30 Tage Risikoerkennung für generative KI:Jetzt starten
Demo buchen
Kostenlose Vorlage · ISO 42001

ISO-42001-Vorlage: Erklärung zur AnwendbarkeitDokumentieren Sie jede Entscheidung zu den Anhang-A-Kontrollen

Die Erklärung zur Anwendbarkeit (SoA) ist das Dokument, um das Ihr ISO-42001-Zertifizierungsaudit herum geplant wird. Diese Vorlage listet alle 38 Anhang-A-Kontrollen nach Zielbereichen gruppiert auf, mit Spalten für Anwendbarkeit, Begründung, Umsetzungsstatus, Nachweise und Verantwortliche, dazu ausgearbeitete Beispiele und ein Freigabeblock.

Was eine Erklärung zur Anwendbarkeit ist

Die SoA hält fest, welche der 38 Referenzkontrollen aus Anhang A von ISO/IEC 42001:2023 für Ihr Unternehmen gelten, warum, und wie jede einzelne umgesetzt ist. Drei Gründe machen sie zum Kern der Zertifizierung:

Das Audit beginnt hier

Zertifizierungsauditoren fordern die SoA früh an und bauen den Auditplan darauf auf. Sie ziehen Stichproben aus Ihren anwendbaren Kontrollen und prüfen die Nachweise dahinter, jede Zeile muss also standhalten.

Rückverfolgbar zur Risikobewertung

Jede als anwendbar erklärte Kontrolle sollte sich auf ein Risiko, eine rechtliche oder vertragliche Pflicht oder ein Geschäftsziel zurückführen lassen. Jeder Ausschluss muss zeigen, dass das zugrunde liegende Risiko oder die Tätigkeit tatsächlich nicht existiert.

Ein lebendes Dokument

Die SoA wird erneut geprüft und freigegeben, sobald sich die Risikobewertung ändert, KI-Systeme hinzukommen oder abgeschaltet werden oder ein Vorfall eine Lücke aufdeckt. Versionshistorie und Freigabeblock sind in der Vorlage enthalten.

So funktioniert die SoA-Tabelle

Jede Anhang-A-Kontrolle erhält eine Zeile: Referenz, paraphrasierte Kontrolle, Anwendbarkeit, Begründung, Umsetzungsstatus, Nachweisverweis und benannte Verantwortliche. Drei kommentierte Beispielzeilen aus der Vorlage:

A.6.2.6Laufender Betrieb und Überwachung eingesetzter KI-Systeme
AnwendbarUmgesetzt
Begründung

Adressiert die Risiken R-014 (Modelldrift im Kredit-Scoring-Modell) und R-021 (schleichende Verschlechterung des Support-Chatbots). Überwachungsschwellen und Eskalationswege sind in der Modellbetriebsrichtlinie definiert.

Nachweisreferenz

POL-AI-07 v2.1; monatliche Modell-Performance-Berichte; Alarmkonfiguration in der MLOps-Plattform

Verantwortlich

Leitung ML Engineering

A.7.6Aufbereitung von Daten für die KI-Entwicklung
AusgeschlossenNicht anwendbar
Begründung

Es werden keine Modelle intern trainiert oder feinabgestimmt; sämtliche KI-Funktionalität wird als vom Anbieter gehostete Dienste bezogen, daher existiert keine Trainingsdaten-Pipeline. Die Entscheidung wird überprüft, sobald interne Entwicklung beginnt.

Nachweisreferenz

KI-Systeminventar INV-2026-Q2 ohne interne Modellentwicklung

Verantwortlich

KI-Governance-Verantwortliche(r)

A.6.2.8Aufbewahrung von Ereignisprotokollen für KI-Systeme
AnwendbarIn Arbeit
Begründung

Adressiert Risiko R-009: KI-gestützte Entscheidungen lassen sich bei Beschwerden oder Vorfällen nicht rekonstruieren. Auditoren erwarten einen glaubwürdigen Plan, keine fertige Checkliste; solche teilweise umgesetzten Zeilen sind normal.

Nachweisreferenz

Prompt- und Antwortprotokollierung für den Kunden-Chatbot aktiv; Ausweitung auf die beiden internen Copilots für Q3 2026 geplant

Verantwortlich

Security Operations Manager

Alle 38 Anhang-A-Kontrollen, gruppiert nach Zielbereich

Die Vorlage deckt die neun Kontrollzielbereiche von Anhang A der ISO/IEC 42001:2023 mit paraphrasierten Zusammenfassungen ab, ergänzt um eine Übersichtstabelle zur Abdeckung.

A.2
Richtlinien für KI
3 Kontrollen
A.3
Interne Organisation
2 Kontrollen
A.4
Ressourcen für KI-Systeme
5 Kontrollen
A.5
Bewertung der Auswirkungen von KI-Systemen
4 Kontrollen
A.6
Lebenszyklus von KI-Systemen
9 Kontrollen
A.7
Daten für KI-Systeme
5 Kontrollen
A.8
Informationen für interessierte Parteien
4 Kontrollen
A.9
Nutzung von KI-Systemen
3 Kontrollen
A.10
Beziehungen zu Dritten und Kunden
3 Kontrollen

Gap-Analyse oder Erklärung zur Anwendbarkeit?

Die beiden Dokumente teilen sich die Norm auf. Nutzen Sie beide, um ISO 42001 vollständig abzudecken.

Gap-Analyse: Kapitel 4 bis 10

  • Misst, wie ausgereift Ihr KI-Managementsystem gegenüber den verpflichtenden Anforderungen der Norm ist
  • Deckt Kontext, Führung, Planung, Unterstützung, Betrieb, Leistungsbewertung und Verbesserung ab
  • Ergebnis: Reifegradbewertungen, Lücken mit Ursachen und ein Behebungsfahrplan

Erklärung zur Anwendbarkeit: Anhang A

  • Hält fest, welche der 38 Referenzkontrollen für Ihr Unternehmen gelten und warum
  • Begründet jede Aufnahme und jeden Ausschluss, damit Auditoren Entscheidungen zu Risiken zurückverfolgen können
  • Ergebnis: das Kontroll-für-Kontroll-Verzeichnis, um das Ihr Zertifizierungsaudit geplant wird
Zur ISO-42001-Gap-Analyse-Vorlage
Erste Schritte

Halten Sie Ihre SoA-Nachweise auditbereit

Aona AI entdeckt jedes KI-Tool in Ihrem Unternehmen, überwacht, welche Daten hineinfließen, und hält das KI-Inventar und die Audit-Trails aktuell, auf die Ihre Erklärung zur Anwendbarkeit verweist.