Macht ISO 42001 mich AI-Act-konform? Harmonisierte Normen erklärt
ISO/IEC 42001:2023 ist die beste Vorbereitung auf den EU AI Act, aber kein Rechts-Freibrief. Warum die Vermutungswirkung nur über harmonisierte EN-Normen (EN 18286) entsteht und was das praktisch bedeutet.
Kurz gesagt
ISO/IEC 42001:2023 ist der aktuelle Standard für KI-Managementsysteme (Stage 60.60, eine 2026-Version gibt es nicht). Er ist die stärkste Vorbereitung auf den EU AI Act, verschafft aber allein keine rechtliche Vermutungswirkung nach Artikel 40. Die entsteht erst über harmonisierte europäische Normen, die CEN-CENELEC gerade entwickelt, dediziert über EN 18286. ISO 42001 baut das System, die harmonisierte Norm liefert die Konformitätsvermutung.
Read in English: English version
Viele hören „ISO 42001" und denken: dann bin ich beim EU AI Act auf der sicheren Seite. So einfach ist es nicht. Und um gleich mit einem zweiten Irrtum aufzuräumen: Eine ISO 42001:2026 gibt es nicht, die aktuelle und einzige Ausgabe ist die von 2023.
ISO/IEC 42001:2023, und keine 2026-Version
Die Norm steht bei ISO auf Stage 60.60, das bedeutet schlicht: veröffentlichte Internationale Norm, aktuell gültig. Was Ihnen als „EN ISO/IEC 42001" begegnet, ist nur die europäische Übernahme desselben Textes in den EN-Katalog. Die Jahreszahl darin steht für das Jahr der europäischen Ratifizierung, nicht für eine neue, inhaltlich geänderte Edition. Wer eine frische Norm-Version verspricht, irrt.
Was Vermutungswirkung (Artikel 40) bedeutet
Der AI Act arbeitet mit der sogenannten Vermutungswirkung: Wer eine harmonisierte Norm erfüllt, deren Fundstelle im Amtsblatt der EU veröffentlicht ist, gilt als konform mit den zugehörigen Anforderungen des Gesetzes. Das ist eine echte Beweislast-Erleichterung. Aber sie hängt an genau diesem Wort: harmonisiert.
Warum ISO 42001 die Wirkung allein nicht hat
ISO/IEC 42001 ist eine internationale Norm außerhalb des EU-Harmonisierungsprozesses und deckt nicht jede Anforderung des AI Act ab. Die dedizierte harmonisierte Norm entsteht separat über das Gremium CEN-CENELEC JTC 21. Für KI-Managementsysteme soll EN 18286 den vollen Satz der regulatorischen Anforderungen abbilden. Erste harmonisierte Normen werden 2026 erwartet, danach prüft die Kommission die Veröffentlichung der Fundstellen im Amtsblatt.
| ISO/IEC 42001:2023 | Harmonisierte EN-Norm (EN 18286) | |
|---|---|---|
| Zweck | KI-Managementsystem aufbauen und betreiben | Konformität mit AI-Act-Anforderungen belegen |
| Vermutungswirkung (Art. 40) | nein | ja, sobald im Amtsblatt veröffentlicht |
| Status | veröffentlicht, gültig (Stage 60.60) | in Entwicklung, 2026 erwartet |
Was das praktisch heißt
Trotzdem ist ISO 42001 jetzt der richtige Schritt, nicht später. Die Bausteine sind dieselben, die der AI Act verlangt: KI-Risiken kennen und behandeln, Rollen und Kontrollen festlegen, den Betrieb überwachen. Wer das heute aufbaut, hat die Substanz stehen. Der spätere Abgleich zur harmonisierten Norm ist dann ein Delta, kein Neustart. Wer auf die fertige Norm wartet, baut am Ende doppelt und unter Zeitdruck. Wie Sie sauber starten, klären wir im kostenlosen Erstgespräch.
Häufige Fragen
Gibt es eine ISO 42001:2026?+
Nein. Aktuell und einzig gültig ist ISO/IEC 42001:2023 (Stage 60.60, veröffentlichte Internationale Norm). „EN ISO/IEC 42001" ist nur die europäische Übernahme desselben Textes, keine neue inhaltliche Edition.
Macht eine ISO-42001-Zertifizierung mein Unternehmen AI-Act-konform?+
Nicht automatisch. ISO 42001 ist die beste Vorbereitung, aber die rechtliche Vermutungswirkung nach Artikel 40 entsteht nur über harmonisierte EN-Normen. Für KI-Managementsysteme ist dafür EN 18286 in Arbeit.
Was ist EN 18286?+
Die dedizierte europäische harmonisierte Norm für KI-Managementsysteme, die CEN-CENELEC (JTC 21) für den AI Act entwickelt. Sie soll den vollen Satz der regulatorischen Anforderungen abbilden und damit Vermutungswirkung ermöglichen.
Soll ich auf die harmonisierte Norm warten?+
Nein. Bauen Sie Ihr KI-Managementsystem nach ISO 42001 jetzt auf. Die Substanz ist dieselbe, der spätere Abgleich zur harmonisierten Norm ist ein Delta, kein Neuanfang. Warten bedeutet doppelte Arbeit unter Zeitdruck.
Autor & fachliche Prüfung: Lars Zimmermann · ISO/IEC 42001 Senior Lead Auditor & ISO/IEC 27001 Lead Auditor (PECB)
Auditor mit Stallgeruch, Geschäftsführer eines produzierenden Mittelständlers, der KI-Managementsysteme und Informationssicherheit prüft und aufbaut. Mehr über mich.
Stand: 15. Juni 2026. Inhalt nach bestem Wissen recherchiert und fachlich geprüft; ersetzt keine Rechtsberatung im Einzelfall.
Quellen & weiterführend
Konkrete Fragen zu Ihrem Fall?
Im kostenlosen 15-Minuten-Erstgespräch ordnen wir Ihren Stand zu ISO 42001, ISO 27001 und dem EU AI Act ein, ehrlich und ohne Verkaufsdruck.