IAF

Während Normen wie die ISO 9001 oder ISO 27001 festlegen, wie ein Unternehmen geführt werden sollte, definiert die ISO/IEC 17021 die Spielregeln für jene, die diese Systeme bewerten. Sie ist der internationale Massstab für die Akkreditierung von Zertifizierungsstellen und stellt sicher, dass Audits weltweit kompetent, objektiv und unparteilich durchgeführt werden.
Die ISO/IEC 17021 ist der unsichtbare Anker der Qualitätsinfrastruktur. Sie sorgt dafür, dass ‚zertifiziert‘ auch wirklich ‚geprüft und bestätigt‘ bedeutet – ein unverzichtbarer Schutz für Unternehmen und deren Kunden.

Unparteilichkeit

Die Norm stellt sicher, dass Zertifizierungsstellen frei von Interessenkonflikten agieren. Nur ein neutrales Urteil schafft echtes Vertrauen am Markt.

Kompetenznachweis

Sie legt strenge Anforderungen an die Qualifikation der Auditoren fest. Nur wer das Fachwissen und die methodische Kompetenz besitzt, darf Managementsysteme bewerten.

Globale Vergleichbarkeit

Dank der ISO/IEC 17021 hat ein Zertifikat aus der Schweiz die gleiche Aussagekraft und Anerkennung wie eines aus jedem anderen Teil der Welt.

Strukturierte Auditprozesse

Die Norm gibt vor, wie Audits geplant, durchgeführt und dokumentiert werden müssen, um eine gleichbleibend hohe Qualität der Zertifizierung sicherzustellen.

Kerninhalte

Die ISO/IEC 17021-1 ist das Regelwerk, das sicherstellt, dass Zertifizierungsstellen (wie z. B. die Organisationen SQS, SGS oder der TÜV) weltweit nach den gleichen strengen Massstäben arbeiten. Während die ISO-Normen nach denen Organisationen zertifiziert werden (ISO 9001, ISO 14001 etc.) Anforderungen an Unternehmen stellen, stellt diese Norm Anforderungen an die Zertifizierungsstellen.
Hier sind die Kerninhalte, unterteilt in die strategischen Säulen der Norm:

Die Leitprinzipien (Das Fundament)

Bevor es um technische Details geht, definiert die Norm sechs ethische Grundpfeiler, die jede Zertifizierungsstelle erfüllen muss:

Unparteilichkeit:
Die wichtigste Eigenschaft. Interessenkonflikte müssen ausgeschlossen sein (z. ss. keine Beratung und Zertifizierung aus einer Hand).

Kompetenz:
Das Personal muss nachweislich über das Wissen verfügen, das für die jeweilige Branche nötig ist.

Verantwortung:
Die Stelle trägt die Verantwortung für die Entscheidung über die Zertifizierung.

Offenheit:
Zugang zu Informationen über den Zertifizierungsprozess für die Öffentlichkeit.

Vertraulichkeit:
Schutz von geschützten Informationen des Kunden.

Beschwerdemanagement:
Ein transparenter Prozess für den Umgang mit Einsprüchen gegen Zertifizierungsentscheide.

Ressourcenanforderungen (Die Fachkraft)

Hier wird festgelegt, wie eine Zertifizierungsstelle ihr Personal auswählt und schult.

Kompetenzprozesse:
Die Stelle muss genau definieren, welche Qualifikationen ein Auditor für ein bestimmtes Gebiet (z. ss. Medizintechnik vs. Bauwesen) benötigt.

Überwachung der Auditoren:
Auditoren werden regelmässig „begleitet“ (Witness-Audits), um sicherzustellen, dass sie die Standards einhalten.

Prozessanforderungen (Der Audit-Zyklus)

Dies ist der Teil, den Unternehmen am stärksten spüren. Die Norm schreibt den exakten Ablauf einer Zertifizierung vor:

Antrag & Vertrag:
Prüfung, ob die Stelle die Kompetenz für den Kunden hat.

Audit-Programm:
Planung über den gesamten 3-Jahres-Zyklus.

Stufe 1 Audit:
Dokumentenprüfung und Prüfung der „Auditbereitschaft“.

Stufe 2 Audit:
Dokumentenprüfung und Prüfung der „Auditbereitschaft“. Dauer: Die Zeiten leiten sich aus IAF MD 5 und weiteren Vorgaben ab.

Zertifizierungsentscheid:
Ein Gremium, das nicht am Audit beteiligt war, fällt das Urteil.

Überwachung:
Jährliche Audits zur Aufrechterhaltung. Dauer: ca. 1/3 der Zeit für ein Stufe 2 Audit.

Re-Zertifizierung:
Alle 3 Jahre erfolgt eine komplette Neu-Bewertung. Dauer: ca. 2/3 der Zeit für ein Stufe 2 Audit.

Nutzen

Der grösste Nutzen der ISO/IEC 17021 lässt sich in einem Wort zusammenfassen: Glaubwürdigkeit. Ohne diese Norm wäre ein ISO-Zertifikat kaum mehr als eine selbsterklärte Urkunde. Sie ist die „Versicherung“ im Hintergrund, die sicherstellt, dass Zertifizierungen weltweit einen echten Wert haben.
Hier ist der Nutzen der ISO/IEC 17021, aufgeteilt nach den verschiedenen Akteuren:

Nutzen für den globalen Markt: Die Kette des Vertrauens

Die ISO/IEC 17021 erschafft eine weltweit einheitliche „Sprache“ der Prüfung.
Internationale Anerkennung:
Dank dieser Norm wird ein Zertifikat, das in der Schweiz von einer akkreditierten Stelle ausgestellt wurde, auch in den USA, China oder Deutschland anerkannt. Das spart Unternehmen Mehrfachzertifizierungen für den Export.
Vergleichbarkeit:
Sie stellt sicher, dass ein Audit bei Firma A nach den gleichen strengen Regeln abläuft wie bei Firma B – unabhängig davon, welcher Auditor vor der Tür steht.

Nutzen für Unternehmen (als Kunde der Zertifizierer)

Wer Sie sich zertifizieren lässt, profitiert direkt von der Qualität, die diese Norm dem Auditor vorschreibt:
Objektiver Blick von aussen:
Die Norm zwingt Auditoren zur Unparteilichkeit. Sie erhalten kein „Gefälligkeitsattest“, sondern eine ehrliche Analyse Ihrer Schwachstellen, die Ihr Unternehmen wirklich weiterbringt.
Professionelle Expertise:
Die ISO/IEC 17021 schreibt vor, dass Auditoren kontinuierlich geschult werden müssen. Sie arbeiten also mit Experten zusammen, die Ihre Branche und deren spezifische Risiken verstehen.
Schutz vor Fehlern:
Durch das „Vier-Augen-Prinzip“ (die Person, die auditiert, darf nicht diejenige sein, die das Zertifikat am Ende freigibt) werden Fehlentscheide minimiert.

Nutzen für Akkreditierungsstellen (Accreditation Bodies)

In der Schweiz übernimmt die SAS (Schweizerische Akkreditierungsstelle) diese Rolle. Für sie bietet die Norm entscheidende Vorteile:
Einheitliche Prüfbasis:
Die SAS muss das Rad nicht neu erfinden. Die ISO/IEC 17021 liefert den exakten Kriterienkatalog, anhand dessen sie die Kompetenz und Unparteilichkeit der Zertifizierungsstellen objektiv bewerten kann.
Skalierbarkeit der Aufsicht:
Da alle Stellen nach dem gleichen Standard arbeiten, ist die Überwachung (Assessments) durch die Akkreditierungsstelle strukturiert und vergleichbar durchführbar.
Rechtssicherheit bei Entzug:
Wenn eine Zertifizierungsstelle die Anforderungen nicht mehr erfüllt, liefert die Norm die juristische Basis, um Akkreditierungen zu suspendieren oder zu entziehen.
Internationale Harmonisierung:
Die SAS kann durch die Norm sicherstellen, dass sie das gleiche „Qualitäts-Niveau“ hält wie ihre Partnerorganisationen im Ausland.

Nutzen für Zertifizierungsstellen (Certification Bodies)

Für Organisationen, die Audits durchführen (z. ss. SQS, SGS), ist die ISO/IEC 17021 weit mehr als nur eine Pflichtübung:
„License to Operate“:
Ohne die Einhaltung dieser Norm erhält eine Stelle keine Akkreditierung. Sie ist somit die zwingende Voraussetzung, um überhaupt am Markt für ISO-Zertifizierungen teilnehmen zu dürfen.
Risikomanagement & Haftungsschutz:
Die Norm gibt klare Prozesse vor (z. ss. das Vier-Augen-Prinzip). Dies schützt die Stelle vor Fehlurteilen einzelner Auditoren und minimiert das Risiko von Haftungsansprüchen oder Reputationsschäden.
Prozesseffizienz:
Durch die Standardisierung der Audit-Abläufe (Stufe 1, Stufe 2, Überwachung) können Zertifizierungsstellen ihre Ressourcen weltweit effizient planen und einsetzen.
Internationaler Marktzugang:
Dank der ISO/IEC 17021 und der damit verbundenen Abkommen (IAF MLA) kann eine Schweizer Zertifizierungsstelle Zertifikate ausstellen, die weltweit akzeptiert werden. Das macht sie für global agierende Kunden attraktiv.

Rechtssicherheit und Risikominimierung

In vielen Branchen ist ein akkreditiertes Zertifikat die „Eintrittskarte“ in den Markt.
Haftungsschutz:
Im Falle von Produkthaftungs- oder Sicherheitsfragen dient ein nach ISO/IEC 17021 erlangtes Zertifikat als Nachweis, dass Sie Ihre Sorgfaltspflicht erfüllt haben und von einer kompetenten, neutralen Stelle geprüft wurden.
Erfüllung von Ausschreibungen:
Viele öffentliche und private Auftraggeber akzeptieren nur Zertifikate von Stellen, die nach ISO/IEC 17021 akkreditiert sind.

Zusammengefasst:
Man kann sich die ISO/IEC 17021 wie die staatliche Aufsicht über das Bankwesen vorstellen: Sie sorgt dafür, dass die Banken (Zertifizierer) das Geld (Zertifikate) nicht einfach drucken, sondern dass jedes Zertifikat einen echten Gegenwert an Qualität repräsentiert.

Entwicklung, Geschichte

Die Geschichte der ISO/IEC 17021 ist die Geschichte der Professionalisierung des weltweiten Zertifizierungsmarktes. Bevor es diesen Standard gab, war die Art und Weise, wie Auditoren arbeiteten, so vielfältig wie die Unternehmen selbst – was oft zu Zweifeln an der Vergleichbarkeit von Zertifikaten führte.
Hier ist die Timeline für Ihre Website, die den Weg vom „Dschungel der Leitfäden“ zum globalen Goldstandard aufzeigt:

Norm	Fokus
vor 2006	Die Ära der Leitfäden In den Anfangsjahren der ISO-Zertifizierungen (ISO 9001:, ISO 14001:) gab es keinen einheitlichen Standard für die Zertifizierungsstellen selbst. Fragmentierung: Man arbeitete mit verschiedenen „Guides“ (z. ss. ISO/IEC Guide 62 für Qualitätsmanagementsysteme und Guide 66 für Umweltmanagementsysteme). Das Problem: Da jeder Guide leicht unterschiedliche Anforderungen stellte, war es für Zertifizierungsstellen schwierig, integrierte Audits (z. ss. 9001 und 14001 gleichzeitig) effizient und nach einheitlichen Massstäben durchzuführen.
2017	Gründung des gemeinsamen technischen Komitees ISO/IEC JTC 1/SC 42. Dies war das weltweit erste Komitee, das sich ausschliesslich mit der Standardisierung von Künstlicher Intelligenz befasste. In den ersten Jahren lag der Schwerpunkt auf der Terminologie (Was ist KI?) und grundlegenden Konzepten (ISO/IEC 22989 und ISO/IEC 23053).
2021-2022	Der Ruf nach einem Managementsystem Mit dem Durchbruch von Large Language Models (LLMs) und der breiten Anwendung von KI in Unternehmen wurde klar: Punktuelle technische Standards reichen nicht aus. Projektstart: Die Arbeit an der ISO/IEC 42001 begann offiziell. Das Ziel war es, ein „Managementsystem“ (ähnlich der ISO 9001 oder 27001) zu schaffen, das den gesamten Lebenszyklus einer KI abdeckt.
EU AI Act	Parallelentwicklung Während die ISO-Experten an der Norm arbeiteten, konkretisierte die EU den EU AI Act. Die ISO/IEC 42001 wurde von Beginn an so konzipiert, dass sie als Brücke zu diesen kommenden Gesetzen dient. Die EU AI Act wurde am 1. August 2024 in Kraft gesetzt.
ISO/IEC 42001:2023	Die Geburtsstunde Kurz vor dem Jahreswechsel war es so weit: Publikation: Die ISO/IEC 42001:2023 wird im Dezember offiziell veröffentlicht. Sie ist der erste internationale Standard für ein KI-Managementsystem (AIMS). Meilenstein: Damit existiert erstmals ein zertifizierbarer Rahmen, der nicht nur IT-Sicherheit adressiert, sondern auch Ethik, Transparenz und die gesellschaftlichen Auswirkungen von KI.
ISO/IEC 42001:(?)	Gegenwart und Ausblick Markteinführung: Seit Anfang 2024 beginnen die ersten grossen Zertifizierungsgesellschaften weltweit damit, Audits nach diesem Standard anzubieten. EU AI Act Harmonisierung: Es wird erwartet, dass die ISO/IEC 42001 als „harmonisierter Standard“ anerkannt wird. Das bedeutet: Unternehmen, die nach ISO 42001 zertifiziert sind, erfüllen automatisch einen Grossteil der strengen EU-Anforderungen. Schweizer Relevanz: Auch für Schweizer Unternehmen ist die Norm der Goldstandard, um im europäischen Markt wettbewerbsfähig zu bleiben und die hiesige Datenschutzgesetzgebung (DSG) im KI-Kontext sicher umzusetzen.

Aufbau/Implementierung

Der Aufbau eines KI-Managementsystems (AIMS) nach ISO/IEC 42001 unterscheidet sich grundlegend von klassischen IT-Systemen. Während die ISO 27001 den Schutz von Informationen fokussiert, geht es hier um die Beherrschung der Unberechenbarkeit von Algorithmen.

Hier sind die wesentlichen Erfolgsfaktoren:

Das neue Herzstück: Die KI-Folgenabschätzung (AIFA)	Sie müssen für jedes KI-System eine AI Impact Assessment durchführen. Beachten Sie: Es geht nicht nur um technische Risiken, sondern um Auswirkungen auf Einzelpersonen, die Gesellschaft und ethische Grundsätze. Umsetzung: Dokumentieren Sie genau, was passiert, wenn die KI eine Fehlentscheidung trifft. Wer ist betroffen? Wie hoch ist der Schaden für die Grundrechte oder die Privatsphäre?
Risikomanagement jenseits der Cybersecurity	KI-Risiken sind oft „unsichtbar“. Bei der Implementierung müssen Sie spezifische Szenarien bewerten: Halluzinationen: Wie gehen wir damit um, wenn die KI Fakten erfindet? Bias (Voreingenommenheit): Enthält der Trainingsdatensatz Vorurteile, die zu Diskriminierung führen könnten? Model Drift: Die Leistung von KI-Modellen kann sich über die Zeit verschlechtern, wenn sich die Eingabedaten ändern. Hierfür brauchen Sie Monitoring-Prozesse.
Daten-Governance & Qualität	Ein KI-System ist nur so gut wie seine Daten. Die ISO/IEC 42001 stellt hohe Anforderungen an die Daten-Governance: Herkunft (Data Lineage): Sie müssen wissen (und belegen), woher die Trainingsdaten stammen und ob diese rechtmässig (z. ss. DSG-konform) erworben wurden. Repräsentativität: Stellen Sie sicher, dass die Daten die Realität korrekt abbilden, um Fehlentscheidungen zu vermeiden.
Transparenz und Erklärbarkeit (Explainability)	Die „Black Box“ ist im Rahmen der Norm nicht akzeptabel. Besonderheit: Sie müssen Mechanismen implementieren, die erklären, warum eine KI zu einem bestimmten Ergebnis gekommen ist. Dies ist besonders in regulierten Bereichen (z. ss. Kreditvergabe oder Personalwesen) entscheidend. Nutzer-Information: Nutzer müssen wissen, dass sie mit einer KI interagieren.
Der gesamte Lebenszyklus (Lifecycle)	Die Norm betrachtet den gesamten Weg: von der ersten Idee über das Training und den Betrieb bis hin zur Stilllegung. Monitoring im Betrieb: Ein einmal validiertes Modell ist kein Freipass. Sie müssen kontinuierlich prüfen, ob die KI noch innerhalb der definierten Leitplanken arbeitet.
Synergien durch die High Level Structure (HLS) nutzen	Da Sie wahrscheinlich bereits die ISO/IEC 27001 nutzen, ist die Integration einfacher: Zusammenführung: Viele Prozesse (wie das interne Audit oder das Management-Review) können kombiniert werden. Erweiterung: Nutzen Sie Ihr bestehendes ISMS als Fundament und ergänzen Sie es um die spezifischen KI-Controls des Anhangs A.

Tipp:
Ein Managementsystem ist kein Projekt mit einem Enddatum, sondern eine Einstellung. Wer die Norm als „notwendiges Übel“ sieht, verliert Geld. Wer sie als „Betriebssystem für Qualität und Wachstum“ sieht, gewinnt Marktanteile.

Aufbau von Managementsystemen

Zertifizierung

Bei der Zertifizierung nach ISO/IEC 42001 betreten sowohl Unternehmen als auch Auditoren Neuland. Da es sich um ein Managementsystem für eine Technologie handelt, die sich rasant weiterentwickelt, liegt der Fokus im Audit weniger auf statischen Prozessen und mehr auf der Fähigkeit zur dynamischen Risikokontrolle.
Hier sind die spezifischen Punkte, die den Ausschlag für ein erfolgreiches Audit geben:

Der Nachweis der KI-Folgenabschätzung (AIFA)
Dies ist das „Dokument der Wahrheit“. Der Auditor wird prüfen, ob Sie für Ihre KI-Systeme eine systematische Folgenabschätzung durchgeführt haben.
Tiefe der Analyse: Es reicht nicht zu sagen: „Das System funktioniert.“ Sie müssen belegen, dass Sie die Auswirkungen auf Ethik, Grundrechte und Privatsphäre bewertet haben.
Aktualität: Da KI-Modelle „driften“ können (sich in ihrer Leistung verändern), muss nachgewiesen werden, dass diese Abschätzungen regelmässig überprüft werden.

Erklärbarkeit und Transparenz (Explainability)
Im Gegensatz zur klassischen IT-Sicherheit ist die „Black Box“ hier ein grosses Risiko.
Audit-Fokus: Wie erklären Sie einem Nutzer oder einer Behörde, warum die KI Entscheidung X und nicht Y getroffen hat?
Dokumentation: Sie müssen die Logik hinter den Modellen (soweit technisch möglich) und die Massnahmen zur Transparenz gegenüber den Endnutzern offenlegen.

Daten-Governance und Herkunft
Der Auditor wird tief in Ihre Datenprozesse eintauchen.
Qualität vor Quantität: Wie stellen Sie sicher, dass die Trainingsdaten nicht verzerrt sind (Bias-Vermeidung)?
Rechtmässigkeit: Können Sie die Herkunft der Daten lückenlos nachweisen? In der Schweiz ist hierbei besonders die Konformität zum revidierten Datenschutzgesetz (DSG) ein zentraler Prüfpunkt.

Menschliche Aufsicht (Human Oversight)
Die Norm verlangt, dass die Kontrolle beim Menschen bleibt.
Interventionsmöglichkeiten: Der Auditor möchte sehen, wie und wann ein Mensch in den KI-Prozess eingreifen kann.
Kompetenz: Sind die Personen, die die KI überwachen, ausreichend geschult, um Fehlentscheidungen des Systems überhaupt zu erkennen?

Das „Statement of Applicability“ (SoA) für KI
Wie bei der ISO 27001 müssen Sie im SoA definieren, welche der 38 Controls aus Anhang A für Sie relevant sind.
Besonderheit: Da KI-Anwendungen sehr unterschiedlich sind (vom einfachen Chatbot bis zur medizinischen Diagnose), ist die Begründung für den Ausschluss von Massnahmen ein kritischer Punkt im Audit.

Checkpunkte:
„Können wir belegen, dass unsere KI nicht nur effizient ist, sondern auch fair und nachvollziehbar arbeitet – selbst wenn der Algorithmus komplex ist?“
Ein Auditor der ISO 42001 fungiert oft halb als Techniker und halb als Ethik-Prüfer. Wer hier nur technische Firewalls vorweist, wird Schwierigkeiten haben.

Zertifizierung

Tool Box

Effizienz ist kein Zufall, sondern das Ergebnis der richtigen Werkzeuge. In diesem Bereich finden Sie eine gezielte Auswahl an Ressourcen, die darauf ausgelegt sind, die Komplexität von ISO-Normen zu reduzieren und Theorie in gelebte Praxis zu verwandeln.
Ob Sie Ihre Prozesse mit präzisen Checklisten prüfen, Ihr Team durch spezifische Ausbildungsangebote stärken oder auf direkt einsetzbare Vorlagen zurückgreifen möchten: Unsere Tools unterstützen Sie dabei, den administrativen Aufwand zu minimieren und den Fokus wieder auf das Wesentliche zu lenken – Ihren unternehmerischen Erfolg.

Gap-Analyse

Ein Tool, um den Reifegrad der aktuellen KI-Nutzung im Vergleich zur Norm zu ermitteln.

Gap-Analyse

KI-Kontext-Matrix

Vorlage zur Definition der internen und externen Einflussfaktoren sowie der Anforderungen interessierter Parteien.

KI-Kontext

AI Policy Generator

Ein Leitfaden zur Erstellung einer unternehmensweiten KI-Richtlinie, die ethische Grundsätze und Nutzungsregeln festlegt.

AI-Policy

AI Impact Assessment (AIFA) Template

Das wichtigste Dokument. Eine strukturierte Vorlage zur Bewertung der Auswirkungen von KI-Systemen auf Individuen und Gesellschaft.

AIFA

KI-Risikomatrix

Eine spezialisierte Matrix, die über klassische IT-Risiken hinausgeht und Themen wie Bias (Voreingenommenheit), Halluzinationen und Modell-Drift abdeckt.

KI-Risikomatrix

Ethik-Self-Assessment

Ein Fragenkatalog zur Prüfung der Konformität mit KI-Ethik-Leitlinien (z. ss. Transparenz, Fairness, Rechenschaftspflicht).

Ethik-Assessment

Daten-Governance-Checkliste

Ein Tool zur Überprüfung der Datenqualität, der Herkunft (Data Lineage) und der DSG-konformen Verarbeitung der Trainingsdaten.

Daten-Governance

KI-Lebenszyklus-Planer

Click here to change this text. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

KI-Lebenszyklus

Monitoring-Logbuch

Click here to change this text. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Monitoring-Logbuch

Statement of Applicability (SoA)

Click here to change this text. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

KI-SoA

Kompetenz-Matrix für KI-Teams

Ein Tool zur Erfassung und Planung der notwendigen Fachkenntnisse der beteiligten Mitarbeitenden.

KI-Teams

Management-Review-Template

Eine Struktur für den jährlichen Bericht an die Geschäftsleitung über den Status des KI-Managementsystems.

Management-Review

Glossar

Kurze Definitionen von Fachbegriffen wie „Umweltaspekt“, „Umweltauswirkung“ oder „Bindende Verpflichtungen“.

Glossar

Die ISO/IEC 17021 ist modular aufgebaut. Während Teil 1 die allgemeinen Anforderungen enthält, definieren weitere Teile die spezifische Kompetenz für andere Normen:

17021-2: Anforderungen für Umweltmanagementsysteme (ISO 14001).

17021-3: Anforderungen für Qualitätsmanagementsysteme (ISO 9001).

17021-10: Anforderungen für Arbeitssicherheit (ISO 45001).

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

FAQ

Sie finden hier oft angetroffene Fragen und die dazugehörenden Antworten.
Wenn für Sie eine Frage nicht ausreichend beantwortet wird oder fehlt, bitte benutzen Sie das Kontaktformular, um uns Ihre Wünsche mitzuteilen.

Was ist die ISO/IEC 42001 genau?

Die ISO/IEC 42001 ist der weltweit erste zertifizierbare Standard für ein KI-Managementsystem (AIMS). Sie bietet Unternehmen einen strukturierten Rahmen, um KI-Systeme verantwortungsbewusst zu entwickeln, zu implementieren und zu betreiben. Dabei stehen nicht nur technische Aspekte, sondern vor allem Ethik, Transparenz und Vertrauenswürdigkeit im Fokus.

Brauche ich die ISO/IEC 42001, wenn ich schon die ISO/IEC 27001 habe?

Die ISO/IEC 27001 konzentriert sich auf die allgemeine Informationssicherheit. Die ISO/IEC 42001 geht jedoch spezifisch auf die einzigartigen Risiken von KI ein, wie zum Beispiel algorithmische Voreingenommenheit (Bias), mangelnde Erklärbarkeit (Black-Box-Problematik) und die Qualität der Trainingsdaten. Sie ergänzt die ISO/IEC 27001 perfekt und nutzt die gleiche Grundstruktur (HLS).

Hilft die ISO 42001 bei der Einhaltung des EU AI Acts?

Ja, massgeblich. Die Norm wurde eng mit Blick auf kommende Regulierungen wie den EU AI Act entwickelt. Unternehmen, die nach ISO/IEC 42001 zertifiziert sind, verfügen bereits über die notwendigen Prozesse (wie die KI-Folgenabschätzung), die vom Gesetzgeber gefordert werden. Das spart Zeit und Kosten bei der Rechtskonformität.

Was ist eine KI-Folgenabschätzung (AI Impact Assessment)?

Dies ist eine Kernanforderung der Norm. Dabei untersuchen Sie systematisch, welche Auswirkungen Ihr KI-System auf Einzelpersonen, die Gesellschaft und die Umwelt haben könnte. Es geht darum, potenzielle Schäden oder Diskriminierungen frühzeitig zu erkennen und entsprechende Schutzmassnahmen zu treffen.

Gilt die Norm auch für Unternehmen, die KI nur nutzen (statt selbst zu entwickeln)?

Absolut. Die Norm unterscheidet zwischen KI-Anbietern und KI-Anwendern. Auch wenn Sie „nur“ fertige KI-Lösungen von Drittanbietern einsetzen, müssen Sie sicherstellen, dass diese sicher und ethisch korrekt in Ihre Geschäftsprozesse integriert sind. Die ISO 42001 hilft Ihnen dabei, die richtigen Anforderungen an Ihre Zulieferer zu stellen.

Wie geht die Norm mit Risiken wie „Halluzinationen“ von KI um?

Die ISO/IEC 42001 fordert spezifische Kontrollmassnahmen für die Robustheit und Zuverlässigkeit von KI-Systemen. Dazu gehören regelmässiges Monitoring der Ausgaben, Validierungsprozesse und die Sicherstellung menschlicher Aufsicht (Human Oversight), um Fehlentscheidungen durch KI-Halluzinationen abzufangen.

Ist die ISO/IEC 42001 für Schweizer KMU bereits relevant?

Da viele Schweizer Unternehmen eng mit dem EU-Markt verflochten sind, wird die ISO/IEC 42001 schnell zum De-facto-Standard für die Zusammenarbeit werden. Zudem hilft sie, die Anforderungen des Schweizer Datenschutzgesetzes (DSG) im Kontext von automatisierter Datenverarbeitung strukturiert umzusetzen.

Wie läuft die Zertifizierung ab?

Der Prozess ähnelt anderen ISO-Normen: Nach der Implementierung des Managementsystems erfolgt ein internes Audit. Anschliessend prüft eine akkreditierte Zertifizierungsstelle (wie die SQS oder andere) in zwei Stufen (Dokumentenprüfung und Vor-Ort-Audit), ob alle Anforderungen der Norm und des Anhangs A erfüllt sind.