewertung der Organisation ausgewählt und angepasst werden.

Zentrale Anforderungen

1

Ein KI-Managementsystem mit definiertem Anwendungsbereich und definierten Grenzen einrichten

2

Eine von der obersten Leitung genehmigte KI-Politik entwickeln

3

KI-Risikobewertungen durchführen, die Sicherheit, Fairness, Transparenz und Rechenschaftspflicht abdecken

4

Pläne zur Behandlung von KI-Risiken mit geeigneten Maßnahmen aus Anhang A umsetzen

5

Rollen, Verantwortlichkeiten und Befugnisse für die KI-Governance festlegen

6

Die Kompetenz und das Bewusstsein des an KI-Systemen beteiligten Personals sicherstellen

7

Dokumentierte Informationen für das AIMS pflegen

8

Die Prozesse des KI-System-Lebenszyklus planen und steuern

9

Folgenabschätzungen von KI-Systemen durchführen

10

Die Leistung des AIMS überwachen, messen, analysieren und bewerten

11

Interne Audits des AIMS durchführen

12

Managementbewertungen durchführen

13

Nichtkonformitäten beheben und die kontinuierliche Verbesserung vorantreiben

14

Dritte KI-Anbieter und Risiken in der KI-Lieferkette steuern

Wichtige Termine & Zeitplan

18 December 2023
ISO/IEC 42001:2023 veröffentlicht
Q1 2024
Akkreditierte Zertifizierungsstellen beginnen, Audits anzubieten
2024–2025
Vorreiter-Organisationen erlangen die Zertifizierung
2025–2026
Erwartete breite Akzeptanz, getrieben durch die Compliance-Anforderungen des EU AI Act

Wen es betrifft

  • Jede Organisation, die KI-Systeme oder -Produkte entwickelt
  • Organisationen, die KI-basierte Dienstleistungen bereitstellen oder nutzen
  • KI-Dienstleister und Betreiber von Cloud-KI-Plattformen
  • Organisationen, die eine verantwortungsvolle KI-Governance nachweisen möchten
  • Unternehmen, die die Einhaltung von KI-Vorschriften nachweisen müssen (z. B. EU AI Act)
  • Organisationen des öffentlichen Sektors, die KI in der Leistungserbringung einsetzen

Häufige Fragen

Ist die ISO-42001-Zertifizierung verpflichtend?

Nein, die ISO-42001-Zertifizierung ist freiwillig. Sie bietet jedoch einen strukturierten Rahmen für die KI-Governance, der dabei helfen kann, die Einhaltung neu entstehender KI-Vorschriften wie des EU AI Act nachzuweisen. Einige Beschaffungsverfahren und Branchen könnten die ISO-42001-Zertifizierung zunehmend verlangen oder bevorzugen.

In welchem Verhältnis steht ISO 42001 zum EU AI Act?

ISO 42001 bietet einen Managementsystemrahmen, der die Einhaltung des EU AI Act unterstützen kann. Während der EU AI Act rechtliche Anforderungen festlegt, bietet ISO 42001 einen systematischen Ansatz zur Erfüllung vieler dieser Anforderungen. Die Europäische Kommission kann bestimmte Normen als Grundlage für eine Konformitätsvermutung anerkennen.

Kann ISO 42001 in andere Managementsysteme integriert werden?

Ja. ISO 42001 folgt der harmonisierten ISO-Struktur, wodurch sie sich direkt mit ISO 27001 (Informationssicherheit), ISO 9001 (Qualität), ISO 14001 (Umwelt) und anderen Managementsystemnormen integrieren lässt.

Regulation Updates

Stay Ahead of AI Regulations

Get notified when new AI regulations are introduced or updated. Join 500+ compliance professionals.