Vorbereitung auf die ISO 42001 Zertifizierung
Wenn Sie die ISO 42001 Zertifizierung anstreben, benötigen Sie eine Vielzahl an Dokumenten, die ein Künstliche Intelligenz Management System (KIMS) darstellen. Diese Unterlagen müssen auf die Situation und Infrastruktur des jeweiligen Unternehmens angepasst werden. Sobald alle Unterlagen vollständig sind, sollte die ISO 42001 Vorbereitung zum Audit erfolgen. Dazu gehört auch die Schulung aller Mitarbeiter um das Sicherheitsbewusstsein zu verbessen (z.B., „KI Awareness Training“).
Es reicht nicht aus, eine schöne Dokumentenmappe zu haben und weder die technischen noch die personellen Ressourcen auf die KI-Sicherheit zu trimmen. Auditoren prüfen zwar weitgehend die vorgelegten Unterlagen, jedoch können im ersten Audit oder in den nachfolgenden Kontrollaudits auf technische Aspekte eingegangen werden. Stellt der Auditor fest, dass es sich nur um ein nicht gelebtes Managementsystem handelt, kann er gezwungen sein, das bereits erteilte Zertifikat für ungültig zu erklären.
Wir haben für Sie hier ein kurzes Video zum Thema der Auditvorbereitung bereit gestellt:
Was für Nachweise benötigt man für ein ISO 42001 Audit?
Wie Sie bereits dem Video entnehmen konnten, benötigen Sie auf jeden Fall folgendes für die Durchführung eines qualitativen ISO 42001 Audit:
- Individualisiertes Managementsystem nach ISO/IEC 42001 (im Format DOCx oder PDF)
- Nachweis der Sicherheitsschulung aller Mitarbeiter (Security Awareness Training)
- Nachweis über die Bestellung eines KI-Beauftragten (KI Officer)
Weiterhin können folgende Dokumente, Maßnahmen und Nachweise erforderlich sein:
- KI Notfallplan
- KI Audit Bericht mit folgenden Nachweisen:
- Externe KI-Analyse
- Verzeichnis aller KI Systeme
- KI Gutachten bei identifizierten Spuren früherer Vorfälle
- Datenschutz Ordner mit folgenden Nachweisen:
- Internes und öffentliches Verfahrensverzeichnis
- Bestellung eines fachkundigen Datenschutzbeauftragten (DSB)
- Dokumentation der vorgenommenen Sicherheitsoptimierungen, z.B.
- Modernisierung der Firewall auf KI-Systemen
Die obige Liste zeigt, dass man für das KIMS Audit gut vorbereitet sein sollte. Nicht alle oben empfohlenen Maßnahmen müssen getroffenen werden. Je mehr davon aber umgesetzt sind, desto besser ist man in der Lage das geforderte KI Regelwerk zu leben.
Im Fall eines KI-Vorfalls kann ein Versicherer die Haftung ablehnen, sollte sich eine systematische Nachlässigkeit herausstellen. Ein Betrieb ohne wirtschaftlich und technisch angemessene KI-Schutz-Vorkehrungen kann kein KIMS Managementkonzept überzeugend aufrecht erhalten.
Wir helfen ihnen nicht nur das umfangreiche KI Regelwerk schnell zusammenzustellen, aber auch die ggf. notwendigen technischen Maßnahmen zu ergreifen sowie die zwingend erforderlichen Schulungen zu erhalten.
Risikomanagement ohne Risikoanalyse ist der Grund, warum viele Unternehmen die Stufe 1 des ISO 42001 Audits scheitern?
Während eines Zertifizierungsaudits müssen die Auditoren der Zertifizierungsstelle auch die dokumentierte Risikoanalyse des Unternehmens überprüfen. Damit ein ISMS wirkungsvoll sein kann, muss ein KI Risiko Management etabliert sein. Erkennen Auditoren während der recht allgemein gehaltenen Stufe 1, dass bestimmte Dokumente oder Nachweise zum Themengebiet KI Risiko Management bzw. KI Risikoanalyse fehlen, kann man nicht zur Stufe 2 des Audits fortschreiten. Die KI Risikoanalyse folgt einen 6-stufigen System. Wer ein KI Risikomanagement unsystematisch durchführt, kann kein KIMS zuverlässig implementieren.
Wie streng prüfen Auditoren das ISO 42001 KIMS?
Zunächst prüfen die KIMS Auditoren die Vollständigkeit der Unterlagen und die Plausibilität der dort gemachten Angaben. Dann gehen sie gezielt auf einzelne kritische Punkte als auch auffallende Bestandteile. Bei KMUs ist das KI Managementsystem bestehend aus eine überschaubaren Anzahl an Dokumenten. Das hilft dem Auditor viel Zeit zu sparen. Dennoch ist er gefordert auch Stichproben zu ziehen, die er aus seiner „Auditorenpraxis“ als meist vernachlässigte oder oft fehlende Aspekte kennt.
Hier wäre es sehr empfehlenswert zumindest einige Unterlagen griffbereit zu haben. Diese Angaben überzeugen den Auditor, dass es sich hier ein echtes KIMS handelt. Daher sollten Sie sich besser vorbereiten für eine erfolgreiche Auditierung, damit Sie mit dem ISO Zertifikat ihren geschäftlichen Erfolg zügig steigern können.
Wie unterscheidet sich das ISO 9001 Audit von dem ISO 42001 Audit?
Die ISO 9001 Zertifizierung unterscheidet sich deutlich von dem Inhalt einer ISO 42001 Zertifizierung. Daher sind auch die Anforderungen an die ISO 42001 Auditoren deutlich höher. Ein Auditor für KI muss einen Universitätsabschluss (z.B. Informatik, Management, Finanzen, Maschinenbau, Mathematik) vorweisen. Hingegen beim Qualitätsmanagementauditor reicht schon eine IHK Berufsausbildung oder ein IHK Betriebswirt. Somit kann man deutlich erkennen, dass eine Vorbereitung auf die ISO 9001 Zertifizierung deutlich leichter ist. Man kann das auch deutlich an den KIMS Vorlagen für die KI Management Systeme erkennen. Der Fokus ist auch ein ganz anderer.
Häufige Fragen zu der Vorbereitung für die ISO 42001 Zertifizierung
Die ISO/IEC 42001 Zertifizierung fordert, dass wir den normativen Hauptteil der ISO 42001 erfüllen. Die Anforderungen lassen sich wie folgt zusammenfassen:
- Kontext der Organisation
- Führung und Verpflichtung
- Planung
- Unterstützung
- Betrieb
- Bewertung der Leistung
- Verbesserung
- Kontrollen (Angang 1)
Das KIMS Zertifikat gilt maximal 3 Jahre und muss dann durch ein Rezertifizierungsaudit verlängert werden.
Das KIMS Rezertifizierungsaudit überprüft, ob die Voraussetzungen für eine Verlängerung des Zertifikates weiterhin bestehen.
Die Kosten für eine Zertifizierung nach ISO 42001 kann man bei kleinen Unternehmen (KMU) in kaum komplexen Industriezweigen recht gut definieren. Hier kostet das Audit und die Ausstellung des Zertifikats zusammen ca. 3.500-9.000 EUR.
Schwieriger verhält es sich bei Unternehmen mit komplexen Abläufen und zunehmender Unternehmensgröße.
Hier kostet das sehr aufwendige KI Audit deutlich mehr, da die Risiken deutlich höher sind. Hier erfolgen oft auch zusätzliche technische KI Audits (z.B., Pen-Test, Software Quellcode Audit). Diese sind meist erforderlich, da diese Unternehmen das ISO 42001 benötigen, Aufgrund der Vorschriften des Gesetzgebers oder des Hauptversicherers des betroffenen Unternehmens.
Daher kann die Zertifizierung großer Kapitalgesellschaften schnell über ca. 25.000 EUR kosten.
Der ISO 42001 Standard ermöglicht es Unternehmen durch die Zertifizierung ein umfassendes KIM-Systems in die Organisation zu integrieren.
Das sind die 5 elementaren Vorteile für kleine und mittlere Kapitalgesellschaften:
- Optimierte KI-Sicherheit
- Nachhaltige Strategien
- Ergänzung zum bestehenden Managementsystem
- Kostensenkung und Produktivitätssteigerung
- Wettbewerbsvorteil steigert Umsätze
Diese einzelnen Vorteile sind in dem Artikel über die strategischen Vorteile des ISO 42001 ausführlicher erläutert.