EU-KI-Verordnung und ISO/IEC 42001 Mapping
ISO/IEC 42001 wurde im Dezember 2023 veröffentlicht und ist der erste internationale Standard für KI-Managementsysteme. Er ist nicht rechtsverbindlich, deckt aber den Grossteil der EU-KI-Verordnung-Managementsystem-Anforderungen ab. Wer ein 42001-konformes Managementsystem aufbaut, hat 2026 die solideste Basis, um Konformitätsbewertungen effizient zu durchlaufen. Eine Konformitätsbewertung pro Hochrisiko-System ersetzt 42001 jedoch nicht.
Risikomanagement-System (Art. 9)
ISO 42001 Klausel 6 (Planung) und Anhang A.6 (Auswirkungen-Bewertung) decken Risiko-Identifikation, -Bewertung und -Behandlung. Ein nach 42001 etabliertes Risiko-Verfahren erfüllt Art. 9-Anforderungen weitgehend. Lücken liegen bei spezifischen Hochrisiko-Pflichten zur Test-Phase und Restrisiko-Bewertung.
Daten und Daten-Governance (Art. 10)
ISO 42001 Anhang A.7 (Daten für KI-Systeme) deckt Daten-Qualität, Repräsentativität, Trainings- und Validierungs-Daten. EU-KI-Verordnung Art. 10 ist konkreter zu Bias-Erkennung und Korrektur. Ergänzungs-Bedarf in der 42001-Implementierung pro Hochrisiko-System.
Technische Dokumentation (Art. 11)
ISO 42001 Klausel 7.5 (Dokumentierte Information) und Anhang A.8 deckt Dokumentations-Pflichten allgemein. Anhang IV der EU-KI-Verordnung listet zehn spezifische Themen-Felder, die in der 42001-Dokumentation als Pflicht-Inhalte aufgenommen werden müssen.
Aufzeichnungspflichten (Art. 12)
ISO 42001 Anhang A.9 (Verwaltung der Lebenszyklus-Aufzeichnungen) deckt Logging-Pflichten konzeptionell. EU-KI-Verordnung Art. 12 ist konkreter zu automatischen Logs während des Betriebs, Aufbewahrung mindestens sechs Monate, Zugriff für Aufsicht. Implementierung muss diese Konkretisierung leisten.
Transparenz und menschliche Aufsicht (Art. 13, 14)
ISO 42001 Anhang A.6 (Verantwortungs-Strukturen) und A.10 (Stakeholder-Information) decken Konzept. EU-KI-Verordnung Art. 13 verlangt spezifische Informationen für Betreiber, Art. 14 verlangt menschliche Aufsicht in Echtzeit-Betrieb. Implementierungs-Pflicht pro System.
Was 42001 nicht abdeckt
Konformitätsbewertung pro Hochrisiko-System (Anhang VI/VII). EU-Konformitätserklärung und CE-Kennzeichnung. Registrierung in der EU-Datenbank. Vorfall-Meldung an Marktüberwachung. Diese Anforderungen sind verordnungs-spezifisch und müssen zusätzlich zum 42001-Managementsystem umgesetzt werden.
Diese deutsche Fassung wird laufend ausgebaut. Für ein konkretes Projekt nutzen Sie bitte das Beratungsgespräch oder schreiben an info@ainora.lt.