Auf einen Blick
- Die ISO 42001 ist eine Managementsystemnorm. Die KI-Verordnung ist ein Produktrecht. Diese Differenz erklärt, warum kein ISO-Zertifikat allein die KI-Verordnung abdeckt.
- Solange die harmonisierten europäischen Normen prEN 18286, prEN 18228 und prEN 18282 nicht im Amtsblatt veröffentlicht sind, löst keine verfügbare Zertifizierung die Konformitätsvermutung nach Artikel 40 aus.
- Der pragmatische Weg führt zweistufig: ISO 42001 baut das Managementgerüst, und je Hochrisiko-KI-System wird zusätzlich die in Artikel 17 geforderte produktbezogene Akte aufgebaut.
- Das NIST AI RMF und ISO/IEC 23894 dienen als operative Krücken, bis das europäische Paket veröffentlicht ist.
- Die eigentliche Arbeit liegt nicht im Audit-Termin, sondern in den Nachweisen je System, die laufend erzeugt und gepflegt werden.
Was die ISO 42001 wirklich leistet
Die 2023 veröffentlichte ISO/IEC 42001 schreibt ein Managementsystem für Künstliche Intelligenz fest. Wie die ISO 27001 für Informationssicherheit oder die ISO 9001 für Qualität gehört sie zur Familie Annex SL. Daraus ergeben sich zehn Managementkapitel, ein Maßnahmenkatalog in Anhang A und ein Plan-Do-Check-Act-Zyklus.
Wer eine andere Managementsystemnorm bereits eingeführt hat, erkennt das Skelett. Geltungsbereich. Interessierte Parteien. Politik. Risikobewertung. Risikobehandlung. Überwachung. Managementbewertung. Kontinuierliche Verbesserung. Das Eigentümliche steckt in den Maßnahmen. Anhang A führt 38 Controls unter neun Zielen auf und deckt damit KI-Politik, interne Organisation, Ressourcen, Folgenabschätzung, Systemlebenszyklus, Daten, Information an interessierte Parteien, Nutzung sowie Beziehungen zu Dritten ab. Anhang B liefert Umsetzungshinweise zu jeder Maßnahme, Anhang C listet typische KI-spezifische Risikoquellen, Anhang D zeigt die Brücken zu anderen ISO-Normen.
Die Zertifizierung folgt dem bekannten Muster: ein zweistufiges Audit durch eine akkreditierte Zertifizierungsstelle. Stufe 1 prüft, ob das System gestaltet und dokumentiert ist, typischerweise zwei Tage Dokumentenprüfung. Stufe 2 prüft, ob das System tatsächlich läuft. Am Ende steht ein Zertifikat mit drei Jahren Gültigkeit, ergänzt um jährliche Überwachungsaudits.
Man sollte sich klarmachen, was dieses Zertifikat aussagt und was nicht. Es belegt, dass die Organisation ein KI-Managementsystem führt und dass dieses System zu einem Zeitpunkt gegen die Anforderungen der ISO 42001 geprüft wurde. Es zertifiziert kein bestimmtes KI-System, beantwortet keine konkrete Regulierungsfrage und erfüllt für sich keine Pflicht der KI-Verordnung.
Warum ISO 42001 die KI-Verordnung nicht ersetzt
Die Lücke ist eine Frage der Bezugsebene. ISO 42001 zertifiziert die Organisation. Die KI-Verordnung reguliert das einzelne System. Artikel 3 Nummer 20 lässt daran keinen Zweifel: Konformitätsbewertung ist „das Verfahren, in dem nachgewiesen wird, ob die in Kapitel III Abschnitt 2 festgelegten Anforderungen an ein Hochrisiko-KI-System erfüllt sind“. Der Beleg wird Produkt für Produkt verlangt.
Dieser Unterschied prägt alles Weitere. Die ISO 42001 orientiert sich am Annex-SL-Bauplan, in dem die Organisation der Bezugspunkt ist. Politik, interne Steuerung, Audit, kontinuierliche Verbesserung greifen auf der Ebene des Unternehmens. Artikel 17 der KI-Verordnung dagegen verlangt, dass für jedes Hochrisiko-KI-System dreizehn Elemente nachweisbar implementiert sind: Strategie zur Einhaltung der Vorschriften, Designkontrolltechniken, Entwicklungs- und Qualitätssteuerung, Test- und Validierungsverfahren, technische Spezifikationen, Datenverwaltungssysteme, das Risikomanagementsystem aus Artikel 9, Beobachtung nach dem Inverkehrbringen, Vorfallmeldung, Kommunikation mit den nationalen Behörden, Verantwortlichkeitsrahmen, Ressourcenmanagement, internes Auditprogramm.
Eine Organisation kann mithin ein gültiges ISO-42001-Zertifikat tragen und zugleich ein Hochrisiko-System betreiben, das die Anforderungen aus Artikel 17 nicht erfüllt. Das Zertifikat sagt, dass die Flotte gesteuert wird. Es sagt nichts darüber, ob jedes Fahrzeug in der Flotte den geltenden Produktanforderungen genügt. Artikel 11 untermauert das: Die technische Dokumentation eines Hochrisiko-KI-Systems muss vor dem Inverkehrbringen in der in Anhang IV vorgesehenen Form erstellt und aktuell gehalten werden, pro System, nicht pro Organisation.
Der juristische Hebel, der eine Norm zur Konformitätsbescheinigung macht, ist die Vermutung nach Artikel 40. Diese setzt voraus, dass die Norm im Amtsblatt der Europäischen Union als harmonisiert referenziert ist. Die ISO 42001 erfüllt diese Bedingung nicht. Sie ist ein internationales ISO/IEC-Dokument, sie wurde vor der KI-Verordnung verfasst und nicht gegen deren Anforderungen entworfen. Auch wenn das CEN-CENELEC Teile übernehmen wird, bindet die Vermutung an die europäische harmonisierte Fassung, nicht an das ISO-Zertifikat.
Der Normen-Baukasten, der die KI-Verordnung wirklich abdeckt
Im Oktober 2025 hat die Europäische Kommission das Normungsmandat an CEN und CENELEC präzisiert. Zehn Themenbereiche werden vom Joint Technical Committee JTC 21 bearbeitet: Risikomanagement, Daten-Governance und -Qualität, Aufzeichnungen, Transparenz, menschliche Aufsicht, Genauigkeit, Robustheit, Cybersicherheit, Qualitätsmanagement, Konformitätsbewertung. Mehrere Entwürfe stehen in öffentlicher Anfrage oder sind kurz davor.
Vier Bausteine zeichnen sich klar ab, und sie verdrängen die ISO 42001 nicht, sie ergänzen sie.
prEN 18286, Qualitätsmanagementsystem (Artikel 17)
Am 30. Oktober 2025 ist prEN 18286 als erste KI-Norm in die öffentliche Anfrage eingetreten. Der Titel lautet „Künstliche Intelligenz, Qualitätsmanagementsystem für regulatorische Zwecke der EU-KI-Verordnung“, die formale Veröffentlichung wird für das vierte Quartal 2026 erwartet.
Der entscheidende Unterschied zur ISO 42001 liegt in der Architektur. Während die ISO 42001 sich um die Organisation gruppiert, ist prEN 18286 direkt um den Wortlaut von Artikel 17 herum gebaut. Jedes der dreizehn QMS-Elemente korrespondiert mit einem spezifischen Abschnitt der Norm. Damit lassen sich Nachweise pro System führen, die Dokumentation verfolgt die Konformität auf Systemebene, und die Zertifizierungsstelle prüft entlang einer regulatorisch validierten Checkliste. Diese Bauweise folgt der Produktsicherheitslogik des Neuen Rechtsrahmens und verleiht der Norm den rechtlichen Effekt, der der ISO 42001 fehlt: Sobald sie im Amtsblatt referenziert ist, löst ihre Anwendung die Vermutung nach Artikel 40 aus.
prEN 18228, Risikomanagement (Artikel 9)
prEN 18228 antwortet auf eine zentrale Pflicht. Artikel 9 schreibt jedem Anbieter eines Hochrisiko-KI-Systems ein dokumentiertes, lebenszyklusweites Risikomanagementsystem vor. prEN 18228 ist die erste horizontale KI-Risikomanagement-Norm, die konsequent aus der Perspektive der Produktsicherheit konzipiert wurde und nicht aus der generischen Unternehmensrisikosicht.
Die Norm legt Terminologie, Grundsätze und einen Prozess fest, mit dem Gefährdungen identifiziert, Risiken eingeschätzt und bewertet, Maßnahmen umgesetzt und deren Wirksamkeit überwacht werden. Im Anwendungsbereich liegen Risiken für Gesundheit, Sicherheit und Grundrechte, dieselbe Trias, die die Hochrisiko-Klassifizierung der KI-Verordnung trägt. prEN 18228 ist zudem so entworfen, dass sie sich nahtlos in prEN 18286 einfügt: Artikel 17 Absatz 1 Buchstabe g bindet das Risikomanagementsystem nach Artikel 9 ausdrücklich in das QMS ein.
Auf der internationalen Seite deckt ISO/IEC 23894:2023 ein ähnliches Feld ab, als KI-spezifischer Begleiter zu ISO 31000. Sie ist verfügbar und sofort einsetzbar, trägt aber keine europäische Vermutung. Sinnvoll ist daher der Pfad, ein Programm heute gegen ISO/IEC 23894 aufzusetzen und zur Veröffentlichung von prEN 18228 ohne Bruch umzusteigen.
prEN 18282, Cybersicherheit (Artikel 15 Absatz 5)
Artikel 15 verlangt von Hochrisiko-KI-Systemen ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit. Absatz 5 zielt insbesondere auf KI-spezifische Schwachstellen. prEN 18282 ist die harmonisierte Norm, die zu diesen Anforderungen aktuell erarbeitet wird.
Ihre technische Spannweite ist konkret: Datenvergiftung, Modellvergiftung, adversariale Beispiele, Modell-Evasion, Vertraulichkeitsangriffe auf Trainingsdaten oder Parameter, ausnutzbare Inferenz-Schwachstellen. Die Norm ist auf die korrespondierenden Anforderungen des Cyber Resilience Act abgestimmt, sodass Anbieter KI-integrierter Produkte beide Regime mit einem einheitlichen Nachweisbestand bedienen können. Anfang 2026 befindet sich prEN 18282 noch im Arbeitsentwurf, etwa einen Zyklus hinter prEN 18286 und prEN 18228. Das BSI begleitet diese Entwicklung über seine eigenen Hinweise zu KI-Systemsicherheit.
Bias, Daten, Transparenz, der Rest des Pakets
Die weiteren Normen im JTC-21-Programm decken Bias- und Diskriminierungsmanagement (prEN 18283), Datenqualität und -Governance (prEN 18284), Aufzeichnungen, Transparenz, menschliche Aufsicht, Genauigkeit und Robustheit ab. Das Europäische KI-Amt und die Gemeinsame Forschungsstelle (JRC) veröffentlichen regelmäßig Fortschrittsberichte; die von Adam Leon Smith gepflegte Übersicht ai-act-standards.com bietet einen aktuellen Stand.
Artikel 50, der die Transparenzpflichten regelt, wird durch einen Leitlinien-Entwurf flankiert, der seit Mai 2026 in öffentlicher Konsultation steht. Diese Leitlinien sind technisch keine Normen, definieren aber die Erwartungen der Kommission an die Umsetzung.
Auditstellen und Folgenabschätzung, ISO/IEC 42006 und 42005
Zwei 2025 erschienene ISO-Texte schließen Lücken, die das europäische Paket nicht direkt adressiert. ISO/IEC 42006:2025 legt die Anforderungen an Stellen fest, die AIMS-Implementierungen nach ISO 42001 prüfen und zertifizieren. Sie baut auf ISO/IEC 17021-1 als Rahmennorm für Zertifizierungsstellen auf und ergänzt KI-spezifische Kompetenzanforderungen: Auditoren müssen KI-Lebenszyklen, Datenverarbeitung, Modelltraining und Mechanismen kontinuierlichen Lernens beherrschen, um glaubwürdig prüfen zu können.
ISO/IEC 42005:2025 bietet ein Verfahren zur KI-Folgenabschätzung, eine strukturierte Analyse, wie Ausgaben und Wirkungen eines KI-Systems Einzelne, Gruppen und die Gesellschaft beeinflussen. Artikel 27 der KI-Verordnung enthält die zugehörige Pflicht für bestimmte Betreiber; die operative Methodik aus ISO/IEC 42005 ist dafür ein tragfähiger Ausgangspunkt. Beide Normen sind nicht harmonisiert, beide sind dennoch wertvoll.
Der Gegen-Einwand: Warum trotzdem nach ISO 42001 zertifizieren?
Angesichts der noch ausstehenden europäischen Pile liegt der Gedanke nahe, die ISO 42001 zu überspringen und auf prEN 18286 zu warten. Für die meisten Anbieter wäre das die falsche Entscheidung.
Zum einen teilen ISO 42001 und prEN 18286 das Annex-SL-Skelett. Die Klauseln 4 bis 10 sind in beiden Normen formal identisch. Wer ISO 42001 sauber implementiert hat, hat den organisatorischen Großteil dessen, was prEN 18286 verlangen wird, bereits geleistet. Die Migration wird inkrementell ausfallen, kein Neubau.
Zum anderen ist das Zertifikat das derzeit deutlichste Signal am Markt. Beschaffungsabteilungen, Konzernkunden, außereuropäische Regulierer, Investoren in Due Diligence lesen es als Beleg, dass eine Organisation ihre KI-Systeme aktiv steuert. In den Vertriebsgesprächen 2026 ist das ein greifbarer Wert.
Der Auditprozess hat zudem diagnostischen Nutzen. Die Stufe-2-Prüfung legt offen, wo zwischen Politik und Praxis Lücken klaffen. Eine Organisation, die das Verfahren durchlaufen hat, weiß präzise, welche Maßnahmen wirklich greifen, welche nur dokumentiert sind und welche faktisch laufen, ohne formalisiert zu sein. Dieser Erkenntnisgewinn ist unabhängig von der KI-Verordnung.
Für Anbieter außerhalb des Binnenmarkts bleibt die ISO 42001 darüber hinaus die internationale Referenz. Das US-amerikanische NIST AI Risk Management Framework ist freiwillig und ergänzt; das Vereinigte Königreich signalisiert eine prinzipienbasierte Regulierung, die internationale Normen anerkennt; Singapur, Kanada und Australien zitieren die ISO 42001 in ihren Leitfäden.
Die wirtschaftlich sinnvolle Haltung ist daher klar. ISO 42001 als Fundament, nicht als Endpunkt. Die Organisation zertifizieren und parallel je Hochrisiko-System die produktbezogenen Nachweise aufbauen, die die Verordnung verlangt, mit prEN 18228, prEN 18282 und prEN 18286, sobald sie verfügbar sind, und mit ISO/IEC 23894 und 42005 als unmittelbarem Ersatz.
Zeitplan: Wann welche Pflicht greift
Am 19. November 2025 hat die Kommission ihren Digital Omnibus veröffentlicht, ein Maßnahmenpaket im Einklang mit dem digitalen Regelwerk. Es schlägt unter anderem vor, das Inkrafttreten der Hochrisiko-Bestimmungen an die Verfügbarkeit von Unterstützungsinstrumenten zu koppeln, harmonisierte Normen eingeschlossen.
Daraus ergeben sich neue Spätfristen: 2. Dezember 2027 für Hochrisiko-KI-Systeme nach Anhang III, 2. August 2028 für KI-Systeme, die in Produkte nach bestehender Unionsharmonisierungsgesetzgebung in Anhang I eingebettet sind. Stehen die Normen früher zur Verfügung, kann die Kommission die Anwendung vorziehen.
Für die Planung heißt das, 2026 ist das Umsetzungsfenster. Anbieter, die Hochrisiko-KI-Systeme auf dem Binnenmarkt anbieten, sollten ein vollständiges, prüfungsreifes Programm bis Mitte 2027 anvisieren, um Puffer zu haben. Die ISO-42001-Grundstruktur gehört bereits hinein; die prEN-konformen Nachweise je System entstehen 2026 gegen die laufenden Entwürfe und werden anschließend verfeinert. Im deutschsprachigen Raum begleitet das BSI die Standardisierungsarbeiten zur KI-Sicherheit, der BfDI hat zu KI-Anwendungen in der Verwaltung positioniert.
Anhang A trifft Artikel 17, eine pragmatische Kartierung
Die Übung, die in den meisten Veröffentlichungen ausbleibt: 38 Maßnahmen aus Anhang A der ISO 42001 systematisch gegen 13 Elemente aus Artikel 17 Absatz 1 zu legen und sowohl Übereinstimmungen als auch Lücken zu markieren.
Einige Treffer sind unmittelbar. A.2 KI-Politiken passt zu Artikel 17 Absatz 1 Buchstabe a, der eine Strategie zur Einhaltung der Vorschriften verlangt. A.3 interne Organisation deckt sich mit Buchstabe c zum Verantwortlichkeitsrahmen. A.4 Ressourcen unterstützt Buchstabe b zu Techniken, Verfahren und systematischen Maßnahmen für Design, Designkontrolle und Verifikation. A.6 Folgenabschätzung, kombiniert mit ISO/IEC 23894, erfüllt Buchstabe g zum Risikomanagementsystem. A.8 Information an interessierte Parteien stützt Buchstabe i zu technischen Spezifikationen und anzuwendenden Normen. A.10 Drittparteien deckt Buchstabe j zu Systemen und Verfahren der Datenverwaltung.
Es gibt jedoch echte Lücken. Buchstabe l fordert ausdrücklich ein Beobachtungssystem nach dem Inverkehrbringen im Sinne von Artikel 72. Die ISO 42001 streift dieses Thema in Klausel 9 zur Leistungsbewertung, doch Artikel 72 ist deutlich spezifischer: Vorfallprotokolle, die Meldepflicht schwerer Vorfälle nach Artikel 73, Trigger für Korrekturmaßnahmen. Eine ISO-42001-Managementbewertung allein erfüllt diese Anforderungen nicht.
Ähnliches gilt für Buchstabe h. Die Kommunikationsverfahren mit notifizierten Stellen, zuständigen Behörden, Kunden und anderen Akteuren sind verordnungsspezifisch und finden in der ISO 42001 keinen direkten Spiegel. Die technische Dokumentation nach Anhang IV, die Grundlage von Artikel 17, ist in der ISO 42001 ebenfalls nicht abgedeckt; die Norm hält sich bewusst von produktbezogener Dokumentation fern.
Die praktische Empfehlung lautet, ISO 42001 als Skelett zu nutzen und parallel einen fokussierten Artikel-17-Implementierungsstrang einzurichten, der die Lücken schließt. Jede Anhang-A-Maßnahme wird etikettiert: „deckt 17.1.x“, „trägt zu 17.1.x bei“ oder „verordnungsspezifische Lücke“. Wenn prEN 18286 veröffentlicht ist, wandelt sich der Lückenstrang in den Pfad der Konformitätsvermutung. Bis dahin dokumentiert man, was man tut, und warum.
Operative Umsetzung: die AI-Sigil-Sequenz
Für ein KI-Verordnungs-Programm in 2026 empfehlen wir eine Sequenz aus fünf Schritten.
Inventarisierung und Risikoklassifizierung. Anhang III und Artikel 6 dienen als Klassifikationsraster. Je System werden Zweck, Betreiber, Anbieter, Dateneingaben, Modellklasse, Risikostufe erfasst. Dieses Inventar ist das Rückgrat aller weiteren Artefakte; ohne es bleibt jede spätere Maßnahme strukturell unvollständig.
Reifegradaudit gegen ISO 42001 auf Organisationsebene. Ziel ist nicht das Zertifikat in dieser Phase, sondern eine Lückenanalyse: Was deckt das AIMS bereits ab, was existiert nur als Politik, was fehlt. Das Ergebnis speist die Managementbewertung und die Erklärung zur Anwendbarkeit für den späteren Zertifizierungsaudit.
Technische Akte je System. Anhang IV definiert den Mindestinhalt. Jedes Hochrisiko-System erhält seine eigene Akte, getragen von einer verantwortlichen Rolle in der Anbieterorganisation, aktualisiert mit jeder Version und jedem post-market-Ereignis.
Risikomanagementsystem nach Artikel 9. Nicht auf die Veröffentlichung von prEN 18228 warten. ISO/IEC 23894 dient als Arbeitsschablone; die Programmstruktur sollte so angelegt sein, dass der Wechsel zu prEN 18228 eine Substitution wird, keine Neufassung. Der Prozess läuft kontinuierlich über den Lebenszyklus und ist prüfungsfähig.
Post-Market-Beobachtungsschleife nach Artikel 72. Erfahrungsgemäß die am stärksten unterschätzte Pflicht. Artikel 72 fordert eine aktive Sammlung, Dokumentation und Auswertung von Leistungsdaten über den gesamten Lebenszyklus. Die Schleife wird mit der Vorfallmeldung nach Artikel 73 und den Korrekturmaßnahmen-Triggern des QMS verkoppelt. Ohne diese Mechanik veraltet die Akte eines Systems binnen Wochen nach Inbetriebnahme.
Jeder Schritt zählt nur über seine Nachweise: das KI-System-Register, die Erklärung zur Anwendbarkeit, die technische Akte je System, die Risikobehandlungseinträge, das Monitoring-Dashboard mit protokollierten Vorfällen. Konformität wohnt nicht in der Politik, sondern in dem, was an einem Dienstagmorgen vor einem Auditor produziert werden kann.
An dieser Stelle verlieren die meisten Programme an Tempo, und hier setzt die Plattform AI Sigil an. Wir behandeln das KI-System-Register und die technische Akte als Objekte erster Klasse, verbinden Maßnahmen und Nachweise mit konkreten Anhang-A-Einträgen, und visualisieren Lücken gegen die dreizehn Elemente des Artikels 17 als laufendes operatives Dashboard statt als jährliche Papierübung.
Häufige Fragen
Ist ISO 42001 nach der KI-Verordnung verpflichtend?
Nein. Keine Norm ist nach der KI-Verordnung verpflichtend. Harmonisierte Normen liefern eine Konformitätsvermutung für bestimmte Artikel; Anbieter können andere Wege wählen, tragen dann aber die Beweislast.
Worin liegt der reale Unterschied zwischen ISO 42001 und prEN 18286?
In der Bezugsebene. ISO 42001 zertifiziert die Organisation. prEN 18286 ist um die dreizehn Elemente des Artikels 17 herum gebaut und erzeugt Nachweise je System. Beide Normen teilen die Annex-SL-Struktur, beantworten aber unterschiedliche Fragen.
Kann man sich heute nach prEN 18286 zertifizieren lassen?
Noch nicht. Der Entwurf befindet sich seit Oktober 2025 in öffentlicher Anfrage; die Veröffentlichung wird für Ende 2026 erwartet, die Zertifizierungsschemata folgen darauf. Vorbereitung gegen den Entwurf ist möglich, ein formales Zertifikat nicht.
Wie lange dauert eine ISO-42001-Zertifizierung?
Sechs bis neun Monate für eine Organisation mit einem reifen Managementsystemprogramm, zwölf bis achtzehn Monate für eine, die auf einem niedrigeren Reifegrad startet. Engpass ist nicht das Audit selbst, sondern die Zeit, die das Schließen der Politik-Praxis-Lücken benötigt, welche die Vorbereitung sichtbar macht.
Erfüllt ISO 42001 KI-Regulierungen außerhalb der EU?
Teilweise. Der Colorado AI Act, das New Yorker Gesetz zu automatisierten Beschäftigungsentscheidungen (Local Law 144) und mehrere weitere US-bundesstaatliche Vorschriften haben eigene Bewertungsregime. ISO 42001 liefert ein nützliches Governance-Skelett, deckt diese Regime aber nicht aus sich heraus ab. Die britische prinzipienbasierte Regulierung erkennt internationale Normen breiter an.
Wie verhalten sich ISO 42001 und ISO 27001 zueinander?
Gleicher Bauplan. Beide folgen Annex SL und nutzen die Mechanik der Erklärung zur Anwendbarkeit. Eine bereits nach ISO 27001 zertifizierte Organisation kann ihren AIMS-Geltungsbereich über ISO 42001 erweitern, mit geteilter Managementbewertung und Risikomethodik. Anhang A der ISO 42001 ergänzt KI-spezifische Maßnahmen, die ISO 27001 nicht abdeckt: Folgenabschätzung, Lebenszyklus, KI-Drittparteibeziehungen.
Vom Papier zum Produkt
Die ISO 42001 errichtet das Managementsystem. Der harmonisierte europäische Baukasten (prEN 18286 für das QMS, prEN 18228 für das Risiko, prEN 18282 für die Cybersicherheit, und die nachfolgenden Normen) schafft das produktbezogene Konformitätsregime, das die Verordnung tatsächlich verlangt. ISO/IEC 23894 und 42005 schließen die kurzfristigen Lücken, bis die europäischen Pendants verfügbar sind.
Kein einzelnes Zertifikat macht ein Hochrisiko-KI-System verordnungskonform. Konformität ist eine operative Praxis, getragen auf Systemebene, die die in den Artikeln 11 und 17 verlangten Nachweise produziert. Der Normen-Baukasten ist das Gerüst. Die Arbeit liegt in der Umsetzung.
Wer diese Umsetzung aufbaut, findet in AI Sigil die Plattform, die den Baukasten in operative Maßnahmen, Nachweise und prüfungsreife Artefakte übersetzt. Mit dem Inventar beginnen. Die technischen Akten aufbauen. Die Post-Market-Schleife in Betrieb nehmen. So wird aus Papier ein Produkt.