ISO 42001 Zertifizierung

Die Entwicklung der Künstlichen Intelligenz treibt die Governance-Anforderungen für die kommerzielle Nutzung von KI voran. Die Entwicklung und Nutzung von KI-Technologie birgt Risiken für die Gesellschaft. Daher fordern Gesellschaft und Regierungen eine Regulierung der KI. Immer mehr Unternehmen implementieren ein Künstliche-Intelligenz-Managementsystem (KIMS). Zertifizierungsstellen bieten hierfür eine akkreditierte ISO 42001-Zertifizierung an. Sie können ein Audit Ihres KIMS nach der aktuellen Norm ISO 42001:2023 beantragen.

Wir führen Zertifizierungsaudits für Unternehmen in den USA, Europa, dem Nahen Osten, Afrika und Asien durch.
Wenn Sie in einem Entwicklungsland ansässig sind, fragen Sie nach unserem AIFOD-Programm, um an unserem speziellen Programm für Startups in Entwicklungsländern teilzunehmen.

Wer benötigt ein ISO 42001-Zertifikat?

Wenn Ihr Unternehmen Künstliche Intelligenz nutzt oder sogar KI-basierte Technologien entwickelt, verlangen immer mehr Rechtsordnungen einen Nachweis der Einhaltung der KI-bezogenen Gesetzgebung (z. B. des europäischen KI-Gesetzes). Basierend auf nationalen Auslegungen des KI-Gesetzes kann der Einsatz von KI in Unternehmen ohne zertifiziertes KIMS zu rechtlichen Problemen führen. Das KI-Gesetz verlangt von Unternehmen, ihre KI-Aktivitäten einer der verfügbaren Risikokategorien zuzuordnen. Eine unzureichende Regulierung von KI innerhalb des Unternehmens kann zur unvermeidlichen Einstellung aller KI-Aktivitäten führen. Noch schlimmer ist die Situation für Unternehmen, die Geschäftslösungen oder Konsumgüter mit integrierter KI entwickeln. Fallen ihre KI-Modelle in eine verbotene Kategorie, muss das Produkt innerhalb von sechs Monaten vom Markt genommen werden, andernfalls drohen rechtliche Schritte. Innovative Unternehmen in weniger problematischen Branchen müssen dennoch ein zuverlässiges Managementsystem implementieren. Es reicht nicht aus, eine Vorlage aus dem Internet zu verwenden und den Firmennamen in jedes Dokument einzufügen. Das Managementsystem muss zum Geschäftsmodell und den Aktivitäten und Produkten im Zusammenhang mit KI-Technologie passen. Nur dann hat ein KIMS eine realistische Chance, ein akkreditiertes Zertifizierungsaudit zu bestehen, da es die Konformität mit ISO 42001 aufweist.

Audittermin mit Angebot für ISO 42001 Zertifizierung sichern

ISO 42001-Zertifizierungsbereiche

Der wichtigste Kernstandard der ISO 42000-Norm ist 42001. Wenn Ihre Organisation noch nie einem Audit unterzogen wurde und Sie Ihr KIMS erst kürzlich eingeführt haben, konzentrieren Sie sich auf die Ausarbeitung Ihrer SOPs. Sobald Ihr AIMS einen akzeptablen Reifegrad erreicht hat, können Sie Ihr ISO 42001-Zertifikat anstreben.

KI Nutzer
Sicherer Einsatz von KI

KIMS: Implementierung eines Managementsystems, um zu regeln, wie Mitarbeiter KI innerhalb der Organisation nutzen.

Erfahre mehr zu KI Nutzung
KI Entwickler
Ethische Modelle und Sets

KIMS: Entwickeln Sie KI-Modelle mit einem ethischen Ansatz in Bezug auf Nachhaltigkeit und Vermeidung von Diskriminierung.

Erfahre mehr zu KI Modelle
KI im Produkt
Vertrauenswürdige KI-Produkte

KIMS: Schützen Sie die Daten Ihrer Kunden vor Missbrauch in KI-Produkten und gewährleisten Sie eine vertrauenswürdige Compliance.

Erfahre mehr zu KI in SaaS
Audittermin mit Angebot für ISO 42001 Zertifizierung sichern

Was ist die ISO 42001?

Die Internationale Organisation für Normung (ISO) hat die Norm ISO 42001 eingeführt, um Organisationen dabei zu unterstützen, die Gesellschaft vor schädlichen Aktivitäten im Bereich der KI-Technologie zu schützen.

Auditoren wollen sicherstellen, dass ein Managementsystem für künstliche Intelligenz (KIMS) tatsächlich eingerichtet wurde und kongruent funktioniert.

Ein KIMS soll Führungskräften dabei helfen, die Gesellschaft vor missbräuchlicher, illegaler und diskriminierender Nutzung künstlicher Intelligenz (KI) zu schützen.

Die Norm ISO 42001:2023 hat folgenden Aufbau:

  1. Einleitung: Die Norm beschreibt einen Prozess zum systematischen Management von Informationsrisiken.
  2. Anwendungsbereich: Sie legt allgemeine KIMS-Anforderungen fest, die für Organisationen jeder Art, Größe und Natur geeignet sind.
  3. Normative Verweisungen: Nur ISO/IEC 22989:2022 ist für Anwender unverzichtbar.
  4. Begriffe und Definitionen: Siehe ISO/IEC 22989:2022.
  5. Organisationskontext: Verständnis des Organisationskontexts, der Bedürfnisse und Erwartungen der „interessierten Parteien“ und Definition des Anwendungsbereichs des KIMS. Abschnitt 4.4 besagt ganz klar: „Die Organisation muss das KIMS einrichten, implementieren, pflegen und kontinuierlich verbessern.“ Das bedeutet, dass es einsatzbereit sein muss und nicht nur entworfen und dokumentiert sein darf.
  6. Führung: Die oberste Leitung muss Führungsstärke und Engagement für das KIMS zeigen, Richtlinien vorgeben und entsprechende Rollen, Verantwortlichkeiten und Befugnisse zuweisen.
  7. Planung: beschreibt den Prozess zur Identifizierung, Analyse und Planung der Behandlung von KI-bezogenen Risiken (6.1.2), zur Klärung der KI-Ziele in der Organisation (6.2) und zur Verwaltung von KIMS-Änderungen.
  8. Unterstützung: Es müssen ausreichende, kompetente Ressourcen zugewiesen, das Bewusstsein geschärft und die Dokumentation erstellt und kontrolliert werden.
  9. Betrieb: Weitere Einzelheiten zur Bewertung und Behandlung von KI-Risiken, zum Änderungsmanagement und zur Dokumentation (teilweise, damit sie von den Zertifizierungsprüfern geprüft werden können).
  10. Leistungsbewertung: Überwachung, Messung, Analyse und Bewertung/Prüfung/Überprüfung der KI-Kontrollen, -Prozesse und des KI-Managementsystems, systematische Verbesserung bei Bedarf.
  11. Verbesserung: Befassung mit den Ergebnissen von Audits und Überprüfungen (z. B. Abweichungen und Korrekturmaßnahmen) und systematische Weiterentwicklung des KIMS
Audittermin mit Angebot für ISO 42001 Zertifizierung sichern

Warum kann eine ISO 42001-Zertifizierung für Sie von Vorteil sein?

Wenn sich ein Unternehmen für eine ISO 42001-Zertifizierung entscheidet, beginnt es mit dem Aufbau seiner KIMS-Dokumentation und der Vorbereitung aller Mitarbeiter auf die Anwendung der neuen KI Sicherheitsmaßnahmen. Dadurch erreichen die organisatorischen Prozesse einen höheren Reifegrad. Nach erfolgreichem Abschluss des Zertifizierungsaudits weist das ISO 42001-Zertifikat nach außen folgende positive Aspekte auf:

  • Höhere KI-Sicherheit
    Regelmäßige KI-Verbesserungen
  • Höhere Vertrauenswürdigkeit
  • Höhere Zuverlässigkeit
  • Geringeres Risiko für Kundenvermögen und geistiges Eigentum

Darüber hinaus erfährt ein Unternehmen auch folgende interne Verbesserungen:

  • Der Informationsfluss innerhalb des Unternehmens ist sicher und effizient
  • Informationen sind jederzeit verfügbar und zuverlässig
  • Verlust, Diebstahl, Missbrauch und Manipulation von
  • Daten im Zusammenhang mit KI-Aktivitäten sind weniger wahrscheinlich
  • Nur autorisierte Personen haben Zugriff auf vertrauliche Daten und KI-Kerntechnologie
  • Stärkere Einhaltung von Gesetzen, Vorschriften und vertraglichen Verpflichtungen
Audittermin mit Angebot für ISO 42001 Zertifizierung sichern

Was ist für die ISO 42001:2023-Zertifizierung erforderlich?

Die Norm ISO 42001:2023 erfordert die Einhaltung der folgenden 14 Punkte in der KIMS-Dokumentation, um ein Zertifikat ausstellen zu können:

  1. KIMS-Anwendungsbereich (gemäß Abschnitt 4.3)
  2. KI-Richtlinie (Abschnitt 5.2)
  3. KI-Risikobewertungsprozess (Abschnitt 6.1.2)
  4. KI-Risikobehandlungsprozess und Anwendbarkeitserklärung (Abschnitt 6.1.3)
  5. KI-Ziele (Abschnitt 6.2)
  6. Nachweis der Kompetenz der mit KI-Technologie arbeitenden Personen (Abschnitt 7.2)
  7. Weitere von der Organisation als notwendig erachtete KIMS-bezogene Dokumente (Abschnitt 7.5.1b)
  8. Dokumente zur operativen Planung und Kontrolle (Abschnitt 8.1)
  9. Ergebnisse der KI-Risikobewertung, d. h. die bewerteten Risiken (Abschnitt 8.2)
  10. Die Entscheidungen zur Behandlung von KI-Risiken (Abschnitt 8.3)
  11. Nachweis der Überwachung und Messung von KI (Abschnitt 9.1)
  12. Das interne Auditprogramm des KIMS und die Ergebnisse der durchgeführten Audits (Abschnitt 9.2)
  13. Nachweis der Managementbewertungen des KIMS (Abschnitt 9.3)
  14. Nachweis der festgestellten Nichtkonformitäten und der daraus resultierenden Korrekturmaßnahmen (Abschnitt 10.2)

Wie wird der Prüfungsplan durch die Anwendbarkeitserklärung beeinflusst?

Unsere Auditteams folgen einem Auditplan, der die spezifische Branche und das Geschäftsmodell Ihres Unternehmens berücksichtigt. Die Konformität Ihres KIMS wird anhand der verschiedenen Kapitel und Teile von Anhang A überprüft. Für eine ordnungsgemäße Durchführung des Audits muss der Auditkunde Mitarbeiter benennen, die Fragen zu Teilen des Auditplans beantworten können. Ein Beispiel hierfür wäre die Benennung des HPC-Administrators für die Sicherheitskontrollen im Zusammenhang mit Zugriffskontrollen. Während des Audits bittet der leitende Auditor den KI-Beauftragten des Unternehmens, mit dem HPC-Administrator einen Termin zur Besprechung der Zugriffskontrolle zu vereinbaren.

Ein Unternehmen muss seine Anwendbarkeitserklärung (SoA) regelmäßig überprüfen, um zu entscheiden, welche Kontrollen erforderlich sind. Die Auditoren prüfen die SoA und hinterfragen insbesondere Kontrollen, die als nicht anwendbar eingestuft wurden. Die als anwendbar gekennzeichneten Kontrollen werden ebenfalls geprüft, jedoch auf andere Weise.

Audittermin mit Angebot für ISO 42001 Zertifizierung sichern

Wie viel kosten das Audit und die ISO 42001:2023-Zertifizierung?

Die Kosten eines ISO 42001:2023-Zertifizierungsprozesses hängen von der Größe und dem Risikoprofil der Organisation ab. Die ISO 27006-Norm gibt eine durchschnittliche Anzahl von Audittagen für eine Organisation mit durchschnittlichem Risiko und einer bestimmten Anzahl an Mitarbeitern an. Unsere Auditschätzer bewerten die voraussichtliche Auditdauer im Verhältnis zu unternehmensspezifischen Parametern. Einige Faktoren ermöglichen eine Verkürzung der Auditdauer und damit eine positive Senkung der Auditkosten.

Erfordern Risiken eine intensivere Audittätigkeit, muss im Auditplan zusätzliche Zeit dafür vorgesehen werden. Dies erhöht den Auditzeitraum und die damit verbundenen Kosten. Müssen Auditoren zudem zu den Betriebsstätten des Kunden reisen, entstehen dem Kunden zusätzliche Reisekosten. Die ISO-Norm erlaubt bis zu 30 % des Audits als Remote-Audit. Sollte die Unternehmensstruktur (Homeoffice) oder die Situation (z. B. Pandemie) ein 100-prozentiges Remote-Audit erfordern, muss die Zertifizierungsstelle über die vollständige Remote Durchführung des Audits entscheiden (anlehnend an ISO 27006-1). Remote-Audits vermeiden Reisekosten und sind in der Regel ideal für „virtuelle Organisationen“ (z. B. 100 % Home-Office-Teams).

Anzahl der Personen, die unter der Kontrolle der Organisation arbeiten KIMS-Auditzeit für das Erstaudit (Audittage)
1~10 0.5
11~15 1
16~25 1.5
26~45 2,0
46~65 2.5

Die obige Tabelle basiert auf dem ISO 27006-1 Standarddokument (Tabelle B1) und zeigt den zusätzlichen Zeitaufwand für ein KIMS-Audit im Rahmen eines kombinierten ISO 42001-Audits.

Die für die KIMS-Prüfung vorgesehene Auditzeit beträgt mindestens:

  • 30 % der Auditzeit als KI-Verantwortlicher
  • 30 % der Auditzeit als KI-Verarbeiter
  • 50 % der Auditzeit, wenn die Organisation sowohl KI-Verantwortlicher als auch KI-Verarbeiter ist

Das ISO 42001-Audit (Stufe 1 + Stufe 2) muss dann mindestens 2,5 Tage für KI-Verantwortliche und 3 Tage für KI-Verarbeiter dauern. Ist eine Organisation sowohl als Verantwortlicher als auch als Verarbeiter tätig, sollte die Auditdauer die empfohlenen 3,5 Tage nicht unterschreiten.

Diese Anforderung ergibt sich aus den Ähnlichkeiten zwischen einem ISO 42001-Audit und einem ISO 27001-Audit.

Verfügt die Organisation bereits über ein ISO 27001-Zertifikat und möchte ihr Engagement erweitern, kann ein separates Audit der KIMS-Dokumentation durchgeführt werden. In einem solchen Fall müssen mindestens 0,5 Tage zur Auditdauer hinzugerechnet werden.

Audittermin mit Angebot für ISO 42001 Zertifizierung sichern

FAQ zur ISO 42001-Zertifizierung

Die Kosten Ihrer ISO 42001-Zertifizierung werden basierend auf der Größe Ihres Unternehmens und Ihrem Risikoprofil berechnet. Das Angebot enthält eine Pauschalgebühr und die voraussichtlichen Audittage. So können Sie Ihr Zertifizierungsprojekt besser budgetieren.

Die Kosten der Zertifizierung hängen von folgenden Faktoren ab:

  • der Gesamtgröße Ihres Unternehmens
  • der Branche, in der Sie tätig sind
  • der Anzahl Ihrer Standorte und deren jeweiligen Aktivitäten
  • Ihrem Risikoprofil

Ihnen wird ein Account Manager zugewiesen, der die erste Etappe Ihres Weges zum ISO 42001-Zertifikat koordiniert. Dieser Mitarbeiter erstellt Ihnen ein Festpreisangebot und erfragt die wichtigsten Details Ihres gewünschten Zertifizierungsumfangs.

Der leitende Auditor vereinbart anschließend ein ein- bis zweistündiges Telefongespräch mit Ihnen, um zu prüfen, ob alle Aspekte Ihres SIK-Profils berücksichtigt wurden und die Struktur des Auditplans mit der Verfügbarkeit der Schlüsselpersonen in Ihrem Unternehmen übereinstimmt.

Nach Abschluss des Audits hält Sie der Account Manager auf dem Laufenden, während die Auditdokumentation vom Compliance-Team der Zertifizierungsstelle bearbeitet wird. Nach positiver Prüfung wird Ihnen das ISO 42001-Zertifikat ausgestellt.
Wir helfen Ihnen außerdem, das Zertifikat und die zugehörigen Logos optimal zu nutzen, um Konflikte mit den ISO-Regeln zu vermeiden.

Die Akkreditierung von Stratlane ist ein wesentlicher Bestandteil der Sicherheit, die wir denjenigen bieten, die Ihnen durch Ihr Zertifikat vertrauen.

Unsere akkreditierten ISO 42001-Zertifikate enthalten nicht nur Ihr Logo, sondern auch das Logo der Akkreditierungsstelle und der jeweiligen Akkreditierungsverbände.

Let's Get Your Company Certified!

Make use of our certification services so that your businesss gains the competitive advantage of having accredited ISO certifications.