- Published on
ISO 42001 Zertifizierung: Ablauf, Audits, Zeitplan
- Authors

- Name
- Tails Azimuth
ISO/IEC 42001:2023 ist der erste internationale Standard für ein AI Management System (AIMS) — und seit seiner Veröffentlichung die Referenznorm, an der sich KI-Governance messen lässt. Viele Organisationen haben inzwischen begonnen, ein AIMS aufzubauen. Die nächste Frage folgt fast zwangsläufig: Wie kommt man vom gelebten Managementsystem zum Zertifikat? Dieser Beitrag beschreibt den Zertifizierungsweg nüchtern und vollständig: Voraussetzungen, Auditablauf, Zyklus — und die realistische Einordnung, was ein Zertifikat leistet und was nicht.
Was die Zertifizierung leistet — und was nicht
Ein ISO-42001-Zertifikat bestätigt, dass eine akkreditierte, unabhängige Stelle das AI-Management-System einer Organisation geprüft und als normkonform bewertet hat. Das ist ein starkes Signal: gegenüber Kunden, die Vendor-Assessments durchführen, gegenüber Aufsichtsbehörden, gegenüber Versicherern und im Vertrieb über die Rechtsräume DE, EU27-Rest, UK und CH hinweg.
Was das Zertifikat nicht ist: ein Freibrief. Es bestätigt weder die Rechtskonformität einzelner KI-Systeme mit dem EU AI Act noch garantiert es fehlerfreien Betrieb. Die Verordnung (EU) 2024/1689 kennt in Artikel 17 die Pflicht zum Qualitätsmanagementsystem für Provider von Hochrisiko-KI, und harmonisierte Normen können eine Konformitätsvermutung für die von ihnen abgedeckten Anforderungen begründen — aber die Verantwortung für das einzelne System bleibt bei der Organisation. Wer die Zertifizierung als Endpunkt versteht, verwechselt Form mit Substanz. Richtig eingeordnet ist sie ein Meilenstein auf dem Weg zu nachweisbarem, audit-fähigem KI-Trust — nicht dessen Abschluss.
Voraussetzungen: Was vor dem Audit stehen muss
Zertifizierungsreife entsteht nicht im Audit, sondern in den Monaten davor. Vier Dinge müssen belastbar vorhanden sein, bevor eine Zertifizierungsstelle sinnvoll beauftragt wird.
Erstens ein definierter Geltungsbereich (Scope): Welche Organisationseinheiten, Standorte und KI-Systeme deckt das AIMS ab? Ein zu eng geschnittener Scope entwertet das Zertifikat, ein zu weiter überfordert die Organisation im ersten Zyklus.
Zweitens die dokumentierte Systematik entlang der Harmonized Structure der Norm (Klauseln 4 bis 10): Kontext, Führung, Planung, Unterstützung, Betrieb, Bewertung, Verbesserung — plus die risikobasierte Auswahl der Annex-A-Maßnahmen, begründet in einer Statement of Applicability. Der Auditor prüft nicht, ob alle Maßnahmen umgesetzt sind, sondern ob Auswahl und Ausschluss nachvollziehbar aus der Risikobewertung folgen.
Drittens gelebte Praxis mit Evidenz: Ein Managementsystem, das nur auf Papier existiert, fällt in der zweiten Auditstufe zuverlässig auf. Aufzeichnungen aus dem Betrieb — Risikobewertungen, Impact Assessments, Lieferantenprüfungen, Incident-Protokolle — müssen über einen belastbaren Zeitraum vorliegen.
Viertens der interne Prüfzyklus: Mindestens ein vollständiges internes Audit und ein Management-Review müssen vor dem Zertifizierungsaudit durchlaufen sein. Beides sind Normanforderungen, und beide sind zugleich die beste Generalprobe.
Der Ablauf: Stage 1, Stage 2, Überwachungszyklus
Die Zertifizierung folgt dem etablierten Verfahren für Managementsystem-Zertifizierungen durch akkreditierte Stellen. Für die Auditierung von AI-Management-Systemen definiert ergänzend ISO/IEC 42006 die Anforderungen an die Zertifizierungsstellen selbst — bei der Auswahl des Anbieters lohnt der Blick, ob die Stelle für ISO 42001 akkreditiert ist und nicht nur „Prüfungen anbietet".
Das Verfahren gliedert sich in zwei Stufen. Das Stage-1-Audit ist im Kern eine Bereitschaftsprüfung: Die Zertifizierungsstelle sichtet die Dokumentation, prüft Scope, Statement of Applicability, interne Audits und Management-Review und bewertet, ob die Organisation für die Hauptprüfung bereit ist. Festgestellte Lücken können vor Stage 2 geschlossen werden — genau dafür ist die Stufe da.
Das Stage-2-Audit prüft die Umsetzung in der Praxis: Interviews mit Verantwortlichen, Stichproben in Prozessen und Aufzeichnungen, Nachvollzug einzelner KI-Systeme entlang ihres Lebenszyklus. Abweichungen werden klassifiziert; wesentliche Abweichungen müssen mit Korrekturmaßnahmen behoben werden, bevor das Zertifikat erteilt wird.
Mit der Erteilung beginnt der Drei-Jahres-Zyklus: jährliche Überwachungsaudits mit reduziertem Umfang, nach drei Jahren die Re-Zertifizierung mit vollständiger Prüfung. Dieser Rhythmus ist bewusst so gebaut — er erzwingt, dass das AIMS zwischen den Terminen weiterlebt, statt vor jedem Audit reanimiert zu werden.
Zertifikat und Reife sind zwei verschiedene Aussagen
Ein Zertifikat ist binär: erteilt oder nicht. Die Reife eines AIMS ist es nicht. Zwei zertifizierte Organisationen können in der Praxis Welten trennen — die eine erfüllt die Norm auf dem Niveau dokumentierter, aber projektabhängiger Prozesse, die andere steuert ihre KI-Governance mit Metriken, Schwellwerten und kontinuierlicher Verbesserung. Das AIMS-Reifegradmodell (ISO 42001 × CMMI v3) macht diesen Unterschied messbar: Es bewertet jeden Kontrollbereich entlang der fünf CMMI-Reifegrade statt nur als vorhanden oder fehlend.
Für die Zertifizierungsentscheidung heißt das: Wer das Audit auf einem Reifegrad ansteuert, bei dem Prozesse unternehmensweit definiert und dokumentiert sind, geht mit deutlich geringerem Risiko in Stage 2 — und hat nach der Zertifizierung ein System, das die Überwachungsaudits ohne Sonderaufwand trägt. Das Zertifikat wird dann zum Nebenprodukt gelebter Reife, nicht zum Kraftakt.
Zeitplanung bis zum 02.12.2027
Mit dem Enforcement des EU AI Act zum 02.12.2027 (Digital Omnibus) bekommt der Zertifizierungszeitplan einen festen Fluchtpunkt. Rechnet man realistisch — Aufbau beziehungsweise Härtung des AIMS, mehrere Monate gelebte Praxis mit Evidenz, interner Auditzyklus, Vorlaufzeiten der Zertifizierungsstellen, Stage 1, Korrekturphase, Stage 2 —, dann liegt zwischen Projektstart und Zertifikat typischerweise ein Jahr oder mehr, abhängig von Ausgangslage und Scope.
Wer das Zertifikat vor dem Enforcement-Datum in Händen halten will, sollte den Weg deshalb jetzt beginnen und nicht 2027. Hinzu kommt ein praktischer Engpass: Die Zahl akkreditierter Zertifizierungsstellen für ISO 42001 wächst, aber die Nachfrage wächst schneller. Auditkapazität wird knapper, je näher der Stichtag rückt.
Der belastbarste Weg bleibt derselbe wie bei jedem Managementsystem: erst die Substanz — Scope, Risikobewertung, gelebte Maßnahmen, Evidenz —, dann die Bestätigung durch Dritte. In dieser Reihenfolge ist die Zertifizierung kein Stresstest, sondern ein Nachweis dessen, was ohnehin vorhanden ist: evidenzbasierter, nachweisbarer KI-Trust.
Mehr dazu, wie sich ein AIMS messbar und audit-ready aufbauen lässt: aegira.ai.