03165 Die ISO/IEC 42001:2023 – Interpretation und Audithilfe
|
Dieser Beitrag richtet sich an Auditoren und Managementsystembeauftragten, die am Aufbau und an der Pflege eines Künstliche Intelligenz Management Systems (KIMS) beteiligt sind. Er soll das Verständnis für die Normforderungen erhöhen, Anregungen für deren unmittelbare Umsetzung geben und mit der Audithilfe, in der die Anforderungen der ISO/IEC 42001:2023 interpretiert werden, eine konkrete Hilfestellung bieten.
Im ersten Teil erhalten Sie eine Einführung in Zielsetzung, Struktur und die wichtigsten Merkmale der ISO/IEC 42001. Im Anhang finden Sie zudem Hinweise auf die in Annex C der Norm aufgeführten potenziellen KI-bezogene Risikoquellen knapp beschrieben.
Die Anforderungen der Norm werden in der beigefügten Audithilfe in Tabellenform stichwortartig aufgelistet und praxisorientiert interpretiert. Mit Hinweisen zur Umsetzung wird zudem veranschaulicht, in welcher Form die Anforderungen erfüllt werden können. Diese Beispiele sind auch dazu geeignet, den Nachweis der Umsetzung zu dokumentieren. Zudem werden zu einzelnen Normpunkten Beispiele für Indikatoren angeführt. Diese können zur Messbarkeit und Steuerung von KI-Management-Prozessen herangezogen werden, um so die Wirksamkeit des Managementsystems zu verbessern. Arbeitshilfen: von: |
1.1 Managementsystems für künstliche Intelligenz
KIMS
ISO/IEC 42001:2023 [1] – im Folgenden kurz ISO/IEC 42001 genannt ist eine internationale Norm, die die Anforderungen für die Einrichtung, Umsetzung, Pflege und kontinuierliche Verbesserung eines Managementsystems für künstliche Intelligenz (KIMS) festlegt. Im Englischen spricht man von einem Artificial Intelligence Management System (AIMS).
ISO/IEC 42001:2023 [1] – im Folgenden kurz ISO/IEC 42001 genannt ist eine internationale Norm, die die Anforderungen für die Einrichtung, Umsetzung, Pflege und kontinuierliche Verbesserung eines Managementsystems für künstliche Intelligenz (KIMS) festlegt. Im Englischen spricht man von einem Artificial Intelligence Management System (AIMS).
In nahezu allen Sektoren finden wir mittlerweile den Einsatz von künstlicher Intelligenz (KI), die Informationstechnologie nutzen. In den nächsten Jahren wird dies sicherlich eines der wichtigsten Treiber weltweit sein. Die gesellschaftlichen Herausforderungen sind immens.
1.2 Ziel der Norm
Sinn und Zweck dieser Norm ist es, sicherzustellen, dass KI-Systeme entsprechend verantwortungsvoll entwickelt werden. Auch soll mit dieser Norm ein Instrumentarium bereitgestellt werden, wie KI ge- und benutzt werden soll.
Kriterien für ein Managementsystem
Aus dem in der Norm beschriebenen Anwendungsbereich (Scope, ISO/IEC 42001, Normkapitel 1 lässt sich das Ziel ableiten, Kriterien für ein Managementsystem zu benennen, das eine Organisation befähigt
Aus dem in der Norm beschriebenen Anwendungsbereich (Scope, ISO/IEC 42001, Normkapitel 1 lässt sich das Ziel ableiten, Kriterien für ein Managementsystem zu benennen, das eine Organisation befähigt
| • | Ihre Ziele zu verfolgen, |
| • | transparente KI-Richtlinien zu entwickeln, |
| • | ein Risikomanagement und eine Folgenabschätzung umzusetzen, |
| • | eine verantwortungsvolle Entwicklung und ethische Nutzung von KI-Systemen zu gewährleisten und |
| • | eine Rechenschaftspflicht von KI-Systemen zu etablieren. |
Die Norm gilt für Organisationen, unabhängig ihrer Größe und Art, die Produkte und Dienstleistungen anbietet oder nutzt, die KI-Systeme nutzen.
1.3 ISO/IEC 42001 und Artifical Intelligence Act (AI Act)
AI Act
Die ISO/IEC 42001 kann eine wichtige Rolle bei der Umsetzung des Artifical Intelligence Act (AI Act) [2] spielen, indem sie konkrete Leitlinien und Best Practises für das Management von KI-Systemen bereitstellt. Organisationen können die Norm nutzen, um die Anforderungen des AI Acts strukturiert umzusetzen und nachzuweisen, ebenfalls kann die ISO/IEC 42001 dazu beitragen, einheitliche Standards und Zertifizierungen für vertrauenswürdige KI zu etablieren, was die Rechtssicherheit und vor allem das Vertrauen in KI-Systeme stärken und die Durchsetzung des AI Acts erleichtern würde.
Die ISO/IEC 42001 kann eine wichtige Rolle bei der Umsetzung des Artifical Intelligence Act (AI Act) [2] spielen, indem sie konkrete Leitlinien und Best Practises für das Management von KI-Systemen bereitstellt. Organisationen können die Norm nutzen, um die Anforderungen des AI Acts strukturiert umzusetzen und nachzuweisen, ebenfalls kann die ISO/IEC 42001 dazu beitragen, einheitliche Standards und Zertifizierungen für vertrauenswürdige KI zu etablieren, was die Rechtssicherheit und vor allem das Vertrauen in KI-Systeme stärken und die Durchsetzung des AI Acts erleichtern würde.
Wichtig!
Die Anforderungen des AI Acts und die Leitlinien der ISO/IEC 42.001 müssen aufeinander abgestimmt werden, um eine kohärente Anwendung sicherzustellen.
Die Anforderungen des AI Acts und die Leitlinien der ISO/IEC 42.001 müssen aufeinander abgestimmt werden, um eine kohärente Anwendung sicherzustellen.
Der AI Act ist ein von der Europäischen Union verabschiedetes Gesetz zur Regulierung von Künstlicher Intelligenz (KI). Er wurde am 13. März 2024 verabschiedet und zielt darauf ab, den Einsatz von KI-Systemen zu regeln, um Sicherheit und Grundrechte zu schützen und gleichzeitig Innovationen zu fördern. Im deutschsprachigen Raum wird der AI Act als KI-VO bezeichnet.
Der AI Act ist eine Reaktion auf die rasante Entwicklung der KI-Technologie und ihre zunehmende Bedeutung in allen Lebensbereichen. Durch einheitliche Regeln soll Rechtssicherheit geschaffen, Vertrauen in KI gestärkt und ein fragmentierter Binnenmarkt verhindert werden. Zudem soll die EU eine Vorreiterrolle bei der ethischen und menschenzentrierten KI einnehmen.
Zeitlicher Rahmen
Die Abbildung 1 umreißt den zeitlichen Rahmen des schrittweisen Wirksamwerdens der KI-VO. Unternehmen müssen bereits seit dem 02.02.2025, sicherstellen, dass sie keine verbotenen KI-Systeme verwenden. Auch müssen Anbieter und Betreiber von KI-Systemen seit dem Maßnahmen ergreifen und sicherstellen, dass alle die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen. Bis spätestens zum 02.08.2026 müssen Unternehmen alle im Betrieb verwendeten Hochrisiko-KI-Systeme identifizieren und die entsprechenden Vorschriften des AI Act umsetzen. Falls Unternehmen KI-Systeme als Sicherheitskomponenten in durch die EU regulierten Produkten nutzen, müssen sie zusätzlich sicherstellen, dass sie bis spätestens 02.08.2027 vollständig den Vorschriften entsprechen.
Die Abbildung 1 umreißt den zeitlichen Rahmen des schrittweisen Wirksamwerdens der KI-VO. Unternehmen müssen bereits seit dem 02.02.2025, sicherstellen, dass sie keine verbotenen KI-Systeme verwenden. Auch müssen Anbieter und Betreiber von KI-Systemen seit dem Maßnahmen ergreifen und sicherstellen, dass alle die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen. Bis spätestens zum 02.08.2026 müssen Unternehmen alle im Betrieb verwendeten Hochrisiko-KI-Systeme identifizieren und die entsprechenden Vorschriften des AI Act umsetzen. Falls Unternehmen KI-Systeme als Sicherheitskomponenten in durch die EU regulierten Produkten nutzen, müssen sie zusätzlich sicherstellen, dass sie bis spätestens 02.08.2027 vollständig den Vorschriften entsprechen.
AI Act im Zeitstrahl
Es ist also offensichtlich, dass ein geordnetes Vorgehen durch die Einrichtung von Managementprozessen entsprechende der ISO/IEC 42001 zielführend ist.
Es ist also offensichtlich, dass ein geordnetes Vorgehen durch die Einrichtung von Managementprozessen entsprechende der ISO/IEC 42001 zielführend ist.
1.4 Struktur der Norm
Harmonized Structure (HS)
Die Grundstruktur der ISO/IEC 42001 entspricht der der Harmonized Structure (HS) für Managementsystemstandards der ISO, wie sie auch bei den Standards ISO 9001 [3], ISO/IEC 27001 [4] und ISO/IEC 27002 [5] anzutreffen ist.
Die Grundstruktur der ISO/IEC 42001 entspricht der der Harmonized Structure (HS) für Managementsystemstandards der ISO, wie sie auch bei den Standards ISO 9001 [3], ISO/IEC 27001 [4] und ISO/IEC 27002 [5] anzutreffen ist.
Nach dieser Gliederung finden wir in der ISO/IEC ebenfalls die Normkapitel 1–10, wovon die ersten drei Kapitel den Anwendungsbereich beschreiben, normative Verweise liefern und Begriffe und Definitionen festlegen.
Inhalt und PDCA-Zyklus
Die darauffolgenden Normkapitel 4–10 sind nach dem Plan-Do-Check-Act(-PDCA)-Zyklus strukturiert.
Die darauffolgenden Normkapitel 4–10 sind nach dem Plan-Do-Check-Act(-PDCA)-Zyklus strukturiert.
Tabelle 1: Zusammenhang zwischen Inhaltsstruktur und PDCA-Zyklus
Kapitel 1 | Anwendungsbereich | |
Kapitel 2 | Normative Verweise | |
Kapitel 3 | Begriffe und Definitionen | |
Kapitel 4 | Kontext der Organisation | |
Kapitel 5 | Führung | Planen (PLAN): Festlegen von Zielen und Ressourcen |
Kapitel 6 | Planung | |
Kapitel 7 | Unterstützung | Durchführen (DO): Umsetzung der Pläne |
Kapitel 8 | Operation/Betrieb | |
Kapitel 9 | Leistungsbewertung | Prüfen (CHECK): Überwachen und Messen von Prozessen, Produkten und Dienstleistungen |
Kapitel 10 | Verbesserung | Handeln (ACT): Verbessern der Prozessleistung, soweit notwendig |
Klima bereits berücksichtigt
In der Ende 2023 erschienen KIMS-Norm sind die Anforderungen zum Klimawandel bereits in den Normkapiteln 4.1 und 4.2 enthalten. Damit entfiel seitens der ISO für diesen Aspekt die Notwendigkeit dazu ein Amendment zu veröffentlichen, wie bei den anderen Managementsystemstandards geschehen.
In der Ende 2023 erschienen KIMS-Norm sind die Anforderungen zum Klimawandel bereits in den Normkapiteln 4.1 und 4.2 enthalten. Damit entfiel seitens der ISO für diesen Aspekt die Notwendigkeit dazu ein Amendment zu veröffentlichen, wie bei den anderen Managementsystemstandards geschehen.
Außerdem haben wir – ähnlich wie in der ISO/IEC 27001 – einen Normanhang A (Referenz-Kontrollziele und -kontrollen) mit Anforderungen (Controls) die der Organisation eine Referenz für die Erreichung der Unternehmensziele und die Bewältigung von Risiken im Zusammenhang mit der Entwicklung und dem Betrieb von KI-Systemen bietet.