ISO/IEC 42001: KI-Managementsysteme

Die ISO/IEC 42001 trägt den Titel „Information technology – Artificial intelligence – Management system“. Erste Medizinproduktehersteller haben sich auf den Weg gemacht, sich nach dieser Norm zertifizieren zu lassen.

Doch sind die Aufwände dafür gerechtfertigt? Hilft die ISO/IEC 42001 dabei, die Anforderungen des AI Act zu erfüllen? Antworten gibt dieser Artikel.

1. ISO/IEC 42001: Das Wichtigste im Überblick

a. Anwendungsbereich der Norm

Die ISO/IEC 42001 wendet sich an alle Organisationen, die Produkte mit künstlicher Intelligenz nutzen, entwickeln oder/und selbst anbieten.

Laut destatis.de nutzen inzwischen mehr als 20 % der Unternehmen KI-Technologien. Bei Großunternehmen (ab 250 Beschäftigten) liegt der Anteil sogar bei fast der Hälfte. All diese Unternehmen fallen in den Anwendungsbereich der ISO/IEC 42001.

b. Ziele der Norm

Die Norm möchte den Organisationen dabei helfen, die Chancen der KI zu nutzen und deren Risiken zu beherrschen. Dabei soll eine Balance gefunden werden zwischen „governance mechanisms and innovation“.

c. Ansätze der Norm

Prozessorientierter Ansatz und Integration in andere Managementsysteme

Die ISO/IEC 42001 ist eine Norm für ein KI-Managementsystem. Genau wie andere Managementnormen (z. B. ISO 9001, ISO 13485, ISO 27001) beschreibt sie deshalb Anforderungen an Prozesse. Das betrifft alle Typen von Prozessen:

• Führungsprozesse, z. B. zum Festlegen einer „AI Policy“
• Kernprozesse, z. B. die Entwicklung von KI-basierten Produkten
• Unterstützungsprozesse wie die Sicherstellung der KI-Kompetenzen

Die Norm kann und sollte daher zu einem integrierten Managementsystem führen.

Risikobasierter Ansatz

Die Norm verfolgt einen risikobasierten Ansatz. Daher verweist sie auch auf die ISO/IEC 23894:2023 („Information technology – Artificial intelligence – Guidance on risk management“) und die ISO 31000.

d. „High Level Structure“ der Norm

Die Norm folgt der „High Level Structure“ (HLS) der Managementsystem-Normen.

2. Anforderungen der ISO/IEC 42001

Kapitel 4 (Kontext der Organisation)

Zuerst muss die Organisation bestimmen, wer wie vom Einsatz der KI betroffen ist, was die Erwartungen dieser Stakeholder sind und was der Anwendungsbereich des KI-Managementsystems sein wird.

Kapitel 5 (Führung)

Die Forderungen des Kapitels 5 sind für „managementsystem-erprobte“ Unternehmen keine Überraschung. Das Management muss

• hinter dem Managementsystem stehen („Committment“)
• die notwendigen Ressourcen bereitstellen,
• die „Politik“ (hier die „AI Policy“) festlegen und
• die notwendigen Verantwortlichkeiten bestimmen.

Kapitel 6 (Planung)

Die Norm verfolgt einen risikobasierten Ansatz. Konsequenterweise muss die Planung mit einer Analyse der Chancen und Risiken und der Festlegung risikominimierender Maßnahmen beginnen. Bei den Maßnahmen verweist sie auf den normativen Anhang A. Dessen „Controls“ sind jedoch teilweise unspezifisch.

Kapitel 7 (Support)

Mit „Support“ meint die ISO/IEC 42001 nicht „Customer Support“, sondern die notwendigen Unterstützungen für das KI-Managementsystem:

• Ressourcen (ganz allgemein)
• Kompetenz und das Bewusstsein der Beschäftigten
• Interne und externe Kommunikation
• Erforderliche Dokumentation

Kapitel 8 (Operation)

Das, was die Hersteller gemäß Kapitel 6 geplant haben, sollen sie nun umsetzen. Das ist die wesentliche Forderung des achten Kapitels.

Kapitel 9 und 10 (Messung und Verbesserung)

Die Forderungen der beiden letzten Kapitel gleichen weitgehend denen anderer Managementsysteme.

3. Umsetzung ISO/IEC 42001

Organisationen, die die Norm umsetzen wollen, sollten kein weiteres Managementsystem etablieren, sondern das bestehende System zu einem integrierten Managementsystem erweitern. Das kann in sieben Schritten erfolgen.

Schritt 1: Scope festlegen

Noch vor einer Gap-Analyse sollten die Hersteller den Anwendungsbereich festlegen. Dabei hilft das vierte Kapitel der ISO/IEC 42001. Als Ergebnis sollten feststehen:

• Interne und externe Stakeholder
• Ziele der Stakeholder und der Organisation
• Betroffene Organisationseinheiten

Schritt 2: Risiken analysieren (und die Chancen)

Wenn die Stakeholder und deren Ziele bekannt sind, können die Faktoren identifiziert werden, welche diese Ziele oder gar die Stakeholder selbst gefährden. Das betrifft auch die Risiken für die Grundrechte.

Schritt 3: Betroffene Prozesse identifizieren

Sobald die Faktoren bekannt sind, die zu Risiken führen können, sollten auch die Tätigkeiten und damit die Prozesse klar sein, bei denen diese Probleme auftreten.

Diese Liste an Prozessen sollten die Hersteller um die Prozesse ergänzen, die anderweitig von der Norm betroffen sein können, etwa HR-Prozesse.

Schritt 4: Gap-Analyse und Schließen der Lücken

Die Eigner der betroffenen Prozesse können nun eine Gap-Analyse ihrer Prozesse mit den Anforderungen der ISO/IEC 42001 durchführen und diese Lücken schließen.

Schritt 5: Implementierung der Änderungen

Jetzt gilt es, die geänderten Prozesse zu schulen und dann zu implementieren.

Schritt 6: Internes Audit und Management-Review

Ob die neuen Vorgaben gelebt werden, stellt die Organisation bei internen Audits fest. Spätestens beim Management-Review wird klar, ob weiterer Anpassungsbedarf besteht, z. B. bei den Ressourcen.

Auditpläne und das Auditprogramm müssen angepasst werden.

Schritt 7: Zertifizierung

Der letzte Schritt ist optional: die Zertifizierung nach ISO/IEC 42001 durch einen Zertifizierer. Diese Zertifizierung sollte parallel mit der Zertifizierung des gesamten Managementsystems erfolgen und damit gleichzeitig mit der Zertifizierung nach anderen Normen wie der ISO 13485.

4. Sinnhaftigkeit der Umsetzung

a. Vorteile der Umsetzung

Strategische Vorteile

Die Norm sollte zu einer unternehmensweiten Klarheit darüber beitragen,

• wer welche KI wo und zu welchem Zweck einsetzt,
• an welche Regeln man sich dabei halten will,
• welche Chancen und Risiken die KI birgt und
• wie das zum Unternehmenserfolg beiträgt.

Regulatorische Vorteile

Es kann sein, dass in einigen Rechtsbereichen die Norm gesetzlich gefordert wird. Es gibt unter anderem in Südkorea solche Überlegungen.

Operative Vorteile

Die ISO/IEC 42001 gibt v. a. im normativen Anhang B konkrete Hinweise, wie Aufgaben durchgeführt werden können, etwa das „Impact Assessment“.

b. Herausforderungen

Mangelnde „Beweiskraft“ durch fehlende Harmonisierung

Die ISO/IEC 42001 ist nicht harmonisiert, weder für die MDR bzw. IVDR noch für den AI Act. Es ist auch nicht zu erwarten, dass das passiert, denn die Norm wurde nicht mit diesem Ziel geschrieben und hat auch keinen Bezug zu Medizinprodukten oder IVD.

Daher ist die Konformität mit der Norm nur bedingt hilfreich beim Nachweis der Konformität mit den genannten EU-Verordnungen.

Insbesondere bei der Entwicklung KI-basierter Medizinprodukte bleibt die Norm hinter den gesetzlichen Anforderungen zurück.

Begrenzte Handlungsleitung

Die Anforderungen sind oft zu generisch, um direkt umgesetzt werden zu können. Das schafft auch eine Unsicherheit bei Audits, da es noch keine umfangreichen Erfahrungen gibt, was und wie Zertifizierungsorganisationen prüfen.

Zudem sind die Anforderungen teilweise redundant mit denen der anderen Managementnormen.

Aufwände, um Konzepte anzugleichen

Teilweise stimmen die Konzepte der Norm nicht mit anderen regulatorischen Dokumenten überein. Das betrifft z. B. Begriffe wie „Risiko“ und „KI-System“. Das könnte zu Verwirrungen in der Organisation führen.

Daraus folgt auch, dass die Anwendungsbereiche des AI Act und der Norm nicht identisch sind.

Aufwände für die Implementierung

Die Umsetzung der Norm kostet Zeit und Ressourcen, über die viele Organisationen und deren betroffenen Abteilungen nicht verfügen.

5. FAQ zur ISO/IEC 42001

a. Ist die Einhaltung der ISO/IEC 42001 gesetzlich gefordert?

Nein, die Norm ist nicht gesetzlich gefordert. Sie ist weder harmonisiert noch hinreichend, um die Anforderungen an KI-basierte Medizinprodukte und IVD zu erfüllen.

Es gibt aber Überlegungen, die Norm zur Voraussetzung für die Inverkehrbringung KI-basierter Medizinprodukte zu machen.

b. Wann tritt die ISO/IEC 42001 in Kraft?

Die Norm ist seit Ende 2023 bereits offiziell verabschiedet.

c. Wie lange dauert die Implementierung der ISO/IEC 42001?

Noch liegen keine konkreten Erfahrungen vor. Die Aufwände für die Implementierung der ISO/IEC 42001 dürften sich etwas unterhalb derer für eine Implementierung der ISO 27001 bewegen. Denn letztere betrifft i. d. R. alle Mitarbeitenden, wohingegen der Einsatz von KI noch(!) nicht den gleichen Verbreitungsgrad hat.

Eine typische Projektdauer dürfte sich zwischen 9 und 18 Monaten bewegen, zuzüglich der Dauer für die Zertifizierung.

d. Welche Kosten entstehen bei der Implementierung?

Auch hier fehlen noch Erfahrungswerte. Die Kosten hängen stark von Größe und Komplexität der Organisation ab. Es fallen v. a. interne Aufwände an, die sich auf ein oder mehrere Personenjahre summieren können.

Faktoren, welche diese Aufwände beeinflussen, sind:

• Anzahl und Güte der bisherigen Managementsysteme
• Homogenität und Anzahl der Standorte (verschiedene Zeitzonen erschweren die Implementierung), z. B. bezüglich Aufgaben, Prozesse, regulatorische Rahmenbedingungen, Produkte, Beschäftigte
• Veränderungsbereitschaft der betroffenen Personen und Organisationseinheiten
• „AI Literacy“
• Grad der KI-Durchdringung
• Risiken (Diese sind bei Medizinprodukten höher als bei Organisationen, die KI nur für die Sentiment-Analyse von Kundenrückmeldungen nutzen.)

e. Welche Alternativen zur ISO/IEC 42001 gibt es?

Hersteller, welche die Ziele der Norm erreichen, ohne Konformität anzustreben, können das bisherige Managementsystem um die Aspekte der Norm ergänzen, die ihnen als sinnvoll erscheinen.

Die Erweiterung bestehender Managementsysteme kann auf verschiedene Weisen erfolgen:

• Die Anforderungen der ISO/IEC 42001 werden in das Qualitätsmanagementhandbuch und in die Verfahrensanweisungen übernommen.
• Die bestehenden Verfahrensanweisungen werden nur um Verweise auf KI-spezifische Templates (z. B. für Entwicklungspläne) und Checklisten erweitert.

Falls Sie noch nicht über ein Managementsystem verfügen, wären die ISO 9001 oder ISO 27001 die erste Wahl, bei Medizinprodukte- und IVD-Herstellern die ISO 13485.

Auf den Einsatz von KI zu verzichten, dürfte für Unternehmen, die im Wettbewerb stehen, immer schwieriger werden.

f. Kann ich mich nach der ISO/IEC 42001 zertifizieren lassen?

Ja. Erste Zertifizierungsorganisationen bieten die Zertifizierung an.

6. Fazit und Zusammenfassung

a. Lob und Kritik

Die ISO/IEC 42001 ist DIE Norm für KI-Managementsysteme. Sie betrifft damit Organisationen, die KI entweder selbst einsetzen oder Produkte und Dienstleistungen anbieten, welche KI verwenden. Die Norm ist gut verständlich, und ihre Anforderungen sind sinnvoll. Sie lässt sich gut mit anderen Managementsystemen integrieren.

Allerdings sind die Anforderungen oft generisch, was den Nutzen der Norm etwas mindert. Das ist insbesondere deshalb relevant, weil sie bisher regulatorisch nicht gefordert ist und zudem hinter konkreteren Dokumenten wie dem „Questionnaire“ des TeamNB zurückbleibt (der auf dem Leitfaden des Johner Instituts basiert).

b. Priorität

Deshalb rät das Johner Institut Herstellern von KI-basierten Medizinprodukten und IVD, die Konformität in der folgenden Priorität anzustreben:

1. MDR, IVDR
2. Questionnaire des TeamNB bzw. Leitfaden des Johner Instituts
3. AI Act (der mit dem Leitfaden des Johner Instituts schon adressiert ist)
4. Ggf. andere KI-spezifische Normen, z. B.
   • ISO/IEC 25059 („Quality model for AI systems“)
   • ISO/IEC 5338 („Informationstechnik – Künstliche Intelligenz – Lebenszyklusprozesse für KI-Systeme“)
   • ISO/IEC 23894 („Information technology – Artificial intelligence – Guidance on risk management”)
5. ISO/IEC 42001

Für Organisationen, bei denen der Einsatz der KI innerhalb der eigenen Organisation sehr relevant ist, hat die ISO/IEC 42001 eine höhere Priorität.