Zurück zur ÜbersichtBack to overview

ISO 42001 in der Praxis: Die wichtigsten Komponenten auf einen BlickISO 42001 in Practice: The Key Components at a Glance

Wer ein Managementsystem für künstliche Intelligenz aufbauen will, stolpert schnell über ISO 42001. Die entscheidende Frage lautet meist, woraus die Norm eigentlich besteht.

Das Herzstück: Zwei Ebenen der Norm

Das Herzstück sind zwei Ebenen. Die eine sind die Klauseln, die den Rahmen setzen. Sie verlangen, dass eine Organisation ihre Rolle im KI Umfeld klärt, eine KI Politik mit klaren Verantwortlichkeiten festlegt, Risiken bewertet, den Betrieb steuert, die Wirksamkeit prüft und sich ständig verbessert. Die andere Ebene ist der Anhang A mit seinen konkreten Massnahmen. Sie decken KI Politik, interne Organisation, Ressourcen, Datenqualität, Folgenabschätzung, den gesamten Lebenszyklus, Transparenz, menschliche Aufsicht und den Umgang mit Dritten ab.

Was ist wirklich neu?

Zwei Dinge sind wirklich neu gegenüber der vertrauten Informationssicherheit. Erstens die Rolle im KI Umfeld, also ob man KI anbietet, einsetzt oder Daten zuliefert. Zweitens die Folgenabschätzung, die nicht nur das eigene Risiko betrachtet, sondern die Auswirkungen auf Menschen und Gesellschaft, etwa Verzerrungen bei automatisierten Entscheidungen.

Praxis statt Papier

In der Praxis zählt vor allem eines. Die Norm ist keine Dokumentenübung. Ein Auditor will Nachweise sehen, also durchgeführte Risikobewertungen, getestete Modelle und tatsächlich ausgeübte Aufsicht. Genau das Sammeln dieser Belege ist die grösste Hürde, weil sie über viele Teams verstreut liegen. Wer hier früh Ordnung schafft und die Verantwortlichkeiten klärt, hat den halben Weg geschafft.

Anyone wanting to build a management system for artificial intelligence quickly stumbles over ISO 42001. The crucial question is usually: what does the standard actually consist of?

The Core: Two Levels of the Standard

The core consists of two levels. One is the clauses that set the framework. They require an organization to clarify its role in the AI environment, establish an AI policy with clear responsibilities, assess risks, manage operations, review effectiveness and continuously improve. The other level is Annex A with its concrete controls. They cover AI policy, internal organization, resources, data quality, impact assessment, the entire lifecycle, transparency, human oversight and dealing with third parties.

What Is Truly New?

Two things are truly new compared to familiar information security. First, the role in the AI environment, i.e. whether you provide, deploy or supply data to AI. Second, the impact assessment that considers not only your own risk but the effects on people and society, such as bias in automated decisions.

Practice Over Paper

In practice, one thing counts above all. The standard is not a documentation exercise. An auditor wants to see evidence, i.e. conducted risk assessments, tested models and actually exercised oversight. Collecting precisely this evidence is the biggest hurdle because it is scattered across many teams. Those who create order early and clarify responsibilities have already covered half the journey.