Die ISO-42001-Familie im Überblick: Welche Normen zusammengehören
ISO 42001 steht nicht allein. Wie 42005, 42006, 23894, 22989 und 38507 zusammenspielen – und welche Norm welche Frage beantwortet. Orientierung im KI-Normen-Dschungel.
ISO/IEC 42001 ist die Zertifizierungsnorm für KI-Managementsysteme – aber sie steht nicht allein. Rundherum gibt es eine Familie von Begleitnormen, die einzelne Aspekte vertiefen. Wer den Überblick hat, weiß, wo er nachschlägt, statt sich zu verlieren.
Die Zentralnorm: das „Was“
ISO/IEC 42001 beschreibt die Anforderungen an das Managementsystem – also, was vorhanden sein muss: Leitlinie, Rollen, Risikobeurteilung, Kontrollen, Verbesserung. Sie ist die einzige Norm der Familie, nach der man sich zertifizieren lässt.
Die Begleitnormen: das „Wie“ und „Wie tief“
- ISO/IEC 42005 – Bewertung der Auswirkungen von KI-Systemen (AI System Impact Assessment): wie man die Folgen für Betroffene und Gesellschaft beurteilt.
- ISO/IEC 23894 – KI-Risikomanagement: vertieft die Risikoarbeit und knüpft an die generische Risikonorm ISO 31000 an.
- ISO/IEC 22989 – Begriffe und Konzepte: die gemeinsame Sprache, auf die 42001 verweist.
- ISO/IEC 23053 – Rahmenwerk für KI-/ML-Systeme: das technische Vokabular für die Architektur.
- ISO/IEC 38507 – Governance-Implikationen von KI: die Perspektive der obersten Leitung.
- ISO/IEC 42006 – Anforderungen an Stellen, die AIMS zertifizieren: relevant für die Akkreditierung, nicht für den Auditierten selbst.
Und die Normen für den Auditor?
Zwei weitere Normen sind weniger inhaltlich, dafür methodisch wichtig: ISO 19011 liefert die Audit-Methodik für Managementsysteme, ISO/IEC 17021-1 die Anforderungen an Zertifizierungsstellen. Sie regeln nicht, was ein gutes KI-System ausmacht, sondern wie sauber geprüft und zertifiziert wird.
Merksatz: 42001 sagt, WAS ein KI-Managementsystem braucht. Die Begleitnormen sagen, WIE man einzelne Teile gut macht. 19011 und 17021 sagen, wie man das Ganze prüft.
Was das für die Praxis heißt
Für ein Audit oder einen Aufbau brauchen Sie nicht die ganze Bibliothek. ISO 42001 ist der Anker; 23894 und 42005 zieht man heran, wenn es um Risiken und Folgenabschätzung in der Tiefe geht; 38507 hilft der Führungsebene. Wichtig ist, die richtige Norm für die richtige Frage zu kennen – genau das ist Teil der Auditoren-Kompetenz.
Häufige Fragen
Muss ich alle Normen der 42001-Familie kennen?+
Nein. ISO 42001 ist die Grundlage. Die Begleitnormen ziehen Sie gezielt heran, wenn Sie ein Thema – etwa Risiko oder Folgenabschätzung – vertiefen müssen.
Wonach werde ich zertifiziert?+
Ausschließlich nach ISO/IEC 42001. Die anderen Normen der Familie sind Leitfäden und keine Zertifizierungsgrundlage.
Autor & fachliche Prüfung: Lars Zimmermann · ISO/IEC 42001 Senior Lead Auditor (PECB)
Stand: 26. Mai 2026. Inhalt nach bestem Wissen recherchiert und fachlich geprüft; ersetzt keine Rechtsberatung im Einzelfall.
Quellen & weiterführend
Konkrete Fragen zu Ihrem Fall?
Im kostenlosen 15-Minuten-Erstgespräch ordnen wir Ihren Stand zu ISO 42001, ISO 27001 und dem EU AI Act ein – ehrlich und ohne Verkaufsdruck.