ISO 42001 Zertifizierung & EU AI Act: Vorteil oder Pflicht
ISO 42001 ist seit Dezember 2023 der internationale Management-Standard für KI. Sie ist nicht Pflicht, gibt aber vermutete Konformität mit AI-Act-Pflichten — analog ISO 27001. Zertifizierungsdauer 6-12 Monate, Kosten KMU 80-115 kEUR Erstzertifizierung, Konzern 280-660 kEUR.
Was ISO 42001 ist
ISO/IEC 42001:2023 (Dezember 2023) ist der erste internationale Management-Standard für künstliche Intelligenz — analog ISO 27001 für Informationssicherheit. Definiert ein AI Management System (AIMS) mit Top-down-Governance über alle KI-Systeme: Rollen, Risiko-Bewertung, Lebenszyklus, kontinuierliche Verbesserung.
Aufbau: 10 Klauseln + 4 Annexe mit 39 Controls in Annex A.
Bringt ISO 42001 EU-AI-Act-Konformität
Teilweise — über Konformitätsvermutung Art. 40 EU AI Act. Wer harmonisierte Standards einhält, dem wird AI-Act-Konformität vermutet.
ISO 42001 ist Stand Mai 2026 noch kein offiziell harmonisierter Standard — die Kommission hat den Mandatsauftrag an CEN/CENELEC gegeben. Veröffentlichung erwartet 2026/2027.
Bis dahin: starker indikativer Compliance-Beweis. Deckt strukturell ab: AI-Inventar (A.6.2.6), AI-Risikomanagement (A.6.1), Daten-Governance (A.7.x), Lebenszyklus (Klausel 8), KI-Literacy (A.4.4), Drittparteien (A.10).
NICHT abgedeckt: spezifische AI-Act-Pflichten wie FRIA, CE-Kennzeichnung-Prozess, EU-Datenbank-Eintrag, Wasserzeichen.
Zertifizierungsprozess
Phase 1 Vorbereitung (Monat 1-3): Gap-Analyse, Sponsoring, AI-Officer, KI-Inventar.
Phase 2 Implementierung (Monat 3-9): AI-Policy, Rollen-Matrix, Lebenszyklus-Prozess, Risiko-Register, Kompetenz-Matrix, Lieferanten-Bewertung, Vorfall-Management.
Phase 3 Internes Audit (Monat 9-10): Findings korrigieren, Management-Review.
Phase 4 Zertifizierungs-Audit (Monat 10-12): Akkreditierte Stelle (TÜV, DEKRA, Bureau Veritas, BSI), Stage 1 Doku-Review + Stage 2 Vor-Ort.
Folgejahre: jährliche Überwachungs-Audits, Re-Zertifizierung alle 3 Jahre.
Kosten
KMU (50-250 MA, 5-15 KI-Systeme):
- Beratung 30-50 kEUR
- Personal (1 AI-Officer 50% + 2-3 Co-Owner) ~40 kEUR
- Audit Stage 1+2: 8-15 kEUR
- Jährliches Surveillance-Audit: 5-8 kEUR
Total Erstjahr: 80-115 kEUR. Folgejahre: 10-15 kEUR.
Konzern (>1.000 MA, 50+ Systeme): 280-660 kEUR Erstjahr.
Lohnt es sich für KMU
Lohnt sich: Hochrisiko-KI-Provider mit B2B-DACH-Vertrieb, regulierte Branchen, Exit-Vorbereitung mit Compliance-Wert.
Lohnt sich noch nicht: reines Deployer-Geschäft mit minimalem Risiko, sehr kleine Unternehmen <20 MA, B2C ohne AI-Pflichten.
Alternative: AI-Governance-Framework an ISO 42001 angelehnt, ohne formale Zertifizierung. Spart 50-70 % Kosten.
Häufig gestellte Fragen
Ist ISO 42001 Pflicht?+
Nein. Aber erwarteter harmonisierter Standard nach Art. 40 EU AI Act, der Konformitätsvermutung gibt. Veröffentlichung 2026/2027.
Wie lange dauert die Zertifizierung?+
6-12 Monate für KMU.
Was kostet ISO 42001 für ein KMU?+
80-115 kEUR Erstjahr (50-250 MA, 5-15 Systeme), 10-15 kEUR Folgejahre.
Wer akkreditiert?+
TÜV, DEKRA, Bureau Veritas, BSI Group, SGS — akkreditiert über DAkkS (DE), AKKO (AT), SAS (CH).
Reicht ISO 27001?+
Nein. ISO 27001 deckt nur Cyber-Aspekte ab. ISO 42001 deckt Lebenszyklus, KI-Literacy, AI-Risikomanagement spezifisch ab.
Direkt prüfen — kostenlos
Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.
Kostenloser EU AI Act Check →Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.
Zuletzt aktualisiert: 4. Mai 2026