Log in
Sign up
Brass precision caliper symbolizing ISO certification companies and audit accreditation rigor

Sections

ISO-Zertifizierungsstellen 2026: Der Leitfaden für Käufer im KI-Zeitalter

Messschieber aus Messing als Sinnbild für ISO-Zertifizierungsstellen und akkreditierte Audit-Präzision

Auf einen Blick

  • Die ISO zertifiziert niemanden. Unabhängige Zertifizierungsstellen auditieren Ihr Managementsystem und stellen das Zertifikat aus; die nationalen Akkreditierungsstellen (DAkkS in Deutschland, UKAS im Vereinigten Königreich, ANAB in den USA, RvA in den Niederlanden, COFRAC in Frankreich) beaufsichtigen diese Zertifizierungsstellen.
  • Der globale Markt der ISO-Zertifizierung konzentriert sich auf etwa zwölf Gruppen: BSI, SGS, Bureau Veritas, TUV, DNV, Intertek, LRQA, NQA, Schellman, Kiwa. Die ersten fünf erwirtschaften zusammen rund 28 bis 32 Prozent der Erlöse, während SGS und Bureau Veritas allein knapp 36 Prozent des Zertifikatsvolumens halten.
  • Die Norm ISO/IEC 42001 (KI-Managementsysteme) ordnet die relevante Auswahl neu. Voll akkreditiert sind bisher nur wenige Stellen: BSI (UKAS, RvA, ANAB), Schellman (ANAB), DNV und NQA (UKAS, ANAB) liegen vorn.
  • Am 1. Januar 2026 sind IAF und ILAC zur Global Accreditation Cooperation Incorporated (GAC) fusioniert. Das System der multilateralen Anerkennung (MLA) bleibt für Endkunden unverändert, die juristische Trägerorganisation ist jedoch neu.
  • Der leitende Auditor zählt mehr als die Marke auf dem Zertifikat. Prüfen Sie die Branchenerfahrung (Cloud-native SaaS, KI-Anbieter, Medizinprodukte, regulierte Finanzdienstleistungen) vor der Unterschrift.

Was „ISO-Zertifizierungsstellen“ tatsächlich bedeutet

Wer ISO-Zertifizierungsstellen in die Suche eintippt, verfolgt drei sehr verschiedene Ziele. Manche möchten ein Lieferantenzertifikat verifizieren. Andere suchen eine Stelle, die sie selbst auditieren soll. Eine kleinere Gruppe versucht, das Ökosystem zu kartieren, bevor sie sich auf eine Norm festlegt. Dieser Leitfaden richtet sich an die beiden letzten Gruppen, denn dort werden die strategischen Entscheidungen getroffen.

Die in Genf ansässige ISO ist die Internationale Organisation für Normung. Sie veröffentlicht die Normen (ISO 9001 für Qualität, ISO 14001 für Umwelt, ISO 27001 für Informationssicherheit, ISO/IEC 42001 für KI-Managementsysteme), zertifiziert aber niemanden. Die offizielle iso.org-Seite macht es unmissverständlich: Die ISO führt keine Zertifizierungen durch, stellt keine Zertifikate aus und erlaubt niemandem, das ISO-Logo im Zusammenhang mit Zertifizierungen zu verwenden.

Der Zertifizierungsakt selbst wird von externen Zertifizierungsstellen vollzogen, die nach ISO/IEC 17021-1 arbeiten. Diese Stellen wiederum stehen unter der Aufsicht der nationalen Akkreditierungsstellen, deren Rahmen ISO/IEC 17011 setzt. Diese zweistufige Unabhängigkeit gibt einem ISO-Zertifikat sein Gewicht in Ausschreibungen, Kundenaudits und Regulatorikdokumenten.

Im europäischen KI-Recht ist die Terminologie inzwischen bindend. Die KI-Verordnung definiert eine Konformitätsbewertungsstelle als „eine Stelle, die Tätigkeiten zur Konformitätsbewertung durch Dritte, einschließlich Prüfung, Zertifizierung und Inspektion, durchführt“ (Artikel 3 Nummer 21) und die Konformitätsbewertung als „das Verfahren zum Nachweis, dass die in Kapitel III Abschnitt 2 festgelegten Anforderungen erfüllt sind“ (Artikel 3 Nummer 20). Für Anbieter von Hochrisiko-KI-Systemen wird die ISO-Sprache damit zur Rechtspflicht.

Die Vierstufige Hierarchie: ISO, Akkreditierer, Zertifizierer, Zertifizierte

Die meisten Seiten, die für diese Anfrage ranken, lassen die Struktur weg. Sie ist jedoch entscheidend, denn sie bestimmt, wen man tatsächlich anruft.

Stufe 1: Die ISO. Veröffentlicht die Normen. Besitzt die Markenrechte. Zertifiziert nicht, akkreditiert nicht.

Stufe 2: Die Akkreditierungsstellen. Grundsätzlich eine pro Land. DAkkS in Deutschland, UKAS im Vereinigten Königreich, ANAB in den USA, COFRAC in Frankreich, Accredia in Italien, ENAC in Spanien, RvA in den Niederlanden, IPAC in Portugal, JAS-ANZ in Australien und Neuseeland, INMETRO in Brasilien. Ihre Aufgabe: bestätigen, dass eine Zertifizierungsstelle nach ISO/IEC 17021-1 arbeitet und in einem bestimmten Bereich kompetent ist (zum Beispiel ISO-27001-Audits im Finanzsektor oder ISO/IEC 42001-Audits bei Anbietern generativer KI).

Stufe 3: Die Zertifizierungsstellen. Das sind im engen Sinn die „ISO-Zertifizierungsstellen“. BSI, SGS, Bureau Veritas, TUV SUD, TUV Rheinland, DNV, Intertek, LRQA, NQA, Schellman, Kiwa plus mehrere hundert kleinere, sektor- oder länderspezifische Anbieter. Sie schicken die Auditoren, prüfen Ihr Managementsystem und stellen das Zertifikat aus.

Stufe 4: Die zertifizierten Organisationen. Die Kunden von Stufe 3. Die Datenbank iafcertsearch.org erlaubt es, zu überprüfen, ob ein Unternehmen tatsächlich ein bestimmtes Zertifikat einer bestimmten Stelle unter einer bestimmten Akkreditierung hält. Das richtige Werkzeug, bevor man der „Trust“-Seite eines Lieferanten glaubt.

IAF und ILAC, die historisch die multilaterale Anerkennung organisiert haben, sind am 1. Januar 2026 in der Global Accreditation Cooperation Incorporated (GAC) aufgegangen. Für bestehende Zertifikate ändert sich operativ nichts, doch Verträge und Ausschreibungsdokumente nach diesem Datum sollten die GAC nennen.

Die führenden ISO-Zertifizierungsstellen 2026

Drei Filter steuern die folgende Liste: globaler Akkreditierungsfußabdruck, Normenbreite, Bereitschaft für ISO/IEC 42001. Pro Eintrag: Name, Leitnormen, Akkreditierungen, praktischer Grund, weshalb ein Unternehmen die Stelle wählt oder eben nicht.

BSI Group

Das britische nationale Normungsinstitut und einer der fünf größten Zertifizierer weltweit. UKAS-, RvA- und ANAB-Akkreditierungen: ein BSI-Zertifikat ist im Vereinigten Königreich, in der EU und in Nordamerika unmittelbar anerkannt. BSI war die erste Zertifizierungsstelle weltweit, die von UKAS für ISO/IEC 42001 akkreditiert wurde, gemäß der eigenen KI-Managementsystem-Seite. Für Organisationen, deren Roadmap ISO 27001, ISO 27701 und ISO/IEC 42001 stapelt, ist BSI die sauberste One-Stop-Option.

SGS Group

Die in Genf ansässige SGS ist die weltweit größte Prüf-, Inspektions- und Zertifizierungsgruppe nach Umsatz, mit rund 19 Prozent des globalen Zertifikatsvolumens laut Branchenstudien. UKAS-, ANAB-, DAkkS-, COFRAC-, Accredia-Akkreditierungen und viele weitere. Die sichere Wahl für multinationale Rollouts, bei denen jede regionale Tochter ein lokales, gegenseitig anerkanntes Zertifikat braucht.

Bureau Veritas

Das französische Pendant zu SGS, etwa 17 Prozent des weltweiten Volumens. Stark in Industriesektoren (Energie, Automotive, Bau, Maritime) und zunehmend aktiv bei Managementsystem-Zertifizierungen für digital- und datengetriebene Unternehmen. Bureau Veritas verfügt über eine eigene KI-Assurance-Praxis und baut seine ISO/IEC 42001-Kapazität aus, wobei die regionale Akkreditierung noch reift.

TUV (TUV SUD, TUV Rheinland, TUV Nord)

Die drei TUV-Gesellschaften sind Schwesterorganisationen, die im selben Markt konkurrieren. Sie dominieren den DACH-Raum und sind von DAkkS, ANAB und anderen akkreditiert. TUV SUD und TUV Rheinland sind im KI-Assurance-Bereich am aktivsten. Die erste Adresse für industriell geprägte Kunden und für Organisationen mit hohem deutschsprachigen Auditbedarf.

DNV

Norwegische Stiftung mit starkem technischen Ruf, besonders in Maritime, Energie, Healthcare und Life Sciences. DNV ist akkreditierter Dritt-Zertifizierer für ISO/IEC 42001 gemäß eigener Service-Seite und setzt Auditoren mit deutlich technischerem Profil ein als der Durchschnitt der Top-Stellen.

Intertek

Londoner Konzern, breite Sektorabdeckung, stark bei Konsumgütern, Elektronik und Lieferketten-Assurance. UKAS-, ANAB- und viele regionale Akkreditierungen. Weniger sichtbar als BSI in der KI-Narration, aber glaubwürdige Alternative für Unternehmen, die Intertek bereits für Produkttests nutzen.

LRQA

Früher Lloyd’s Register Quality Assurance. UKAS-akkreditiert, stark positioniert in Maritime, Energie, Lebensmittelsicherheit und Lieferkette. Audit-Stil eher auf operativer Strenge als auf Dokumenten-Akrobatik.

NQA

Britische Zertifizierungsstelle, die in ISO-27001-Audits des Tech-Sektors deutlich über ihrer Größe spielt, und UKAS- sowie ANAB-akkreditiert für ISO/IEC 42001 gemäß eigener Seite. Glaubwürdiger Herausforderer zu BSI für kombinierte ISO-27001-und-42001-Audits, oft zu spürbar niedrigerem Preis.

Schellman

US-Zertifizierer, der zur ersten ANAB-akkreditierten Stelle für ISO/IEC 42001 in den USA wurde, gemäß der KI-Governance-Seite von Schellman. Für nordamerikanische KI-Anbieter der natürliche Startpunkt, dank dieser Vorreiterposition und weil Schellman SOC 2, HIPAA und ISO 27001 bei demselben Kundenprofil bereits abdeckt.

Kiwa NV

Niederländische Zertifizierungsstelle mit ausgeprägter RvA-Akkreditierung und Spezialistökosystem in Bau, Landwirtschaft, Energie und Lebensmittel. Wird hier genannt, weil sie eine glaubwürdige nicht zur „Big Five“ gehörende Alternative für primär kontinentaleuropäisch tätige Organisationen ist.

ISO/IEC 42001: die KI-Norm, die die Karten neu mischt

Im Dezember 2023 veröffentlicht, ist ISO/IEC 42001:2023 die erste internationale Managementsystem-Norm speziell für Künstliche Intelligenz. Wie ISO 27001 für die Informationssicherheit beschreibt sie die Leitlinien, Prozesse, Kontrollen und Verbesserungsschleifen, die eine Organisation einrichten muss, um ihre KI-Systeme über den gesamten Lebenszyklus hinweg zu steuern.

Von 2024 bis 2026 haben die nationalen Akkreditierungsstellen ihre Prüfprogramme in unterschiedlichem Tempo ausgerollt. UKAS, RvA und ANAB waren Vorreiter; DAkkS, COFRAC, Accredia und andere ziehen nach. Die ANAB-Programmseite zu ISO/IEC 42001 führt die aktuelle US-Liste, das UKAS-Register das britische Pendant.

Die europäische Dimension zählt ebenfalls. CEN-CENELEC bereitet die harmonisierten europäischen Normen vor, die einer Konformitätsvermutung mit der KI-Verordnung Vorschub leisten, einschließlich der Entwürfe prEN 18228 und prEN 18282. Diese Entwürfe sind während ihrer Erarbeitung vertraulich, doch ihre Existenz bedeutet, dass jede Zertifizierungsstelle, die heute in ISO/IEC 42001-Kapazität investiert, zugleich das Team aufbaut, das morgen die KI-Verordnungs-Konformitätsbewertungen durchführen wird.

Die praktische Folge: Die Shortlist für KI-intensive Organisationen ist 2026 deutlich kürzer, als die generische SERP suggeriert. Prüfen Sie, ob der Akkreditierungsumfang explizit ISO/IEC 42001 nennt, nicht nur „KI-Dienstleistungen“, bevor Sie unterschreiben. Der IAF-CertSearch-Eintrag muss die Norm per ID nennen.

Wie Sie Ihre Zertifizierungsstelle auswählen

Fünf Kriterien, in der Reihenfolge, in der erfahrene Compliance-Verantwortliche sie anwenden:

  1. Akkreditierung für die genaue Norm, durch einen GAC-MLA-Unterzeichner. Lassen Sie sich das Akkreditierungszertifikat zeigen, nicht die Marketingseite. Vergewissern Sie sich, dass die Geltungsbereich-Erklärung die benötigte Norm (zum Beispiel ISO/IEC 42001:2023) und die zu Ihrer Branche passenden Sektorcodes enthält. Einziges nicht verhandelbares Kriterium.
  2. Der leitende Auditor, nicht die Marke. Fragen Sie nach Namen und LinkedIn-Profil. Branchenerfahrung schlägt Audit-Dienstjahre. Ein hervorragendes Audit kann von einem günstigen Anbieter mit Top-Auditor kommen, ein enttäuschendes von einer Premium-Marke mit Junior-Auditor.
  3. Geografische Abdeckung. Bei mehreren Jurisdiktionen prüfen, ob die Stelle die Tochtergesellschaften im gleichen Umfang auditieren kann oder über reziproke Vereinbarungen unter der GAC-MLA verfügt. Ein Patchwork einzelner Länderzertifikate ist eine Beschaffungs-Zumutung.
  4. Überschneidung mit bestehenden Audits. Führen Ihre Teams bereits SOC 2, HIPAA, PCI DSS oder ISO 27001 mit einer Stelle durch, erzeugt das Bündeln mit ISO/IEC 42001 in der gleichen Mandatierung meist geringeren Gesamtaufwand und sauberere Evidenz. Mehrnormen-Zertifizierer (BSI, SGS, Bureau Veritas, NQA, Schellman) sind genau dafür gebaut.
  5. Kosten und Termine, zuletzt. Ein erstmaliges ISO-27001-Audit für ein mittelgroßes SaaS-Unternehmen kostet typischerweise 15.000 bis 40.000 US-Dollar, ein erstmaliges ISO/IEC 42001-Audit 20.000 bis 50.000 US-Dollar, weil die Norm jung und das Auditorenangebot dünn ist. Rezertifizierung alle drei Jahre, dazwischen jährliche Überwachungsaudits.

Was die KI-Verordnung zur Konformitätsbewertung sagt

Die KI-Verordnung verankert das ISO-Vokabular der Konformitätsbewertung im verbindlichen EU-Recht. Drei Definitionen rahmen jede Entscheidung über eine Zertifizierungsstelle im Jahr 2026.

Artikel 3 Nummer 20 definiert die Konformitätsbewertung als „das Verfahren zum Nachweis, dass die in Kapitel III Abschnitt 2 festgelegten Anforderungen erfüllt sind“ (artificialintelligenceact.eu/article/3/).

Artikel 3 Nummer 21 definiert die Konformitätsbewertungsstelle als „eine Stelle, die Tätigkeiten zur Konformitätsbewertung durch Dritte, einschließlich Prüfung, Zertifizierung und Inspektion, durchführt“. Diese Stellen, wenn sie unter der KI-Verordnung notifiziert sind, bewerten Hochrisiko-KI-Systeme vor der Markteinführung in der EU.

Artikel 3 Nummer 24 definiert die CE-Kennzeichnung als „eine Kennzeichnung, durch die ein Anbieter angibt, dass ein KI-System den Anforderungen aus Kapitel III Abschnitt 2 und sonstigen anwendbaren Unionsrechtsvorschriften entspricht“.

KI-Verordnungs-notifizierte Stellen sind nicht dieselbe juristische Person wie ISO-Zertifizierungsstellen, doch die Prüfungskompetenz, die Methodik und häufig auch der Mutterkonzern überschneiden sich stark. BSI, TUV SUD, Bureau Veritas, DNV und SGS verfügen bereits über notifizierte Stellen in anderen CE-Kennzeichnungs-Bereichen und positionieren sich für die KI-Verordnungs-Notifizierung. Wer einen Zertifizierer mit ISO/IEC 42001-Akkreditierung und laufender Notifizierungsbewerbung wählt, kauft Optionalität: eine Auditor-Beziehung, zwei Regulierungssysteme.

Wo AI Sigil in Ihre Zertifizierungsreise passt

AI Sigil ist keine Zertifizierungsstelle. Es ist die Governance-Plattform, die Sie vor dem Eintreffen des Auditors einsetzen. Unsere Kunden inventarisieren darin jedes KI-System, mappen es auf die von ISO/IEC 42001, NIST AI RMF und der KI-Verordnung verlangten Kontrollen, hängen Nachweise an jede Kontrolle und erzeugen den audit-fertigen Bericht, den die Zertifizierungsstelle tatsächlich prüft.

Der praktische Effekt: Ein Audit, das andernfalls 8 bis 12 Wochen Evidenzsammlung erfordern würde, schrumpft auf das Audit selbst, weil jedes Artefakt bereits so strukturiert ist, wie es ISO-/IEC-17021-1-Auditoren erwarten. Unsere Kunden wählen ihren Zertifizierer aus der obigen Liste nach Akkreditierung und Branchen-Passung aus und erscheinen zum Auftakt mit fertigem KI-Inventar, Risikoregister, Kontrollmapping und exportierbarem Evidenzpaket.

Die Plattform bleibt bewusst vor der Auditor-Rolle stehen. Genau die Unabhängigkeit zwischen der geprüften Organisation, dem Governance-Werkzeug und der Zertifizierungsstelle macht das Zertifikat später etwas wert.

Häufige Fragen

Zertifiziert die ISO selbst Unternehmen? Nein. Die ISO veröffentlicht die Normen, führt aber keine Zertifizierungen durch und stellt keine Zertifikate aus. Unabhängige Zertifizierungsstellen, beaufsichtigt von nationalen Akkreditierungsstellen, führen die Audits durch und vergeben die Zertifikate. Die ISO formuliert das auf ihrer eigenen Zertifizierungs-Seite deutlich.

Worin liegt der Unterschied zwischen Akkreditierung und Zertifizierung? Zertifizierung ist die Drittpartei-Zusicherung, dass das Managementsystem einer bestimmten Organisation eine bestimmte ISO-Norm erfüllt. Akkreditierung ist die formelle Anerkennung, dass die ausstellende Zertifizierungsstelle selbst kompetent und unparteiisch ist. Ein ISO-Zertifikat einer nicht akkreditierten Stelle ist technisch gültig, hat aber in Ausschreibungen und Regulatorikdokumenten wenig Gewicht.

Welche ist die größte ISO-Zertifizierungsstelle? Nach Zertifikatsvolumen führt SGS mit rund 19 Prozent des Weltmarkts, gefolgt von Bureau Veritas mit etwa 17 Prozent. Nach Umsatz halten die ersten fünf (SGS, Bureau Veritas, Intertek, TUV SUD, BSI) zusammen 28 bis 32 Prozent des weltweiten Markts für ISO-Zertifizierungsdienstleistungen.

Wie viel kostet eine ISO-Zertifizierung? Erstmalige ISO-27001-Audits für ein mittelgroßes SaaS-Unternehmen liegen typischerweise zwischen 15.000 und 40.000 US-Dollar, mit jährlichen Überwachungsaudits und Rezertifizierung alle drei Jahre. Erstmalige ISO/IEC 42001-Audits liegen je nach Umfang, Geografie und Auditor-Seniorität bei 20.000 bis 50.000 US-Dollar. Kombinierte Mehrnormen-Audits (zum Beispiel ISO 27001 plus ISO 27701 plus ISO/IEC 42001) senken die Kosten pro Norm um 15 bis 30 Prozent.

Kann dieselbe Stelle mich nach ISO 27001 und ISO/IEC 42001 zertifizieren? Ja, sofern sie für beide Normen akkreditiert ist. BSI, NQA, Schellman, DNV und mehrere der großen Top-Zertifizierer sind für beide akkreditiert. Ein kombinierter Auftrag ist in der Regel schneller und günstiger als zwei getrennte, weil die Evidenzbasis sich erheblich überlappt.

Wer hat die IAF 2026 ersetzt? Der International Accreditation Forum (IAF) und die International Laboratory Accreditation Cooperation (ILAC) sind am 1. Januar 2026 zur Global Accreditation Cooperation Incorporated (GAC) fusioniert. Die multilateralen Anerkennungsvereinbarungen (ehemals IAF MLA und ILAC MRA) laufen nun unter der GAC. Bestehende Zertifikate bleiben gültig, und die gegenseitige Anerkennung setzt sich für Endkunden unverändert fort.

Schlussfolgerung

Die Anfrage ISO-Zertifizierungsstellen verbirgt drei unterschiedliche Käuferreisen, doch die Antwort läuft auf dieselbe kurze Shortlist hinaus. Wählen Sie eine Stelle, die von einem GAC-MLA-Unterzeichner für die genaue Norm akkreditiert ist, die Sie benötigen, passen Sie die Branchenerfahrung des zugewiesenen leitenden Auditors zu Ihrer technischen Realität, und vergewissern Sie sich, dass die Stelle entweder heute eine ISO/IEC 42001-Akkreditierung besitzt oder eine glaubwürdige Roadmap dorthin hat. Der Markt ist groß, aber die relevante Shortlist für Käufer im KI-Zeitalter ist schmal: BSI, SGS, Bureau Veritas, TUV SUD, DNV, Intertek, LRQA, NQA, Schellman und Kiwa decken rund 95 Prozent der prüfenswerten Nachfrage ab. AI Sigil setzt einen Schritt früher an, indem es Ihr KI-Inventar in das Evidenzpaket verwandelt, das jeder dieser Auditoren am ersten Tag sehen will.

Dr. Anna Hoffmann

Das größte Risiko generativer KI-Modelle, erklärt

Halluzination ist das materiell schwerwiegendste Risiko generativer KI-Modelle. 12 NIST-Risiken auf KI-Verordnung mappen und mit bewährten Kontrollen steuern.

ISO-Zertifizierungsstellen 2026: Der Leitfaden für Käufer im KI-Zeitalter

Die führenden ISO-Zertifizierungsstellen 2026 im Vergleich, wer für ISO/IEC 42001 KI-Managementsysteme akkreditiert ist, und wie Sie den richtigen Auditor wählen.

ISO 42001 erklärt: die erste zertifizierbare Norm für ein KI-Managementsystem

ISO/IEC 42001 ist die erste zertifizierbare Norm für ein KI-Managementsystem. Klauseln, Anhang-A-Maßnahmen, Zertifizierung und die Lücke zur KI-Verordnung.

Compliance und Governance: Das Betriebssystem der KI-Ära

Compliance und Governance sind ein Betriebsmodell, nicht zwei. NIST CSF 2.0, OCEG und die EU-KI-Verordnung verdrahten es neu.

NIST AI Risk Management Framework: Operativer Leitfaden für KI-Governance-Teams

Wie sich das NIST AI Risk Management Framework in ein KI-Verordnung- und ISO-42001-Programm einbetten lässt, Funktion für Funktion, mit operativer Steuerungsschleife.

Das größte Risiko generativer KI: Warum Halluzinationen jede andere Schwachstelle überlagern

Das dominante Risiko generativer KI ist weder Bias noch Urheberrecht, sondern die Halluzination. Hier ist der Beleg, und das ergibt sich daraus für Betreiber.