ISO 42001 vs ISO 27001: AIMS und ISMS richtig kombinieren
ISO 42001 (AIMS, KI-Managementsystem) und ISO 27001 (ISMS, Informationssicherheit) teilen sich die Annex-SL-Struktur und lassen sich integriert betreiben. ISO 27001 schützt Informationen, ISO 42001 steuert KI-Risiken. Wer bereits ein ISMS hat, erweitert dessen Geltungsbereich um KI und ergänzt die KI-spezifischen Annex-A-Controls samt KI-Folgenabschätzung.
Auf einen Blick
- ✓ISO 42001 und ISO 27001 teilen die Annex-SL-Struktur: Die Klauseln 4, 5, 6, 7, 9 und 10 (Kontext, Führung, Planung, Unterstützung, Bewertung, Verbesserung) sind strukturell identisch und kombinierbar; Klausel 8 (Betrieb) unterscheidet sich, weil dort die KI-spezifischen Annex-A-Controls landen.
- ✓Die Annex-A-Controls unterscheiden sich grundlegend: ISO 27001:2022 hat 93 Informationssicherheits-Controls, ISO 42001 hat 9 Domänen mit 38 KI-Governance-Controls.
- ✓Nur ISO 42001 verlangt eine KI-Folgenabschätzung (Klausel 6.1.4) für Auswirkungen auf Individuen, Gruppen und Gesellschaft - ISO 27001 kennt kein Äquivalent.
- ✓Kombinierte externe Audits sparen laut Research typischerweise rund 25 bis 30 Prozent der Stage-2-Audittage gegenüber parallelen Einzelaudits.
- ✓Ein bestehendes ISMS verkürzt die ISO-42001-Einführung deutlich: 6 bis 12 Monate bis Stage 1 statt 9 bis 18 Monate aus dem Nichts.
- ✓Empfohlenes Muster: ISMS-Geltungsbereich um KI erweitern, gemeinsame Auditplanung, Managementbewertung und Dokumentenlenkung nutzen, KI-spezifische Controls ergänzen.
ISO 42001 (AIMS, KI-Managementsystem) und ISO 27001 (ISMS, Informationssicherheit) teilen sich die Annex-SL-Struktur und lassen sich integriert betreiben. ISO 27001 schützt Informationen, ISO 42001 steuert KI-Risiken. Wer bereits ein ISMS hat, erweitert dessen Geltungsbereich um KI und ergänzt die KI-spezifischen Annex-A-Controls samt KI-Folgenabschätzung. Beide Normen bauen auf demselben Zehn-Klauseln-Gerüst auf und können in einem Programm geführt werden.
- Gemeinsame Basis: Beide Normen folgen der Annex-SL-High-Level-Structure. Die Klauseln 4, 5, 6, 7, 9 und 10 (Kontext, Führung, Planung, Unterstützung, Bewertung, Verbesserung) sind strukturell identisch und gemeinsam auditierbar.
- Unterschiedlicher Fokus: ISO 27001:2022 deckt Informationssicherheit mit 93 Annex-A-Controls ab; ISO 42001 deckt KI-Governance mit 9 Domänen und 38 Controls ab, inklusive Bias, Fairness, Erklärbarkeit und Lebenszyklus.
- Das 42001-Plus: Nur ISO 42001 verlangt eine KI-Folgenabschätzung (Klausel 6.1.4) für Auswirkungen auf Individuen, Gruppen und Gesellschaft - ISO 27001 hat dafür kein Pendant.
Warum beide Normen so gut zusammenpassen
ISO/IEC 42001:2023 wurde im Dezember 2023 als weltweit erste zertifizierbare Managementsystem-Norm für künstliche Intelligenz veröffentlicht. ISO/IEC 27001:2022 ist die etablierte Norm für Informationssicherheits-Managementsysteme. Beide gehören zur Familie der modernen ISO-Managementsystem-Normen und folgen damit der gleichen Annex-SL-High-Level-Structure, die auch ISO 9001 (Qualität), ISO 14001 (Umwelt), ISO 45001 (Arbeitssicherheit) und ISO 22301 (Business Continuity) zugrunde liegt.
Diese gemeinsame Struktur ist der entscheidende Hebel. Das Zehn-Klauseln-Skelett ist bewusst kompatibel mit kombinierten und integrierten Managementsystem-Audits. Konkret bedeutet das: Wer ISO 27001 betreibt, hat den Maschinenraum eines Managementsystems bereits gebaut - Führungsverpflichtung, Risikobasiertheit, dokumentierte Information, internes Audit, Managementbewertung und kontinuierliche Verbesserung. ISO 42001 setzt darauf auf und ergänzt die KI-spezifischen Inhalte. Klausel 8 (Betrieb) bildet dabei die Ausnahme: Sie ist der Klauselteil, in dem die KI-spezifischen Annex-A-Controls operativ landen, und unterscheidet sich daher inhaltlich am stärksten.
Auch der Auditrhythmus ist deckungsgleich: Ein ISO-42001-Zertifikat ist drei Jahre gültig, mit jährlichen Überwachungsaudits und einem Re-Zertifizierungsaudit am Ende des Zyklus - exakt der gleiche Takt wie bei ISO 27001. Das erleichtert die gemeinsame Auditplanung erheblich.
Was sich überschneidet - und was nicht
Die Überschneidung liegt im gemeinsamen Klauselgerüst (Klauseln 4 bis 7, 9 und 10), die Unterschiede fast vollständig im Annex-A-Teil, in Klausel 8 (Betrieb) und in der KI-Folgenabschätzung.
Strukturell identisch und kombinierbar (laut Research):
- Klausel 4 Kontext, Klausel 5 Führung, Klausel 6 Planung, Klausel 7 Unterstützung, Klausel 9 Leistungsbewertung, Klausel 10 Verbesserung
- Dokumentierte Information, internes Audit, Managementbewertung - üblicherweise integriert
- Risikobasierter Ansatz - geteilt, mit KI-spezifischen Ergänzungen
Wesentliche Unterschiede:
- ISO 27001 Annex A umfasst 93 Controls (Edition 2022) und ist auf Informationssicherheit fokussiert; ISO 42001 Annex A umfasst 38 Controls in 9 Domänen und ist auf KI-Governance fokussiert - mit Ergänzungen zu Bias, Fairness, Erklärbarkeit, Lebenszyklus und Folgenabschätzung.
- ISO 42001 verlangt explizit eine KI-Folgenabschätzung (Klausel 6.1.4) - ISO 27001 kennt dafür kein Äquivalent.
Aspekt-Vergleich: ISO 27001 vs ISO 42001
Aspekt | ISO 27001:2022 (ISMS) | ISO 42001:2023 (AIMS) |
|---|---|---|
Schutzziel | Vertraulichkeit, Integrität, Verfügbarkeit von Informationen | Verantwortungsvolle Steuerung von KI-Systemen über den Lebenszyklus |
Veröffentlichung | 2022 | Dezember 2023 |
Struktur | Annex SL, Klauseln 4-10 | Annex SL, Klauseln 4-10 (Kl. 4-7, 9, 10 identisch) |
Annex-A-Controls | 93 Controls | 9 Domänen / 38 Controls |
Folgenabschätzung | Nicht gefordert | KI-Folgenabschätzung gefordert (Kl. 6.1.4) |
Risikomethodik | Informationssicherheitsrisiken | KI-Risiken (mit ISO 23894 / ISO 31000) |
Statement of Applicability | Ja | Ja (Kl. 6.1.3) |
Zertifikatsgültigkeit | 3 Jahre, jährliche Überwachung | 3 Jahre, jährliche Überwachung (identisch) |
Typische Rolle im Programm | Sicherheitsfundament | KI-Governance-Überbau |
Die Tabelle zeigt das Muster: gemeinsamer Rahmen, unterschiedliche Inhalte. Sicherheitsaspekte der KI - etwa Robustheit und Cybersicherheit, im EU-AI-Act unter Artikel 15 adressiert - werden laut Research großteils über ISO 27001 abgedeckt, während ISO 42001 die KI-spezifischen Governance-, Fairness- und Folgenabschätzungs-Themen beiträgt. Die beiden Normen ergänzen einander, ohne sich zu ersetzen.
Das integrierte Managementsystem in der Praxis
Das in der Research beschriebene Standardmuster für Organisationen mit reifem ISO 27001 lautet: internes Audit, Managementbewertung, Schulung und Bewusstsein, Dokumentenlenkung sowie Lieferantenmanagement werden zusammengeführt. Der ISMS-Geltungsbereich wird auf KI erweitert, und die KI-spezifischen Annex-A-Controls werden ergänzt. Kombinierte externe Audits werden von allen großen Zertifizierungsstellen angeboten.
Organisatorisch zeigt sich das auch in den Rollen: ISO 42001 schreibt keinen einzelnen Titel wie "AI Officer" vor, doch in der Praxis wird ein AI Officer beziehungsweise AIMS-Manager eingesetzt - in mittelständischen DACH-Organisationen häufig in Personalunion mit dem CISO oder dem Datenschutzbeauftragten. So entsteht eine durchgängige Verantwortungslinie zwischen ISMS und AIMS. Auf Konzernebene wird der AI Officer oft mit CISO oder CDO kombiniert, mit expliziter Rechenschaftspflicht gegenüber einem Board-AI-Komitee.
Ein dezenter, aber wichtiger Hinweis: Dieser Artikel ist keine Rechtsberatung. Konkrete Norm-, Fristen- und Artikelauslegungen - insbesondere im Zusammenspiel mit DSGVO und EU-AI-Act - gehören in die Hand qualifizierter Berater und der zuständigen Zertifizierungsstelle.
Konkretes Beispiel: Konzern mit bestehendem ISMS
Die Research skizziert das Profil eines DACH-Konzerns (ab 2.000 Mitarbeitende) mit bereits etabliertem ISO 27001:2022, häufig ergänzt um ISO 27701 (PIMS). Hier ist die Integration nahezu zwingend wirtschaftlich:
- Geteilte Auditplanung: Kombinierte Stage-1- und Stage-2-Audits mit ISO 27001, wo die Zertifizierungsstelle das unterstützt; gemeinsamer interner Auditzyklus.
- Geteilte Dokumentenebene: Aus der Gruppe kaskadierte Richtlinien, ergänzt um KI-spezifische Verfahren je Fachbereich.
- Integriertes Risikoregister: Das KI-Risikoregister wird als Unterregister oder Tag in das Enterprise-Risk-Management eingehängt.
- Einsparung: Kombinierte Audits sparen laut Research typischerweise rund 25 bis 30 Prozent der Stage-2-Audittage gegenüber parallelen Einzelaudits.
Zum Budget ordnet die Research (Stand 2026, DACH) ein: Ein Konzern mit reifem ISMS bewegt sich für das ISO-42001-Programm bei rund EUR 200.000 bis 500.000 (Beratung plus Audit plus interner Aufwand), Laufzeit 12 bis 18 Monate. Ein Mittelstands-Deployer ohne Vorsystem liegt bei EUR 50.000 bis 150.000 und 9 bis 12 Monaten. Der Zeitvorteil eines bestehenden Managementsystems ist messbar: 6 bis 12 Monate bis Stage 1 mit vorhandenem ISO 27001 oder ISO 9001, gegenüber 9 bis 18 Monaten aus dem Nichts.
Rechnerisch heißt das für einen Konzern: Liegen für ein paralleles ISO-42001-Stage-2 etwa 10 Audittage an, lassen sich durch die Kombination mit dem ISMS-Audit grob 2,5 bis 3 Tage einsparen - bei jedem Zyklus inklusive der jährlichen Überwachungsaudits.
Wann beides sinnvoll ist - und wann nicht
Die Kombination ist sinnvoll, wenn KI-Systeme mit personenbezogenen oder sicherheitskritischen Daten arbeiten und ein ISMS bereits besteht oder ohnehin geplant ist. Dann teilen sich AIMS und ISMS Fundament, Auditzyklus und Personal. Sie ist ebenso sinnvoll für KI-Anbieter (Provider), die häufig bereits ISO 27001 und SOC 2 Type II halten und ISO 42001 als Marktdifferenzierung anstreben - hier laufen kombinierte Audits, geteilte Nachweise und ein gemeinsames Trust Center zusammen.
Zurückhaltung ist geboten, wenn die einzige Motivation "Vollständigkeit" ist: Ein reiner Deployer sollte nicht alle Lebenszyklus-Controls (Annex A.6) vorsorglich als anwendbar markieren, wenn er sie nicht nachweisen kann. Das ist laut Research einer der häufigsten Audit-Befunde. Der Geltungsbereich entscheidet - nicht der Wunsch nach möglichst vielen Zertifikaten.
Für Agenturen und B2B-Entscheider
Für Marketing-Agenturen und B2B-Dienstleister, die KI-gestützte Prozesse für Kunden betreiben, wird die Kombination AIMS plus ISMS zunehmend zum Vertrauenssignal in der Lieferanten-Due-Diligence. Wer bereits ISO 27001 hält, hat das teuerste Stück bereits gebaut und kann ISO 42001 mit überschaubarem Zusatzaufwand aufsetzen. Blck Alpaca unterstützt DACH-Organisationen dabei, den ISMS-Geltungsbereich sauber um KI zu erweitern, die KI-spezifischen Annex-A-Controls nachweisfähig zu gestalten und das integrierte Audit so zu planen, dass die Einsparpotenziale tatsächlich realisiert werden. Sprechen Sie uns an, wenn Sie AIMS und ISMS als ein Programm statt zwei Baustellen führen wollen.
Häufig gestellte Fragen
Was ist der Unterschied zwischen ISO 42001 und ISO 27001?
Kann man ISO 42001 und ISO 27001 in einem Audit kombinieren?
Brauche ich ISO 27001, bevor ich ISO 42001 zertifiziere?
Was verlangt ISO 42001 zusätzlich, das ISO 27001 nicht abdeckt?
Wann lohnt sich die Kombination aus AIMS und ISMS?
Tiefer einsteigen?
Erhalte neue Analysen direkt ins Postfach – oder sieh dir an, wie wir dieses Wissen für Unternehmen umsetzen.