ISO/IEC 42001 vs. EU-KI-Verordnung Artikel 9 RMS: Deckt die Zertifizierung die Verordnung?

Veröffentlicht von EKM Global Consulting GmbH · Baden-Baden · Aktualisiert Mai 2026

Meta-Beschreibung: Die ISO/IEC 42001:2023-Zertifizierung deckt etwa 70 % eines nach Artikel 9 konformen Risikomanagementsystems ab, ist jedoch keine formal harmonisierte Norm im Sinne des EU-KI-Gesetzes. Dieser Artikel bildet alle relevanten Klauseln ab und benennt die spezifischen Lücken, die ein Anbieter eines Hochrisiko-KI-Systems vor der Nutzung als Compliance-Grundlage schließen muss.

Kurzübersicht

Frage	Antwort
Ist ISO 42001 mit Artikel 9 des KI-Gesetzes inhaltlich kompatibel?	Substanziell ja — der iterative KI-Risikomanagementzyklus, die Dokumentationsdisziplin und die Lebenszyklus-Orientierung spiegeln die Anforderungen von Artikel 9 eng wider.
Ist die ISO-42001-Zertifizierung ein Nachweis der Konformität mit Artikel 9?	Nein. Stand Mai 2026 handelt es sich nicht um eine formal harmonisierte Norm gemäß Artikel 40 des KI-Gesetzes, und es wurde kein Durchführungsrechtsakt erlassen, der eine Konformitätsvermutung gewährt.
Wie viel Prozent der Anforderungen aus Artikel 9 werden abgedeckt?	Ungefähr 70 %. Die Lücken betreffen vor allem die KI-gesetz-spezifischen Pflichten gegenüber vulnerablen Personen und Kindern, die technische Dokumentation nach Anhang IV sowie Auslöser für die Konformitätsbewertung.
Kann die Norm als operative Grundlage dienen?	Ja — und sie stellt die effizienteste verfügbare Ausgangsbasis dar, wenn Ihre Organisation bereits zertifiziert ist oder ein KI-Managementsystem von Grund auf aufbaut.
Welche Rolle spielt ISO/IEC 23894:2023?	Sie bietet eine engere textliche Übereinstimmung mit dem KI-Risikomanagement-Vokabular aus Artikel 9, hat jedoch denselben Harmonisierungsstatus: noch nicht formal nach Artikel 40 anerkannt.

Inhaltsverzeichnis

Was ISO/IEC 42001:2023 ist
Was Artikel 9 des EU-KI-Gesetzes verlangt
Klausel-für-Klausel-Mapping-Tabelle
Wo ISO 42001 und Artikel 9 übereinstimmen
Wo ISO 42001 hinter Artikel 9 zurückbleibt
Welche Rolle ISO/IEC 23894:2023 spielt
Handlungsempfehlungen für Compliance-Verantwortliche
DACH-spezifische Hinweise
Nächste Schritte mit EKM Global Consulting GmbH

1. Was ISO/IEC 42001:2023 ist

ISO/IEC 42001:2023, Information technology — Artificial intelligence — Management system, ist die erste international anerkannte Managementsystem-Norm, die speziell für Organisationen konzipiert wurde, die KI-Systeme entwickeln, bereitstellen oder einsetzen. Sie wurde im Dezember 2023 von ISO/IEC JTC 1/SC 42 veröffentlicht und folgt der Annex-SL-Hochstruktur (High Level Structure, HLS), die auch ISO/IEC 27001:2022, ISO 9001:2015 und alle modernen Managementsystem-Normen teilen. Diese strukturelle Übereinstimmung ermöglicht Organisationen, die bereits über eine ISO-27001- oder ISO-9001-Zertifizierung verfügen, eine Integration von ISO 42001 in ihr bestehendes Managementsystem mit deutlich reduziertem Doppelaufwand.

Die Norm basiert auf dem Plan-Do-Check-Act-Zyklus (PDCA) und umfasst:

Organisationskontext und Anwendungsbereichsfestlegung (Abschnitt 4)
Führung, Richtlinie und Rollenzuweisung (Abschnitt 5)
Planung, Risiko- und Chancenmanagement sowie KI-spezifische Folgenabschätzung (Abschnitt 6)
Unterstützungsanforderungen einschließlich Kompetenz, Bewusstsein und Dokumentation (Abschnitt 7)
Operative Planung und Steuerung, einschließlich Folgenabschätzung für KI-Systeme (Abschnitt 8)
Leistungsbewertung, internes Audit und Managementbewertung (Abschnitt 9)
Kontinuierliche Verbesserung und Nichtkonformitätsmanagement (Abschnitt 10)
Anhang A (normativ) mit 38 Maßnahmen über 9 Maßnahmenziele zu Richtlinien, interner Organisation, Ressourcen für KI-Systeme, Folgenabschätzung, KI-Systemlebenszyklus, verantwortungsvoller KI, Drittparteien-Beziehungen und Daten für KI

Die Zertifizierung wird von akkreditierten Konformitätsbewertungsstellen nach einer Auditierung gegen die Normanforderungen erteilt. Sie ist freiwillig. Es besteht keine Branchenpflicht oder gesetzliche Verpflichtung zur ISO-42001-Zertifizierung — auch nicht nach dem EU-KI-Gesetz.

2. Was Artikel 9 des EU-KI-Gesetzes verlangt

Artikel 9 der Verordnung (EU) 2024/1689 (KI-Gesetz) schreibt Anbietern von Hochrisiko-KI-Systemen (gemäß Klassifikation in Anhang III und Artikel 6) ein verbindliches Risikomanagementsystem vor. Eine detaillierte Behandlung der operativen Anforderungen bietet der Praxisleitfaden zum Risikomanagementsystem nach Artikel 9.

Zusammengefasst verlangt Artikel 9 einen dokumentierten, iterativen KI-Risikomanagementprozess über den gesamten Lebenszyklus eines Hochrisiko-KI-Systems hinweg. Die vier operativen Pflichten lauten:

Artikel 9(2): Identifizierung und Analyse bekannter und vernünftigerweise vorhersehbarer Risiken für Gesundheit, Sicherheit oder Grundrechte; Schätzung und Bewertung von Risiken, die sich aus dem bestimmungsgemäßen Zweck oder vernünftigerweise vorhersehbarer Fehlanwendung ergeben können.
Artikel 9(4): Ergreifung geeigneter KI-Risikomanagement-Maßnahmen unter gebührender Berücksichtigung des Stands der Technik.
Artikel 9(5) und (6): Beseitigung oder Reduzierung von Risiken durch Design und Entwicklung; Umsetzung angemessener Minderungs- und Kontrollmaßnahmen; Bereitstellung von Informationen gemäß Artikel 13; Schulungsmaßnahmen, wenn Restrisiken akzeptiert werden.
Artikel 9(7), (8) und (9): Tests zur Verifizierung der Risikomanagementsystem-Maßnahmen; spezifische Pflichten bezüglich Risiken für Personen vulnerabler Gruppen einschließlich Kindern; Pflichten zur Überprüfung und Aktualisierung des Risikomanagementsystems.

Das Risikomanagementsystem muss dokumentiert werden (Artikel 17), seine Ergebnisse müssen in die technische Dokumentation nach Anhang IV einfließen, und seine Angemessenheit wird im Rahmen der Konformitätsbewertung nach Artikel 43 bewertet. Wesentliche Änderungen an einem Hochrisiko-KI-System lösen eine Überprüfung des Risikomanagementsystems nach Artikel 43(4) aus.

3. Klausel-für-Klausel-Mapping-Tabelle

Die nachstehende Tabelle ordnet ISO-42001-Abschnitte und Anhang-A-Maßnahmen den spezifischen Teilabsätzen von Artikel 9 zu. Die Bewertungen der Abdeckung spiegeln die sachliche Überschneidung der Prozessanforderungen wider; sie implizieren nicht, dass eine ISO-42001-Zertifizierung rechtlich als Konformitätsnachweis für die zugeordnete Artikel-9-Pflicht gilt.

ISO/IEC 42001:2023 Referenz	Artikel-9-Teilabsatz	Abdeckung	Anmerkungen
Abschnitt 6.1 — Risiko- und Chancenbewertung	Art. 9(2)(a)–(b): Risikoidentifikation und -analyse	Substanziell	ISO 42001 verlangt die Risikoidentifikation über die Folgenabschätzung des KI-Systems; das Vokabular weicht von Art. 9s Gesundheits-/Sicherheits-/Grundrechtsrahmen ab
Abschnitt 6.2 — Folgenabschätzung für KI-Systeme	Art. 9(2)(c)–(d): Risikoschätzung und -bewertung	Substanziell	Die Folgenabschätzung muss in Art.-9-Begriffe umformuliert werden; ISO 42001 schreibt keine Grundrechts-Folgenabschätzung standardmäßig vor
Abschnitt 8.4 — Betrieb und Monitoring von KI-Systemen	Art. 9(4): KI-Risikomanagement-Maßnahmen	Moderat	ISO 42001 deckt operative Kontrollen ab; Art. 9(4) verlangt zusätzlich explizit die Berücksichtigung des Stands der Technik
Anhang A, A.6 — Lebenszyklus von KI-Systemen	Art. 9(5): lebenszyklusbezogene Risikobehandlung	Substanziell	Beide erfordern iterative Behandlung über Entwicklung, Betrieb und Außerbetriebnahme
Anhang A, A.2.2 — Interne Verantwortlichkeiten für KI	Art. 9(5): designbasierte Risikominderung	Moderat	ISO 42001 weist Verantwortlichkeiten zu; Art. 9(5) gibt die Beseitigung auf Designebene vor anderen Maßnahmen vor
Anhang A, A.8 — Daten für KI-Systeme	Art. 9(6): Daten-Governance und Trainingsdaten-Kontrollen	Substanziell	Starke Übereinstimmung; ISO-42001-Anhang A.8 deckt Datenqualität, Herkunft und Bias ab
Abschnitt 9.1 — Leistungsbewertung	Art. 9(7): Testpflichten	Substanziell	ISO 42001 schreibt Leistungsmonitoring vor; Art. 9(7) ergänzt Vormarkttestanforderungen spezifisch für Hochrisiko-KI
Abschnitt 9.3 — Managementbewertung	Art. 9(9): Systemaktualisierung und -überprüfung	Substanziell	Der Managementbewertungsrhythmus entspricht der periodischen Aktualisierungspflicht aus Art. 9(9)
Anhang A, A.9 — Drittparteien- und Lieferantenbeziehungen	Art. 9(4) i. V. m. Art. 25: Lieferkettenrisiko	Moderat	ISO 42001 adressiert Lieferantenpflichten; Art. 9 i. V. m. Art. 25 schreibt die spezifische Verantwortungsteilung zwischen Anbieter und Betreiber vor
Abschnitt 7.5 — Dokumentierte Informationen	Art. 9 i. V. m. Art. 11/17: Dokumentationsanforderungen	Substanziell	ISO 42001 verlangt dokumentierte Informationen; diese müssen erweitert werden, um die Anforderungen der technischen Dokumentation nach Anhang IV zu erfüllen
Anhang A, A.4 — Folgenabschätzungsprozess für KI-Systeme	Art. 9(2): KI-Risikobewertungsprozess	Moderat	Prozedurale Übereinstimmung ist stark; Art. 9 verlangt zusätzlich eine Grundrechtsperspektive, die in ISO 42001 standardmäßig nicht enthalten ist

Eine vollständige Behandlung der Teilabsatz-Anforderungen von Artikel 9 finden Sie im Praxisleitfaden zum Risikomanagementsystem nach Artikel 9.

4. Wo ISO 42001 und Artikel 9 übereinstimmen

KI-Risikomanagementprozess und iterativer Zyklus. Sowohl ISO 42001 als auch Artikel 9 verlangen einen iterativen, dokumentierten KI-Risikomanagementprozess, der an den gesamten Lebenszyklus des KI-Systems geknüpft ist. Die PDCA-Struktur von ISO 42001 entspricht natürlicherweise der Anforderung aus Artikel 9, dass das Risikomanagementsystem mit der Weiterentwicklung des KI-Systems aktualisiert werden muss.

Lebenszyklus-Orientierung. Anhang A, A.6 von ISO 42001 adressiert den Lebenszyklus von KI-Systemen von der Konzeption bis zur Außerbetriebnahme — denselben Umfang, den die Lebenszyklusverpflichtung aus Artikel 9 einfordert. Organisationen, die A.6-Maßnahmen implementiert haben, haben den Lebenszyklus-Rahmen adressiert, den Artikel 9 verlangt.

Überschneidung bei der Daten-Governance. ISO-42001-Anhang A.8 — der Datenqualität, Kennzeichnung und Bias abdeckt — korrespondiert direkt mit den datenbezogenen Risikokontrollen, die Artikel 9(6) für Hochrisiko-KI-Systeme erwartet, insbesondere in Bezug auf Trainings-, Validierungs- und Testdatensätze.

Dokumentationsdisziplin. Abschnitt 7.5 von ISO 42001 verlangt dokumentierte Informationen für alle Managementsystem-Prozesse. Diese Disziplin ist eine Voraussetzung für die Erstellung der technischen Dokumentation nach Anhang IV, die Artikel 11 und Artikel 17 verlangen — auch wenn ISO 42001 die Inhaltsstruktur von Anhang IV nicht vorgibt.

Managementbewertung als periodische Aktualisierung. Die Managementbewertungspflicht aus Abschnitt 9.3 schafft den Governance-Rhythmus, den Artikel 9(9) für die periodische Überprüfung und Aktualisierung des Risikomanagementsystems nach der Inbetriebnahme erwartet.

5. Wo ISO 42001 hinter Artikel 9 zurückbleibt

Artikel 9(8): spezifische Behandlung vulnerabler Personen. Artikel 9(8) verlangt von Anbietern, Risiken für Personen, die aufgrund ihres Alters, einer Behinderung oder ihrer sozioökonomischen Lage zu vulnerablen Gruppen gehören, besondere Aufmerksamkeit zu widmen. ISO 42001 enthält keine gleichwertige spezifische Pflicht. Organisationen, die sich ausschließlich auf ISO 42001 stützen, müssen eine ergänzende Maßnahme einführen, die diese bevölkerungsspezifische Risikodimension explizit adressiert.

Artikel 9(9): spezifische Behandlung von Kindern. Artikel 9(9) nennt Kinder gesondert als besonders zu schützende Gruppe, die eine eigene Risikobeurteilung erfordert. Diese Anforderung fehlt im Maßnahmenset von ISO 42001 und muss explizit ergänzt werden.

Integration in die technische Dokumentation nach Anhang IV. Die Ergebnisse des KI-Risikomanagements nach Artikel 9 müssen in der technischen Dokumentation nach Anhang IV abgebildet sein (gemäß Artikel 9 und 11 in Verbindung). Die Anforderungen an dokumentierte Informationen in ISO 42001 sind nicht auf die Struktur von Anhang IV ausgerichtet. Eine dokumentierte Zuordnungsübung ist erforderlich, um die Ergebnisse des KI-Risikomanagements in das Anhang-IV-Dossier einzupflegen.

Konformitätsbewertung nach Artikel 43 und Artikel 43(4). Die Angemessenheit eines Risikomanagementsystems nach Artikel 9 wird im Rahmen der Konformitätsbewertung nach Artikel 43 beurteilt. Eine ISO-42001-Zertifizierung stellt keine Konformitätsbewertung dar, ersetzt diese nicht und trägt auch keine Verfahrensanerkennung dazu bei. Organisationen müssen sicherstellen, dass ihre KI-Risikomanagement-Dokumentation der notifizierten Stelle oder dem Selbstbewertungsverfahren in der vom KI-Gesetz geforderten Form zugänglich ist. Eine detaillierte Behandlung der Konformitätsbewertung bietet der Leitfaden zur Konformitätsbewertung und zu den Anhängen VI und VII.

Auslöser für wesentliche Änderungen. Artikel 43(4) schreibt vor, dass eine wesentliche Änderung an einem Hochrisiko-KI-System eine neue oder überarbeitete Konformitätsbewertung auslöst, was wiederum ein aktualisiertes Risikomanagementsystem erfordert. ISO 42001 enthält keine Maßnahme, die explizit an die Auslöser für wesentliche Änderungen im Sinne des KI-Gesetzes geknüpft ist. Dies muss durch ein ergänzendes Verfahren adressiert werden.

Grundrechts-Rahmung der Folgenabschätzung. Artikel 9(2) stellt klar, dass die Risikoanalyse Risiken für Gesundheit, Sicherheit und Grundrechte adressieren muss. Die Folgenabschätzung von ISO 42001 (Anhang A.4) ist nicht um den Grundrechtsbegriff herum konzipiert. Organisationen müssen sicherstellen, dass ihre Risikoidentifikations- und -bewertungsprozesse Grundrechtserwägungen explizit einbeziehen, wie die operativen Pflichten aus Artikel 9 es verlangen.

6. Welche Rolle ISO/IEC 23894:2023 spielt

ISO/IEC 23894:2023, Information technology — Artificial intelligence — Guidance on risk management, ist eine Begleitnorm zu ISO 42001 und bietet wesentlich granularere Anleitungen zu KI-Risikomanagementprozessen für KI-Systeme. Ihr KI-Risikomanagement-Vokabular — einschließlich Risikoquellen, Risikobehandlung, Restrisiko und Risikokommunikation — entspricht der Sprache von Artikel 9 erheblich direkter als der KI-Managementsystem-Rahmen von ISO 42001.

Organisationen, die ISO 23894 als operative Methodik zur Untermauerung ihres ISO-42001-KI-Risikomanagementprozesses implementieren, werden feststellen, dass die textliche Übereinstimmung mit Artikel 9 deutlich enger ist. ISO 23894 ist jedoch eine Leitnorm und unterstützt keine Drittpartei-Zertifizierung.

Es ist entscheidend festzustellen: Stand Mai 2026 wurde weder ISO/IEC 42001:2023 noch ISO/IEC 23894:2023 formal nach dem EU-KI-Gesetz gemäß Artikel 40 harmonisiert. Die Europäische Kommission hat Beiträge von Normungsorganisationen und Industrieakteuren erhalten, die die Anerkennung oder Vorschreibung dieser Normen in Durchführungsrechtsakten befürworten, doch ein solcher Rechtsakt wurde bislang nicht erlassen. Solange keine Harmonisierungsentscheidung im Amtsblatt der Europäischen Union veröffentlicht wird, gewährt keine der Normen eine Konformitätsvermutung bezüglich Artikel 9 oder einer anderen Anforderung des KI-Gesetzes. Compliance-Verantwortliche sollten die Normungsarbeit von CEN/CENELEC, insbesondere in JTC 21, auf Entwicklungen zur Harmonisierung hin beobachten.

7. Handlungsempfehlungen für Compliance-Verantwortliche

Wenn Ihre Organisation bereits über eine ISO-42001-Zertifizierung verfügt:

Sie haben etwa 70 % eines nach Artikel 9 konformen Risikomanagementsystems in operationeller Form. Die verbleibende Arbeit ist kein Neuaufbau — es handelt sich um eine gezielte Lückenschließung. Die folgenden Schritte werden empfohlen:

Ordnen Sie Ihr bestehendes ISO-42001-Risikoregister und die Ergebnisse der Folgenabschätzung der Teilabsatzstruktur von Artikel 9 zu, wobei die Tabelle in Abschnitt 3 als Ausgangspunkt dient. Dokumentieren Sie die Zuordnung explizit in Ihrem Managementsystem.
Ergänzen Sie ein Verfahren, das die vulnerablen Personen nach Artikel 9(8) und Kinder nach Artikel 9(9) adressiert. Dies kann als eigener Abschnitt in Ihrer bestehenden Vorlage für die KI-System-Folgenabschätzung implementiert werden.
Führen Sie eine Grundrechtsperspektive in Ihre KI-Risikoidentifizierungsmethodik ein. Für Hochrisiko-KI-Systeme, die unter Anhang III fallen, sollte eine Grundrechts-Folgenabschätzung entsprechend Artikel 9(2) als Teil des Planungsprozesses nach Abschnitt 6 durchgeführt werden.
Erstellen Sie eine Rückverfolgbarkeitsmatrix, die Ihre KI-Risikomanagement-Dokumentation mit der Struktur der technischen Dokumentation nach Anhang IV verbindet. Dies ist eine Dokumentationsdisziplinübung und keine inhaltliche Compliance-Lücke.
Ergänzen Sie ein dokumentiertes Verfahren zur Beurteilung wesentlicher Änderungen, das ausgelöst wird, wenn eine Änderung am KI-System die Definition einer wesentlichen Änderung im Sinne des KI-Gesetzes erfüllen könnte.
Stellen Sie sicher, dass Ihre Managementsystem-Dokumentation in dem Format zugänglich und lesbar ist, das die Konformitätsbewertung nach Artikel 43 und den Anhängen VI/VII erfordert.

Wenn Ihre Organisation noch keine ISO-42001-Zertifizierung besitzt:

Eine direkte Implementierung der Konformität mit Artikel 9 — unter Verwendung von ISO 23894:2023 als KI-Risikomanagement-Methodik und der Managementsystemstruktur von ISO 42001 als Governance-Rahmen — ist ein praktikabler und effizienter Weg. Die gleichzeitige Verfolgung einer ISO-42001-Zertifizierung demonstriert Managementsystem-Reife und signalisiert organisatorisches Engagement für KI-Governance, was für Unternehmenseinkauf und öffentliche Ausschreibungen im DACH-Raum zunehmend relevant ist.

8. DACH-spezifische Hinweise

DAkkS-akkreditierte Zertifizierungsstellen. In Deutschland werden ISO-42001-Zertifizierungsaudits von Stellen durchgeführt, die von der Deutschen Akkreditierungsstelle (DAkkS) akkreditiert sind. Stand 2026 haben mehrere DAkkS-akkreditierte Managementsystem-Zertifizierungsstellen ihren Anwendungsbereich auf ISO 42001 ausgeweitet. Organisationen mit Sitz in Deutschland, Österreich oder der Schweiz sollten sicherstellen, dass ihre potenzielle Zertifizierungsstelle eine DAkkS-Akkreditierung besitzt (oder die gleichwertige nationale Stelle in Österreich und der Schweiz: BMK/Akkreditierung Austria bzw. SAS) und nachweisliche Kompetenz im KI-System-Auditing — nicht nur im Managementsystem-Auditing — mitbringt.

BSI C5 und KI-Risikokontrollen. Der Cloud Computing Compliance Criteria Catalogue (C5) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) adressiert Cloud-Infrastruktur-Sicherheitskontrollen, die häufig für auf Cloud-Infrastruktur betriebene KI-Systeme relevant sind. BSI C5 ist kein KI-spezifischer Rahmen, aber seine Kontrollen für Verfügbarkeit, Integrität und Zugriffsverwaltung ergänzen die operativen Sicherheitskontrollen, die ein Risikomanagementsystem nach Artikel 9 für KI-Systeme in Cloud-Deployments adressieren sollte. Organisationen, die bereits BSI-C5-konform sind, werden feststellen, dass ein Teil ihrer Infrastruktur-Sicherheitsnachweise in ihrer ISO-42001-Maßnahmendokumentation wiederverwendbar ist.

BSI-Leitlinien zu KI-Managementsystemen. Das BSI hat technische Leitlinien und Positionspapiere zur KI-Sicherheit und zum KI-Management veröffentlicht, darunter Material, das auf ISO/IEC-JTC-1/SC-42-Normen verweist. Compliance-Verantwortliche in Deutschland sollten BSI-KI-Sicherheitspublikationen auf Leitlinien hin verfolgen, die die KI-Risikomanagementanforderungen des KI-Gesetzes auf nationaler Implementierungsebene ergänzen oder kontextualisieren können.

BaFin-Kontext für den Finanzsektor. Für Finanzunternehmen im Aufsichtsbereich der BaFin überlagern sich die KI-Risikomanagementpflichten aus dem KI-Gesetz mit bestehenden Erwartungen zum Modellrisikomanagement. Ein ISO-42001-basiertes Managementsystem, das explizit auf die Pflichten aus Artikel 9 abgebildet ist, liefert einen vertretbaren Prüfpfad für regulatorische Prüfungen, die KI-Governance zunehmend neben dem klassischen Modellrisiko adressieren.

9. Nächste Schritte mit EKM Global Consulting GmbH

EKM Global Consulting GmbH berät Unternehmen aus regulierten Branchen und Technologieorganisationen im DACH-Raum zu EU-KI-Gesetz-Konformität, einschließlich der Konzeption von Risikomanagementsystemen nach Artikel 9, ISO-42001-Gap-Analysen und der Strukturierung der technischen Dokumentation nach Anhang IV.

Wenn Sie Ihre aktuelle ISO-42001-Position gegenüber Artikel 9 evaluieren, bietet der EU AI Act Quick Scan unter app.ekmgc.de eine kostenlose erste Scoping-Beurteilung.

Für Organisationen, die eine strukturierte Gap-Analyse und eine Implementierungs-Roadmap benötigen, sind Beratungsleistungen unter ekmgc.de/eu-ai-act.html beschrieben.

Häufig gestellte Fragen

Verschafft uns eine ISO-42001-Zertifizierung eine Konformitätsvermutung gegenüber dem EU-KI-Gesetz?

Nein. Eine Konformitätsvermutung nach Artikel 40 des KI-Gesetzes entsteht ausschließlich aus harmonisierten Normen, die im Amtsblatt der Europäischen Union aufgeführt sind. Stand Mai 2026 wurde ISO/IEC 42001:2023 nicht unter dem KI-Gesetz harmonisiert, und es wurde kein Durchführungsrechtsakt erlassen, der ihr diesen Status verleiht. Die Zertifizierung demonstriert Managementsystem-Reife und bietet eine solide operative Ausgangsbasis, ersetzt jedoch keine Konformitätsbewertung nach dem KI-Gesetz.

Müssen wir nach Implementierung von ISO 42001 weiterhin eine Konformitätsbewertung nach Artikel 43 durchführen?

Ja. Für Hochrisiko-KI-Systeme, die Artikel 43 unterliegen, ist die Konformitätsbewertung unabhängig von gehaltenen Managementsystem-Zertifizierungen verpflichtend. Eine ISO-42001-Zertifizierung kann die Beweisgrundlage für die Konformitätsbewertung stärken — insbesondere hinsichtlich des KI-Risikomanagementprozesses — ersetzt jedoch das Konformitätsbewertungsverfahren nicht. Details zum Verfahren finden Sie im Leitfaden zur Konformitätsbewertung und zu den Anhängen VI und VII.

Ist ISO/IEC 23894:2023 für die Konformität mit Artikel 9 relevanter als ISO 42001?

ISO 23894 bietet eine engere textliche Übereinstimmung mit dem KI-Risikomanagement-Vokabular von Artikel 9 und ist besonders nützlich als methodische Ebene unter einem ISO-42001-Managementsystem. Sie ist jedoch ein Leitdokument und unterstützt keine Drittpartei-Zertifizierung. Für Organisationen, die sowohl methodische Übereinstimmung als auch zertifizierbare Governance-Reife anstreben, ist die Verwendung von ISO 23894 als operative Methodik innerhalb eines ISO-42001-Rahmens die empfohlene Kombination.

Wir sind Betreiber, kein Anbieter. Gilt Artikel 9 für uns?

Die Pflichten aus Artikel 9 gelten primär für Anbieter von Hochrisiko-KI-Systemen. Betreiber haben eigene Pflichten nach Artikel 26 und sind verpflichtet, Hochrisiko-KI-Systeme gemäß den Gebrauchsanweisungen einzusetzen und angemessene technische und organisatorische Maßnahmen zu implementieren. Betreiber, die ein Hochrisiko-KI-System wesentlich modifizieren, können jedoch Anbieterpflichten einschließlich der Pflichten aus Artikel 9 übernehmen. Der Praxisleitfaden zum Risikomanagementsystem nach Artikel 9 behandelt den Anbieter- und Betreiberanwendungsbereich ausführlich.

Wie lange dauert eine Gap-Bridging-Übung typischerweise für eine Organisation mit vorhandener ISO-42001-Implementierung?

Dies hängt von der Reife des bestehenden Managementsystems, der Anzahl und Komplexität der im Geltungsbereich befindlichen Hochrisiko-KI-Systeme und davon ab, ob die Organisation bereits über eine Grundrechts-Folgenabschätzungsmethodik verfügt. Für ein einzelnes Hochrisiko-KI-System mit einer gut dokumentierten ISO-42001-Implementierung kann eine strukturierte Gap-Analyse und Dokumentationsbereinigung typischerweise innerhalb von sechs bis zehn Wochen abgeschlossen werden. Organisationen mit mehreren Anhang-III-Systemen oder komplexen Lieferketten sollten mit einem längeren Engagement rechnen.

EKM Global Consulting GmbH — Baden-Baden, Deutschland. Gegründet Januar 2013. EU-KI-Gesetz-Beratung, TPRM und KI-Governance für regulierte Organisationen im DACH-Raum.

Gründer: Elshan Musayev

Schema.org-Markup-Empfehlung

Diese Seite sollte ein SchemaArticle (@type: "Article") mit den folgenden zusätzlichen Eigenschaften aufweisen:

{
  "@context": "https://schema.org",
  "@type": "Article",
  "headline": "ISO/IEC 42001:2023 vs. EU-KI-Gesetz Artikel 9 RMS — Deckt die Zertifizierung die Verordnung ab?",
  "description": "Die ISO/IEC-42001-Zertifizierung ist keine formal harmonisierte Norm gemäß dem EU-KI-Gesetz und stellt allein keinen Nachweis der Konformität mit Artikel 9 dar. Dieser Artikel bildet relevante Klauseln ab und benennt spezifische Lücken.",
  "inLanguage": "de",
  "author": {
    "@type": "Organization",
    "name": "EKM Global Consulting GmbH",
    "url": "https://ekmgc.de"
  },
  "publisher": {
    "@type": "Organization",
    "name": "EKM Global Consulting GmbH",
    "url": "https://ekmgc.de"
  },
  "dateModified": "2026-05-09",
  "about": [
    { "@type": "Thing", "name": "ISO/IEC 42001:2023" },
    { "@type": "Thing", "name": "EU-KI-Gesetz Artikel 9" },
    { "@type": "Thing", "name": "KI-Managementsystem" },
    { "@type": "Thing", "name": "Risikomanagementsystem" }
  ],
  "mentions": [
    { "@type": "Legislation", "name": "Verordnung (EU) 2024/1689", "alternateName": "EU-KI-Gesetz" },
    { "@type": "Standard", "name": "ISO/IEC 42001:2023" },
    { "@type": "Standard", "name": "ISO/IEC 23894:2023" }
  ]
}

ISO 42001 vs. Artikel 9 RMS.