ISO/IEC 42001 — AI-Management-System
Hinweis: Dieser Explainer ist informativ; Framework-Referenzen sind nie eine Compliance-Garantie — die Zertifizierung nach ISO/IEC 42001 erteilt eine akkreditierte Stelle, kein einzelnes Tool. Stimmen Sie Ihr Programm mit Ihrem Auditor ab.
ISO/IEC 42001:2023 ist der weltweit erste Standard für ein AI-Management-System (AIMS), veröffentlicht im Dezember 2023. Er legt die Anforderungen fest, um ein Management-System für die verantwortungsvolle Entwicklung und Nutzung von AI in einer Organisation aufzubauen, zu betreiben, aufrechtzuerhalten und laufend zu verbessern. Offizieller Standard: ISO/IEC 42001:2023.
Für wen er gilt
Der Standard richtet sich an jede Organisation, die AI-basierte Produkte oder Services bereitstellt oder nutzt — unabhängig von Größe und Branche. Er steht neben bekannten Management-System-Standards (wie ISO/IEC 27001 für Information Security) und folgt derselben Struktur, sodass er sich in ein bestehendes Governance-Programm einfügt.
Die Kernanforderungen
Ein AIMS nach 42001 verlangt, AI-Governance als kontinuierlichen Zyklus zu betreiben:
- Kontext und Leadership — den Scope der AI-Nutzung definieren und Verantwortlichkeit zuweisen.
- AI-Risk- und Impact-Assessment — Risiken identifizieren und bewerten, die die AI-Systeme für Menschen und Organisation darstellen.
- Operative Controls — Controls über den AI-System-Lifecycle anwenden, inklusive Oversight über Third-Party-Tools und -Lieferanten (Annex A).
- Monitoring und Verbesserung — Performance messen und über die Zeit nachsteuern.
Vieles davon hängt an einem belastbaren, aktuellen Bild der genutzten AI-Systeme — dem Teil, der von Hand am schwersten aktuell zu halten ist.
Wie Shield darauf abbildet
Shield ist ein operativer Control, der zu bestimmten Teilen eines AIMS beiträgt — es zertifiziert Sie nicht von allein:
- Discovery hält ein Live-Inventar der genutzten AI-Tools, auch der unsanktionierten und Third-Party — Evidenz für die Klauseln zu operativen Controls und Monitoring: Discovered Tools prüfen.
- Policies und Enforcement-Modes sind dokumentierte, durchsetzbare Controls über AI-Datenflüsse: Enforcement-Modes.
- Das Audit-Log liefert die manipulationsresistenten Aufzeichnungen, auf die Monitoring- und Internal-Audit-Schritte bauen: Audit-Log und Export.
Das Bundle ISO 42001 / NIST aus der Vorlagen-Bibliothek gibt Ihnen in Minuten framework-gelabelte Policies, die auf diese Controls abbilden.
War dieser Artikel hilfreich?
Verwandte Artikel
Richtlinien-Vorlagen und Bundles anwenden
Compliance-fertige Richtlinien aus der Vorlagen-Bibliothek ausrollen — EU AI Act, DSGVO, DIFC, Korea AI Basic Act, US AI in Employment sowie ISO-42001/NIST-Bundles.
Artikel lesenNIST AI Risk Management Framework (AI RMF)
Das NIST AI Risk Management Framework (AI RMF 1.0) ist ein freiwilliges Framework für AI-Risk-Management. Seine vier Funktionen — Govern, Map, Measure, Manage — und wie Shield sie unterstützt.
Artikel lesenDIFC Regulation 10 — AI & autonome Systeme
DIFC Regulation 10 regelt die Verarbeitung personenbezogener Daten durch autonome und semi-autonome Systeme. Wer Deployer und Operator ist, die Kernpflichten und wie Shield unterstützt.
Artikel lesenEU AI Act Artikel 26 — Betreiberpflichten
Artikel 26 definiert Ihre Pflichten beim Einsatz von Hochrisiko-KI — anwendbar ab Dezember 2027 gemäß Digital Omnibus. Was die Absätze (1), (5) und (6) verlangen und wie Shield Sie heute vorbereitet.
Artikel lesenNoch Fragen?
Schicken Sie uns die Details — wir antworten innerhalb eines Werktags.