ISO 42001 Gap-Analyse: Ablauf, Dauer und Ergebnis
Was eine ISO-42001-Gap-Analyse ist, wie sie abläuft, wie lange sie dauert und was am Ende herauskommt, der erste, risikoärmste Schritt zur Zertifizierungsreife.
Kurz gesagt
Eine ISO-42001-Gap-Analyse ist die strukturierte Standortbestimmung am Anfang: Sie vergleicht Ihren Ist-Zustand mit den Anforderungen der Norm und zeigt schwarz auf weiß, was schon steht und was fehlt. Sie dauert je nach Größe rund ein bis drei Wochen und endet mit einem priorisierten Lückenbericht plus Aufwandsschätzung, die Grundlage jeder belastbaren Projekt- und Kostenplanung.
Jedes seriöse ISO-42001-Projekt beginnt nicht mit dem Schreiben von Dokumenten, sondern mit einer ehrlichen Standortbestimmung: der Gap-Analyse. Sie ist der erste, risikoärmste und günstigste Schritt und oft der wertvollste, weil sie aus „wir müssten mal" einen klaren, bezifferten Plan macht.
Was eine Gap-Analyse ist
Die Gap-Analyse vergleicht Ihren Ist-Zustand mit den Anforderungen von ISO/IEC 42001 (Kapitel 4 bis 10 und Anhang A) und mit Ihrer KI-Nutzung im Licht des EU AI Act. Das Ergebnis ist eine klare Liste: Was erfüllen Sie bereits (oft mehr, als Sie denken, besonders mit ISO 27001 oder 9001), was fehlt, und wo liegt das größte Risiko?
Der Ablauf in drei Schritten
| Schritt | Was passiert | Ergebnis |
|---|---|---|
| 1 · KI-Inventar | Wir erfassen Ihre KI-Anwendungen, ihren Zweck und Ihre Rolle (Anbieter/Betreiber) | Überblick, was überhaupt geregelt werden muss |
| 2 · Soll-Ist-Abgleich | Abgleich gegen die Norm-Klauseln und Anhang A, Sichtung vorhandener Dokumente, kurze Interviews | Lückenliste mit Erfüllungsgrad je Anforderung |
| 3 · Priorisierung | Lücken nach Risiko und Aufwand priorisieren, Fahrplan und Aufwandsschätzung ableiten | Priorisierter Gap-Bericht + Projektplan |
Dauer und Ergebnis
Je nach Größe und Komplexität dauert eine Gap-Analyse rund ein bis drei Wochen. Am Ende halten Sie einen priorisierten Lückenbericht in der Hand: erfüllt / teilweise erfüllt / offen je Anforderung, die größten Risiken zuerst, dazu eine realistische Aufwands- und Zeitschätzung für die Schließung. Das ist die Grundlage für eine belastbare Budget- und Projektplanung und die Entscheidung, ob und wie Sie weitermachen.
Die Gap-Analyse ist genau der erste Baustein meiner ISO-42001-Readiness-Begleitung. Sie können danach selbst weiterbauen oder mit mir, ohne Bindung über die Analyse hinaus.
Häufige Fragen
Wie lange dauert eine ISO-42001-Gap-Analyse?+
Je nach Größe und Komplexität rund ein bis drei Wochen, von der Erfassung der KI-Anwendungen über den Soll-Ist-Abgleich bis zum priorisierten Lückenbericht.
Was ist das Ergebnis einer Gap-Analyse?+
Ein priorisierter Lückenbericht: erfüllt / teilweise / offen je Anforderung, die größten Risiken zuerst, plus eine realistische Aufwands- und Zeitschätzung. Damit lässt sich das Gesamtprojekt belastbar planen und budgetieren.
Muss ich nach der Gap-Analyse das ganze Projekt buchen?+
Nein. Die Gap-Analyse ist ein eigenständiger, abgeschlossener Schritt. Sie können danach selbst weiterbauen oder die Begleitung fortsetzen, es gibt keine Bindung über die Analyse hinaus.
Autor & fachliche Prüfung: Lars Zimmermann · ISO/IEC 42001 Senior Lead Auditor & ISO/IEC 27001 Lead Auditor (PECB)
Auditor mit Stallgeruch, Geschäftsführer eines produzierenden Mittelständlers, der KI-Managementsysteme und Informationssicherheit prüft und aufbaut. Mehr über mich.
Stand: 14. Juni 2026. Inhalt nach bestem Wissen recherchiert und fachlich geprüft; ersetzt keine Rechtsberatung im Einzelfall.
Quellen & weiterführend
Konkrete Fragen zu Ihrem Fall?
Im kostenlosen 15-Minuten-Erstgespräch ordnen wir Ihren Stand zu ISO 42001, ISO 27001 und dem EU AI Act ein, ehrlich und ohne Verkaufsdruck.