Zurück zum Blog
KI & Automatisierung

ISO 42001 für KMU 2026: Das erste KI-Managementsystem

ISO/IEC 42001:2023 ist die erste ISO-Norm für ein KI-Management-System (AIMS) – veröffentlicht im Dezember 2023 und 2026 das De-facto-Framework für strukturierte KI-Governance. Sie folgt der bekannten Annex-SL-Struktur, dockt direkt an ISO 27001 an und liefert die Basis für EU-AI-Act-Compliance, ohne den AI Act eins-zu-eins zu ersetzen. Für Schweizer KMU, die KI produktiv einsetzen oder als B2B-Anbieter Vertrauen schaffen wollen, ist sie das richtige Werkzeug – wenn sie pragmatisch implementiert wird statt als zertifikats-getriebene Show.

Autor: Gian Marco Ma Mai 2026 13 Min. Lesezeit

Kurz vorweg: ISO 42001 ist freiwillig, aber zunehmend B2B-relevant. Die Norm hat 10 Kapitel (Annex SL HLS) und einen Annex A mit 38 Controls – plus Annex B mit Umsetzungs-Guidance und Annex C/D für Use-Case- und Lifecycle-Aspekte. Sie ergänzt ISO 27001 (Sicherheit) und ISO 9001 (Qualität), ist aber KEIN AI-Act-Konformitätsnachweis 1:1. Realistischer Aufwand für ein KMU: 4–6 Monate Implementierung, CHF 35\'000–80\'000 für Erst-Zertifizierung inklusive Audit. Wer ISO 27001 schon hat, spart 30–50 % durch Wiederverwendung von Controls.

Wer sollte zertifizieren?

1

KI-Anbieter (Provider)

Wer KI-Produkte entwickelt oder als SaaS anbietet, braucht Zertifizierung als Vertriebs- und Vertrauens-Argument – analog ISO 27001 im Cloud-Markt. Beschleunigt Enterprise-Sales massiv.

2

Hochrisiko-Anwender

Wer KI in HR (Recruiting-Screening), Kreditvergabe, medizinischen Triage-Tools oder kritischer Infrastruktur einsetzt. Hier zahlt sich ein dokumentiertes AIMS bei Audits und im Schadensfall aus.

3

B2B-Lieferanten

Auftraggeber (Banken, Versicherer, Pharma, öffentliche Hand) fordern in Ausschreibungen zunehmend KI-Governance-Nachweise. ISO 42001 wird hier 2026/2027 zum Lieferanten-Mindeststandard.

4

ISO-27001-Häuser

Bestehende ISMS-Inhaber können ISO 42001 als logische Erweiterung andocken. Viele Controls greifen ineinander, kombinierte Audits sparen Zeit und Geld.

5

Öffentliche Hand & FINMA-Umfeld

Regulierte Branchen (Finanz, Gesundheit, Verkehr) bekommen über FINMA-Rundschreiben, DORA und sektorale Vorgaben implizit Pflichten zu KI-Governance – ISO 42001 liefert die Struktur.

6

Nicht zwingend nötig

KMU ohne produktiven KI-Einsatz, ohne B2B-Ausschreibungen und ohne EU-Marktzugang. Aber: sobald GenAI im Alltag rollt (Copilot, ChatGPT Business), lohnt sich zumindest die Implementierung ohne Zertifikat.

Aufbau der Norm: HLS + Annex A

Kapitel 4–10 – High Level Structure

Identisch zu ISO 27001/9001: Kontext der Organisation, Führung, Planung, Unterstützung, Betrieb, Bewertung der Leistung, Verbesserung. Wer ISO 27001 kennt, findet sich sofort zurecht – die Management-System-Logik ist unverändert.

Annex A – 38 Controls

Normative Controls, geclustert: Policies & interne Organisation, Ressourcen für KI-Systeme, Wirkungsanalyse (Impact Assessment), KI-Lifecycle, Daten für KI, Information für Stakeholder, Verwendung von KI-Systemen, Lieferanten-Beziehungen. Vergleichbar zu Annex A in ISO 27001:2022.

Annex B – Umsetzungs-Guidance

Informativ, mit konkreten Hinweisen zur Implementierung jedes Annex-A-Controls. De facto der wichtigste Praxisteil für Implementierungs-Teams – hier stehen die Beispiele für Policies, Logging, Risikoanalysen.

Annex C – KI-bezogene Organisationsziele

Informative Beispiele für Ziele und Risiken, die ein AIMS berücksichtigen sollte: Fairness, Transparenz, Sicherheit, Datenqualität, Verantwortlichkeit, Robustheit. Nützlich für die Politik-Formulierung.

Annex D – Anwendung in Domänen

Hinweise zur Anwendung in spezifischen Sektoren (Gesundheit, Verkehr, Finanz, öffentliche Verwaltung). Hilft beim Use-Case-Mapping in regulierten Branchen.

Zusammenspiel: EU AI Act, ISO 27001, revDSG

  • EU AI Act (Verordnung 2024/1689): verbindliches EU-Recht, gilt extraterritorial für Schweizer Anbieter mit EU-Marktzugang. ISO 42001 liefert Bausteine (Inventar, Risikoanalyse, Lifecycle), ersetzt aber den AI Act NICHT – Konformitätsbewertung, CE-Kennzeichnung und Notified-Body-Audits bleiben separat.
  • ISO/IEC 27001:2022: Informationssicherheits-Management. ISO 42001 baut darauf auf – Sicherheits-Controls (Zugriffe, Verschlüsselung, Incident-Response) werden 1:1 wiederverwendet. Kombi-Audits durch SQS/TÜV reduzieren Audit-Tage.
  • ISO/IEC 23894:2023: Guidance für KI-Risikomanagement, nicht zertifizierbar, aber inhaltlich eng verknüpft – konkretisiert die Risiko-Methodik für ISO 42001.
  • ISO/IEC 5338, 5339, 8183: technische Begleit-Normen für KI-Lifecycle, Anwendung und Daten-Lifecycle – Referenzen in der Implementierung.
  • NIST AI Risk Management Framework (RMF 1.0, 2023): freiwilliges US-Pendant. Wer beides macht (US- + EU-Markt), kann Controls weitgehend mappen.
  • ISO 9001 (Qualität) und ISO 14001 (Umwelt): teilen die HLS – Integration in ein gemeinsames Management-System spart Redundanz.
  • revDSG / DSGVO: Datenschutz bleibt eigene Pflicht – DSFA, Auftragsdatenverarbeitung, EDÖB-Meldepflicht. ISO 42001 verlangt Daten-Governance, ist aber kein Datenschutz-Nachweis.
  • FINMA-Rundschreiben „Operationelle Risiken und Resilienz" und DORA: regulierte Branchen brauchen ohnehin formale Governance – ISO 42001 strukturiert das für KI-spezifische Aspekte sauber.
  • CH-Recht: ein eigenes Schweizer KI-Gesetz ist 2026 in Vorbereitung (Bundesrats-Mandat). ISO 42001 ist die beste Wette für anschlussfähige Strukturen.
  • Microsoft Purview, OneTrust AI Governance, Credo AI, Holistic AI: Tools unterstützen Inventar, Risikoanalyse, Policy-Enforcement – können Audit-Evidenz erleichtern, ersetzen aber kein Management-System.

6-Monats-Roadmap zur Zertifizierung

1

Monat 1 – Gap-Assessment & Scope

Bestehende Strukturen (ISO 27001, Datenschutz-Konzept, Governance) gegen ISO-42001-Anforderungen abgleichen. Scope definieren: welche Geschäftsbereiche, welche KI-Systeme, welche Standorte.

Konkret: Gap-Report, Scope-Statement, Projektplan, KI-Beauftragter ernannt.
2

Monat 2 – KI-Inventar & Kontext

Vollständige Inventarisierung aller KI-Systeme: Eigenentwicklungen, eingekaufte KI (Copilot, ChatGPT Business, KI-Funktionen in Bexio/Abacus), Schatten-KI in Fachbereichen. Klassifikation nach Risiko.

Konkret: KI-Register lebendig, Owner pro System, Risiko-Klasse vergeben.
3

Monat 3 – Risikoanalyse & Impact Assessment

Pro KI-System: AI Impact Assessment (Annex A.5) – Auswirkungen auf Personen, Gesellschaft, Geschäft. Methodik nach ISO 23894 anwenden. Hochrisiko-Systeme priorisieren.

Konkret: Impact-Assessments dokumentiert, Massnahmenplan je System.
4

Monat 4 – Controls & Policies

Annex-A-Controls implementieren: KI-Policy, Daten-Governance, Lieferanten-Anforderungen, Transparenz-Hinweise, Logging & Monitoring, Schulung. Wiederverwendung aus ISO 27001 wo möglich.

Konkret: 38 Annex-A-Controls implementiert oder begründet ausgeschlossen.
5

Monat 5 – Internes Audit & Management-Review

Internes Audit gegen die Norm durchführen (extern beauftragen wenn intern keine Auditoren). Findings beheben. Management-Review mit Geschäftsleitung dokumentieren.

Konkret: Audit-Report, Korrekturmassnahmen, Management-Review-Protokoll.
6

Monat 6 – Stage 1 & Stage 2 Audit

Stage 1 (Dokumenten-Review) durch akkreditierte Stelle (SQS, TÜV, BSI, DNV). Anschliessend Stage 2 (vor Ort, Wirksamkeitsprüfung). Bei Erfolg: Zertifikat mit 3 Jahren Gültigkeit.

Konkret: Zertifikat ausgestellt, Surveillance-Plan für Jahr 1 und 2 fixiert.

Typische Stolpersteine

  • Tool-First-Denken: „Wir kaufen Credo AI / Holistic AI / Microsoft Purview und sind compliant." Falsch – ISO 42001 ist ein Management-System, kein Tool-Roll-out. Tools unterstützen, ersetzen aber nicht Governance, Policies und Verantwortlichkeiten.
  • Schatten-KI ignoriert: Fachbereiche nutzen ChatGPT, Claude, Gemini, KI-Funktionen in Notion/Slack/Teams ohne IT-Wissen. Kein Inventar – kein Audit-Erfolg. Discovery-Phase ehrlich machen.
  • Use-Case-Inventar fehlt: Ohne dokumentierte KI-Use-Cases mit Owner, Datenfluss und Risiko-Bewertung kollabiert das AIMS sofort beim Stage-2-Audit.
  • AI-Act-Verwechslung: „Wir haben ISO 42001, also sind wir AI-Act-konform." Falsch – der AI Act verlangt für Hochrisiko-Systeme eigene Konformitätsbewertung, technische Dokumentation, ggf. Notified Body. ISO 42001 liefert Bausteine, keinen Stempel.
  • Doppelte Strukturen zu ISO 27001: Wer parallele Risikoregister, Lieferanten-Listen und Incident-Prozesse aufbaut, verbrennt Geld. Integriertes Management-System planen.
  • KI-Beauftragter nur auf dem Papier: Ohne Mandat, Budget und Zugang zur Geschäftsleitung bleibt die Rolle wirkungslos. Mindestens 0.2 FTE und direkte Berichtslinie nötig.
  • Lieferanten-Aspekte unterschätzt: Wer KI als SaaS bezieht (Copilot, ChatGPT Enterprise, KI-Module in Branchensoftware), muss Anbieter-Risiken explizit bewerten – inkl. Trainings-Datenherkunft und Modell-Updates.
  • Transparenz vergessen: Annex A verlangt Information an Stakeholder und Betroffene. Mitarbeitende, Kunden, Bewerber müssen wissen, wann sie mit KI interagieren – revDSG-Pflicht inklusive.
  • Daten-Governance auf KI-spezifisch gedacht: Trainingsdaten, Inferenzdaten, Output-Logs haben andere Lifecycle-Anforderungen als klassische Geschäftsdaten – braucht eigene Policy-Erweiterung.
  • Audit-Stelle nicht akkreditiert: „Zertifikate" von nicht durch SAS/DAkkS akkreditierten Stellen haben im B2B-Vertrieb keinen Wert. Vor Beauftragung Akkreditierung prüfen.

Fazit: AIMS lohnt sich – mit Augenmass

ISO/IEC 42001:2023 ist 2026 das De-facto-Framework für KI-Governance. Sie liefert eine vernünftige Struktur, ist anschlussfähig an ISO 27001 und ein wachsendes Vertriebs-Argument im B2B-Geschäft. Für KMU mit produktivem KI-Einsatz, EU-Marktzugang oder regulierten Auftraggebern ist sie 2026/2027 der richtige Schritt – nicht zuletzt, weil sie EU-AI-Act-Konformität substantiell vorbereitet.

Wichtig bleibt der ehrliche Blick: ISO 42001 ersetzt weder den EU AI Act noch revDSG, und ein Zertifikat ohne gelebte Governance ist im Audit-Ernstfall wertlos. Wer pragmatisch vorgeht – sauberes KI-Inventar, integrierte Controls mit ISO 27001, klares Mandat für die KI-Verantwortlichen, akkreditierte Audit-Stelle (SQS, TÜV, BSI, DNV) – kommt in 4–6 Monaten zur Zertifizierung. Wer das ISMS schon hat, schafft das mit 30–50 % weniger Aufwand. Tipp: früh entscheiden, ob nur Implementierung (kein Zertifikat, niedrigere Kosten) oder volle Zertifizierung für den B2B-Vertrieb – das verändert Scope und Budget erheblich.

ISO 42001 pragmatisch, ohne Zertifikats-Theater

Wir bauen Ihr KI-Inventar auf, integrieren Controls mit bestehender ISO 27001, schreiben Policies, führen das interne Audit und begleiten Sie durch Stage 1 und Stage 2 – in 6 Monaten zur akkreditierten Zertifizierung.

Beratung anfragen

GIAR Digital GmbH

Passende Leistungen für Ihr KMU

Dieser Beitrag stammt von GIAR Digital, Ihrem IT-Partner für Schweizer KMU aus dem Kanton Aargau. Was wir hier beschreiben, setzen wir auch konkret um – diese Themen betreuen wir für kleine und mittlere Unternehmen:

IT-Infrastruktur & Microsoft 365 POS & Payment-Lösungen Prozessdigitalisierung KI-Automatisierung Custom Business Software Galaxus-Anbindung
Kostenlose Erstberatung anfragen