ISO 42001

ISO 42001 in 90 Tagen: Realistisch oder Wunschdenken?

Ein ehrlicher Blick auf den Aufwand, die Kapitelstruktur, den Vergleich mit ISO 27001 — und was nach der Zertifizierung kommt.

Jonas Becher·10. Februar 2026·10 Min. Lesezeit

ISO 42001 ist der erste internationale Standard für KI-Managementsysteme. Er wurde im Dezember 2023 veröffentlicht und definiert Anforderungen für Organisationen, die KI entwickeln, einsetzen oder anderweitig nutzen. Die Frage, die uns Kunden regelmäßig stellen: Kann man in 90 Tagen wirklich compliant werden? Die ehrliche Antwort: Es kommt darauf an.

Was ISO 42001 wirklich verlangt — und was nicht

Zunächst eine wichtige Klarstellung: ISO 42001 ist ein Managementsystem-Standard, kein technischer Produktstandard. Ähnlich wie ISO 27001 für Informationssicherheit oder ISO 9001 für Qualitätsmanagement geht es nicht darum, dass Ihre KI-Systeme bestimmte technische Eigenschaften haben — sondern darum, dass Sie als Organisation einen strukturierten Prozess zur Steuerung Ihrer KI-Aktivitäten nachweisen können.

Die Kernkapitel des Standards:

  • Kapitel 4 – Kontext: Wer sind Ihre Stakeholder? Welche KI-Systeme betreiben Sie? Welche internen und externen Faktoren beeinflussen Ihr KI-Management?
  • Kapitel 5 – Führung: Commitment der Geschäftsleitung, definierte Rollen (AI Owner, Risk Owner), eine verabschiedete KI-Policy
  • Kapitel 6 – Planung: Risikobewertung und -behandlung für alle KI-Use-Cases, messbare KI-Ziele
  • Kapitel 7 – Unterstützung: Ressourcen, Kompetenzaufbau, Bewusstsein im Team, Dokumentenlenkung
  • Kapitel 8 – Betrieb: Operative Kontrollen, Beschaffungsprozesse für KI, Incident-Handling
  • Kapitel 9 – Leistungsbewertung: Monitoring, Messung, internes Audit, Management Review
  • Kapitel 10 – Verbesserung: Umgang mit Nichtkonformitäten, kontinuierliche Verbesserung

Dazu kommen die Annexe A und B: Annex A listet mögliche Kontrollen (ähnlich ISO 27001 Annex A), Annex B gibt Implementierungsguidance. Anders als bei ISO 27001 ist Annex A nicht verpflichtend — die Organisation wählt relevante Kontrollen nach Risikobewertung aus.

ISO 42001 vs. ISO 27001: Was Sie bereits haben, nutzen Sie

Wer bereits ISO 27001 zertifiziert ist, hat einen erheblichen Vorteil. Beide Standards teilen die High Level Structure (HLS) — das bedeutet: Kapitelstruktur, Begrifflichkeiten und viele Prozesse sind kompatibel. Konkret können Sie wiederverwenden:

  • Dokumentenlenkungsprozesse und Versionierungssysteme
  • Risk Assessment Methodologie (mit Anpassung auf KI-spezifische Risiken)
  • Internal Audit Prozess und Auditoren
  • Management Review Prozess
  • Kompetenzmanagement und Schulungsplanung
  • Incident Management (erweitert um KI-spezifische Incident-Typen)

Für ISO-27001-zertifizierte Unternehmen reduziert sich der Implementierungsaufwand für ISO 42001 um schätzungsweise 40–60%. Ein Add-on-Audit beim bestehenden Zertifizierer ist oft möglich.

Was in 90 Tagen realistisch ist

Für ein Unternehmen mit 20–100 Mitarbeitern, maximal 10 aktiven KI-Anwendungen und einem dedizierten Verantwortlichen ist ein auditfähiges System in 90 Tagen möglich. "Auditfähig" bedeutet: Sie könnten ein Stage-1-Audit bestehen. Die vollständige Zertifizierung (Stage 2 Audit + Zeugnis) dauert realistisch 4–6 Monate, da Zertifizierungsstellen Vorlaufzeiten haben.

Der 90-Tage-Plan im Detail:

  • Woche 1–2: Bestandsaufnahme und Gap-Analyse
    Welche KI-Systeme sind im Einsatz? Welche Dokumentation existiert bereits? Welche Risiken wurden bisher nicht bewertet? velaLoop übernimmt die Struktur des Use-Case-Inventars und kategorisiert automatisch nach EU AI Act und ISO 42001.
  • Woche 3–4: Policy-Framework
    KI-Policy, Rollen und Verantwortlichkeiten, Ziele für das KI-Management. velaLoop liefert ISO-42001-konforme Templates, die an Ihre Organisation angepasst werden. Wichtig: Die Geschäftsleitung muss die Policy aktiv verabschieden und kommunizieren.
  • Woche 5–8: Operative Prozesse
    Risk Assessment für alle Use Cases, Incident-Handling-Prozess, Beschaffungsleitlinien für neue KI-Tools, Schulungsmaßnahmen für das Team. Das ist die arbeitsintensivste Phase — und der Bereich, wo Unternehmen ohne Unterstützung oft stecken bleiben.
  • Woche 9–10: Implementierungsnachweis
    Prozesse nicht nur dokumentieren, sondern nachweislich einmal durchlaufen. Mindestens ein KI-Incident muss nach dem neuen Prozess behandelt worden sein. Mindestens eine Risikobewertung muss vollständig dokumentiert sein.
  • Woche 11–12: Internes Audit und Review
    Internes Audit aller Kapitel, Nichtkonformitäten identifizieren und beheben, Management Review durchführen und dokumentieren. Das Protokoll des Management Reviews ist ein zentrales Audit-Dokument.

Die häufigsten Stolpersteine

In der Praxis scheitern 90-Tage-Projekte oft an denselben Punkten:

  • Fehlendes Management-Commitment: ISO 42001 verlangt explizites Führungs-Engagement. Wenn die Geschäftsleitung das Thema delegiert und selbst nicht beteiligt ist, wird das Audit scheitern.
  • Unvollständiges Use-Case-Inventar: "Wir nutzen ChatGPT manchmal" reicht nicht. Jede systematische KI-Nutzung muss erfasst sein — auch die von einzelnen Mitarbeitern genutzte KI in Excel oder E-Mail.
  • Policy ohne Prozess: Ein schönes PDF-Dokument ist kein Managementsystem. Auditoren prüfen, ob Prozesse gelebt werden — nicht ob Dokumente existieren.
  • Vergessene kontinuierliche Verbesserung: ISO-Standards verlangen nicht Perfektion, sondern Lernfähigkeit. Wer keine Nichtkonformitäten gefunden hat, hat nicht ordentlich gesucht.

Was velaLoop konkret abnimmt

Der größte Zeitfresser bei ISO-42001-Projekten ist nicht das Verstehen des Standards — sondern die konsistente Dokumentation und das Nachhalten über Zeit. velaLoop automatisiert die administrativ aufwändigen Teile:

  • Use Case Registry: Strukturierte Erfassung aller KI-Systeme mit automatischem ISO-42001-Mapping und EU-AI-Act-Risikoeinstufung
  • Policy-as-Code: Policies sind nicht als PDF hinterlegt, sondern als versionierte, auditierbare Dokumente mit Änderungshistorie
  • Kontinuierliches Monitoring: velaLoop prüft automatisch, ob KI-Systeme innerhalb der definierten Risikoschwellen operieren
  • Audit-Trail: Alle Änderungen, Reviews, Genehmigungen und Incidents werden automatisch protokolliert — bereit für den Auditor
  • Metriken-Dashboard: Fortschritt der Implementierung, offene Maßnahmen und KI-Performance-KPIs auf einen Blick

Nach der Zertifizierung: Was kommt dann?

ISO-42001-Zertifikate werden für 3 Jahre ausgestellt, mit jährlichen Überwachungsaudits. Das bedeutet: Das System muss gelebt werden — kontinuierlich, nicht nur im Zertifizierungsjahr.

Die Zertifizierungsstellen prüfen in den Überwachungsaudits insbesondere:

  • Wurde das interne Audit planmäßig durchgeführt?
  • Hat ein Management Review stattgefunden?
  • Wurden Nichtkonformitäten aus dem letzten Audit behoben?
  • Gibt es neue KI-Use-Cases, die das Risk Assessment erweitern?

velaLoop ist für diesen Betriebsmodus konzipiert — nicht nur für die Zertifizierungsphase.

Ehrliches Fazit

90 Tage zur ISO-42001-Zertifizierungsreife — das ist ambitioniert, aber machbar für KMUs mit klarem Fokus und dem richtigen Support. Die Zertifizierungsurkunde selbst dauert etwas länger, weil externe Auditoren Vorlaufzeiten haben. Was in 90 Tagen definitiv erreichbar ist: ein auditfähiges, gelebtes KI-Managementsystem, das auch dem internen Audit standhält.

Ohne strukturierte Unterstützung dauert es deutlich länger — erfahrungsgemäß 6–18 Monate, wenn ein Unternehmen alles selbst erarbeitet. Mit velaLoop und unserer Beratung haben wir Unternehmen im KMU-Segment in diesem Zeitrahmen erfolgreich begleitet.

Interessiert? In einem 30-minütigen Erstgespräch analysieren wir Ihren aktuellen KI-Einsatz, bewerten den Gap zur ISO 42001 und zeigen Ihnen, was in Ihrer Organisation realistisch ist.

velaLoop in Ihrem Unternehmen einsetzen?

30 Minuten Erstgespräch. Konkreten Fahrplan mitnehmen.

Demo buchen →

velaLoop Plattform

Alles was KI-Governance braucht — in einem System.

Zur Plattform →

Use Case Registry

Alle KI-Anwendungen zentral erfassen, kategorisieren und mit Risikostufen versehen.

Incident Tracking

Incidents erfassen, Fallakten führen. DSGVO Art. 33 Meldepflicht im Workflow.

Policy-as-Code

Policies versioniert, nachverfolgbar und auditierbar — nicht als PDF abgelegt.

Micro Learning

KI-gestützte Lerneinheiten: Policies werden nicht nur dokumentiert — sie werden gelebt.

EU AI Act Ready

Risikoeinstufung, DSGVO-Check, ISO 42001 Klausel-Mapping mit Reifegrad.

Vibe Coding Check

KI-generierter Code sichtbar prüfen. Datenschutz und Sicherheit im Prozess.