Wie lange dauert die ISO-42001-Einführung? Ein realistischer Zeitplan
Von der Gap-Analyse bis zur Zertifizierungsreife: ein realistischer Wochen-Zeitplan für die ISO-42001-Einführung im Mittelstand, mit den Faktoren, die wirklich über die Dauer entscheiden.
Kurz gesagt
Eine ISO-42001-Einführung dauert im Mittelstand realistisch drei bis neun Monate, ein typischer, gut geführter Fall liegt bei rund fünf Monaten (etwa 22 Wochen) von der Gap-Analyse bis zur Zertifizierungsreife. Wie lange es konkret dauert, hängt vor allem davon ab, ob bereits ein ISO 27001 steht, wie klar der Anwendungsbereich geschnitten ist und wie viel interne Zeit eingeplant wird.
Read in English: English version
„Wie lange dauert das?" ist nach der Kostenfrage die zweite, die jeder stellt und die ehrlichste Antwort ist ein Zeitraum, kein Datum. Für den Mittelstand sind drei bis neun Monate realistisch. Ein gut geführtes Projekt mit klarem Anwendungsbereich landet erfahrungsgemäß bei rund fünf Monaten, also etwa 22 Wochen von der ersten Standortbestimmung bis zur Zertifizierungsreife.
Wichtig vorweg: Gemeint ist die Zeit bis zur Reife für das externe Zertifizierungsaudit. Das Audit selbst (Stufe 1 und Stufe 2) terminiert die akkreditierte Zertifizierungsstelle zusätzlich, mit eigenem Vorlauf.
Der Zeitplan in sechs Phasen
Dieser Ablauf folgt einem realen Einführungsprojekt und ist auf ISO 42001 zugeschnitten, die KI-spezifischen Schritte (KI-Inventar, Risiko- und Folgenabschätzung) sind ergänzt:
| Phase | Woche | Was passiert | Ergebnis |
|---|---|---|---|
| 1 · Initialisierung | 1–2 | Normverständnis aufbauen, Projekt aufsetzen, Gap-Analyse / Voraudit | Lückenbericht, Projektplan |
| 2 · Planung | 3–4 | Kontext, interessierte Parteien, Anwendungsbereich, KI-Systeme inventarisieren | Scope, KI-Inventar, Stakeholder-Liste |
| 3 · Entwicklung | 5–9 | KI-Politik, Ziele, KI-Risiko- und Folgenabschätzung, Kontrollen festlegen (SoA), dokumentierte Informationen | Politik, Risikoregister, SoA, Verfahren |
| 4 · Umsetzung | 10–14 | Schulung, Prozesse einführen, menschliche Aufsicht und Monitoring etablieren, Nachweise sammeln | Gelebte Prozesse, erste Nachweise |
| 5 · Überprüfung | 15–18 | Internes Audit, Managementbewertung, Korrekturmaßnahmen | Auditbericht, Managementreview, Maßnahmenplan |
| 6 · Zertifizierung | 19–22 | Zertifizierungsstelle wählen, Stufe-1- und Stufe-2-Audit | Zertifizierungsreife, Audittermin |
Was die Dauer wirklich treibt
- Vorhandenes Fundament: Ein gelebtes ISO 27001 (oder ISO 9001) liefert Struktur, Rollen und Managementbewertung bereits, das verkürzt spürbar, weil ISO 42001 dieselbe Grundstruktur (Annex SL) teilt.
- Klarer Anwendungsbereich: Wenige, klar abgegrenzte KI-Systeme gehen schneller als „alles, was irgendwie KI ist".
- Interner Aufwand: Ob Ihre Leute wöchentlich Zeit haben, entscheidet mehr über das Tempo als jede Methode. Der häufigste Verzögerungsgrund ist nicht Komplexität, sondern fehlende interne Kapazität.
- Reifegrad der KI-Nutzung: Wer KI bereits dokumentiert und überwacht, ist schneller als ein Start bei null.
Das externe Audit: Wovon die Audittage abhängen
Wie viele Audittage die Zertifizierungsstelle ansetzt, hängt nach ISO/IEC 42006:2025 (Tabelle A.1) ausdrücklich nicht an Ihrer Gesamtbelegschaft, sondern an der Zahl der im KI-Lebenszyklus tätigen Personen und an Ihrer Rolle (KI-Anbieter, KI-Betreiber oder beides). Ein Betrieb mit 500 Mitarbeitenden, aber nur 15 Personen, die mit der KI arbeiten, wird wie eine kleine Organisation auditiert, das ist die wichtigste und am häufigsten missverstandene Stellschraube.
Zur Orientierung, gerundete Richtwerte für das Erstaudit nach ISO/IEC 42006:2025: bis rund 10 KI-befasste Personen etwa 3,5 bis 5 Audittage, bis ~25 Personen etwa 4,5 bis 7 Tage, bis ~85 Personen etwa 7,5 bis 11 Tage. Ein KI-Anbieter (Producer) liegt höher als ein reiner KI-Betreiber (User). Hinzu kommen Anpassungen für die Zahl der KI-Systeme, die betroffenen Regulierungsrahmen und Hochrisiko-Anwendungen. Die jährlichen Überwachungsaudits sind deutlich kürzer.
Womit es schneller geht
Drei Hebel verkürzen ohne Qualitätsverlust: ein eng geschnittener Anwendungsbereich für die Erstzertifizierung (erweitern lässt sich später), das Aufsetzen auf ein bestehendes Managementsystem statt Neuerfindung, und KI-gestützte Vorlagen für Politik, Risikoregister und Nachweise. Letzteres kürzt vor allem die Dokumentationsphase ab, nicht aber das externe Audit, dessen Umfang festen Akkreditierungsregeln folgt.
Schnell wird ein Managementsystem nicht durch Druck, sondern durch einen ehrlich geschnittenen Anwendungsbereich und verlässliche interne Zeit.
Den für Ihren Fall realistischen Zeitrahmen schätze ich nach einer kurzen Standortbestimmung ein, das ist belastbarer als jede Pauschalzahl, weil er von Ihrem Fundament und Scope abhängt.
Häufige Fragen
Wie lange dauert die ISO-42001-Einführung im Mittelstand?+
Realistisch drei bis neun Monate. Ein gut geführtes Projekt mit klarem Anwendungsbereich liegt bei rund fünf Monaten (etwa 22 Wochen) bis zur Zertifizierungsreife; das externe Zertifizierungsaudit terminiert die akkreditierte Stelle zusätzlich.
Geht es schneller, wenn ich schon ISO 27001 habe?+
Ja, deutlich. ISO 42001 teilt die Grundstruktur (Annex SL) mit ISO 27001 und ISO 9001, Kontext, Rollen, Risikomanagement und Managementbewertung stehen dann bereits. Vor allem die Planungs- und Entwicklungsphase verkürzt sich.
Was dauert am längsten?+
Selten die Methode, fast immer die interne Kapazität: Interviews, Dokumente sichten, Kontrollen umsetzen und Nachweise sammeln brauchen verlässliche wöchentliche Zeit Ihrer Leute. Wer die einplant, hält den Zeitplan.
Autor & fachliche Prüfung: Lars Zimmermann · ISO/IEC 42001 Senior Lead Auditor & ISO/IEC 27001 Lead Auditor (PECB)
Auditor mit Stallgeruch, Geschäftsführer eines produzierenden Mittelständlers, der KI-Managementsysteme und Informationssicherheit prüft und aufbaut. Mehr über mich.
Stand: 14. Juni 2026. Inhalt nach bestem Wissen recherchiert und fachlich geprüft; ersetzt keine Rechtsberatung im Einzelfall.
Quellen & weiterführend
Konkrete Fragen zu Ihrem Fall?
Im kostenlosen 15-Minuten-Erstgespräch ordnen wir Ihren Stand zu ISO 42001, ISO 27001 und dem EU AI Act ein, ehrlich und ohne Verkaufsdruck.