ISO/IEC 42001:2023 ist der weltweit erste internationale Managementsystem-Standard für künstliche Intelligenz, der im Dezember 2023 von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) veröffentlicht wurde. Er bietet Organisationen einen strukturierten Rahmen, um ein KI-Managementsystem (AIMS) einzurichten, umzusetzen, aufrechtzuerhalten und kontinuierlich zu verbessern.
Der Standard folgt der gemeinsamen ISO-Managementsystemstruktur (Annex SL/Annex L) und umfasst: den organisatorischen Kontext und die Anforderungen der Interessengruppen, das Engagement der Leitung und die KI-Richtlinie, die Planung von KI-Risiken und -Chancen, das Ressourcenmanagement einschließlich KI-Kompetenz, die betriebliche Planung und Steuerung von KI-Systemen, die Leistungsbewertung und Überwachung sowie die kontinuierliche Verbesserung des KI-Managements.
Zu den wichtigsten behandelten Bereichen gehören das KI-Risikomanagement (Identifizierung, Bewertung und Behandlung von Risiken, die spezifisch für KI-Systeme sind), Governance und Rechenschaftspflicht (klare Zuweisung der Verantwortung für KI-bezogene Entscheidungen), Transparenz (Dokumentation des Zwecks des KI-Systems, der Datennutzung und der Entscheidungslogik) sowie Praktiken für verantwortungsvolle KI über den gesamten Systemlebenszyklus hinweg.
Zertifizierungsprozess: Organisationen, die eine ISO 42001-Zertifizierung anstreben, folgen einem strukturierten Weg: Festlegung des Geltungsbereichs des KI-Managementsystems (welche KI-Systeme oder Geschäftsbereiche abgedeckt sind), Durchführung einer Gap-Analyse anhand der Anforderungen des Standards, Umsetzung der erforderlichen Maßnahmen und Dokumentation, Durchführung eines internen Audits und anschließend Beauftragung einer akkreditierten unabhängigen Zertifizierungsstelle mit einem zweistufigen externen Audit. Die Zertifizierung ist in der Regel drei Jahre gültig, mit jährlichen Überwachungsaudits.
Wer ihn benötigt: ISO 42001 ist für jede Organisation relevant, die KI-Systeme entwickelt, bereitstellt oder betreibt, einschließlich Technologieanbietern, Finanzinstituten, Gesundheitsdienstleistern, Behörden und Professional-Services-Unternehmen. Besonders wertvoll ist er für Organisationen in regulierten Branchen, in denen es unerlässlich ist, gegenüber Kunden, Aufsichtsbehörden und Prüfern eine verantwortungsvolle KI-Governance nachzuweisen.
Verhältnis zu ISO 27001: ISO 42001 ist darauf ausgelegt, ISO 27001 (Informationssicherheits-Managementsysteme) zu ergänzen, nicht zu ersetzen. ISO 27001 befasst sich allgemein mit der Vertraulichkeit, Integrität und Verfügbarkeit von Informationswerten. ISO 42001 befasst sich mit den spezifischen Governance-, Risiko- und Rechenschaftsherausforderungen, die durch KI-Systeme entstehen, wie etwa Modell-Bias, Intransparenz, Datendrift und unbeabsichtigte Ausgaben. Organisationen mit einer ISO 27001-Zertifizierung können ISO 42001 in ihr bestehendes Managementsystem integrieren und gemeinsame Maßnahmen und Dokumentation nutzen.
Relevanz für Australien: ISO 42001 stimmt eng mit den aufkommenden Anforderungen an die KI-Governance in Australien überein. Der Voluntary AI Safety Standard (2024) der australischen Regierung und das Rahmenwerk für verantwortungsvolle KI des Department of Industry teilen den Schwerpunkt von ISO 42001 auf Risikomanagement, menschliche Aufsicht, Transparenz und Rechenschaftspflicht. Australische Organisationen, die ISO 42001 einführen, sind gut aufgestellt, während sich im Inland eine KI-spezifische Regulierung entwickelt, und der Standard bietet einen glaubwürdigen Rahmen, um die Einhaltung der Anforderungen des australischen Privacy Act im Hinblick auf automatisierte Entscheidungsfindung nachzuweisen.
ISO 42001 ergänzt zudem die Anforderungen des NIST AI RMF und des EU AI Act und schafft ein umfassendes internationales Governance-Ökosystem für Organisationen, die in mehreren Rechtsordnungen tätig sind.