Harmonisierte Normen sind das stille Rückgrat jeder EU-Produktregulierung. In der Maschinenrichtlinie, in der Medizinprodukteverordnung, in der Spielzeugrichtlinie funktioniert das Prinzip seit Jahrzehnten gleich: Wer eine harmonisierte Norm einhält, gilt automatisch als konform mit den Anforderungen der Verordnung. Die KI-Verordnung übernimmt dieses System in Art. 40 und 41 und wendet es auf Hochrisiko-KI-Systeme an. Für Mittelständler heißt das: die rechtliche Last der Konformitätsbewertung sinkt drastisch, sobald CEN und CENELEC ihre ersten harmonisierten Normen im EU-Amtsblatt veröffentlicht haben.
Auf einen Blick: Art. 40 EU AI Act löst mit harmonisierten Normen die Konformitätsvermutung aus. Wer eine im EU-Amtsblatt veröffentlichte harmonisierte Norm einhält, gilt automatisch als KI-VO-konform. CEN und CENELEC arbeiten in JTC 21 seit 2023 an den ersten Normen, die Veröffentlichung im Amtsblatt wird Anfang 2027 erwartet. Art. 41 erlaubt der Kommission, gemeinsame Spezifikationen zu erlassen, falls Normen fehlen. KMU sollten ISO 42001 als Vorgriff implementieren. Die spätere harmonisierte EN-Norm wird voraussichtlich darauf aufbauen.
Was eine harmonisierte Norm rechtlich auslöst
Eine harmonisierte Norm ist eine von einer europäischen Normungsorganisation (CEN, CENELEC, ETSI) im Auftrag der Europäischen Kommission entwickelte Norm. Sie wird im EU-Amtsblatt mit ihrer Referenz veröffentlicht und löst dann die Konformitätsvermutung aus.
Art. 40 Abs. 1 sagt es so: KI-Systeme, die mit harmonisierten Normen oder Teilen davon übereinstimmen, gelten als konform mit den entsprechenden Anforderungen der KI-VO. Die rechtliche Konsequenz ist eine Umkehrung der Beweislast. Wer eine harmonisierte Norm einhält, muss nicht beweisen, dass er konform ist. Die Marktüberwachungs-Behörde muss beweisen, dass er es nicht ist. Das ist für KMU eine massive Erleichterung.
CEN-CENELEC JTC 21: die zentrale Normungs-Werkstatt
Das Joint Technical Committee 21 von CEN und CENELEC wurde 2021 gegründet und arbeitet seit 2023 unter dem Standardisierungs-Mandat M-2022-587 der Europäischen Kommission. JTC 21 ist die zentrale Werkstatt für die harmonisierten KI-Normen.
Acht Arbeitsbereiche sind aktiv. AI Risk Management (orientiert sich an ISO 23894), AI Trustworthiness Framework, AI Quality Management (orientiert sich an ISO 42001), Conformity Assessment and Audit Framework, Cybersecurity Requirements for AI Systems, Data Quality and Governance, Computational Methods for AI, AI Governance Implications. Die Liste ist nicht vollständig, aber sie zeigt die Bandbreite.
Bis Anfang 2027 wird die Veröffentlichung der ersten harmonisierten Normen im EU-Amtsblatt erwartet. Die genaue Liste wird von der Kommission per Durchführungsbeschluss freigegeben. Bis dahin sind die JTC-21-Arbeitsentwürfe (prEN-Dokumente) zwar einsehbar, aber rechtlich noch nicht bindend.
Was die Konformitätsvermutung praktisch heißt
Eine Werbeagentur in Düsseldorf entwickelt eine eigene KI-gestützte Kreativ-Plattform und vertreibt sie als SaaS an Mittelständler. Sie wird damit zum Anbieter eines Hochrisiko-KI-Systems, wenn die Plattform für Personalauswahl oder Bildungsbewertung eingesetzt wird. Die Konformitätsbewertung nach Art. 43 kann sie auf zwei Wegen führen.
Weg eins: sie weist im Einzelnen nach, wie sie die Anforderungen aus Art. 8 bis Art. 17 (Risikomanagement, Daten-Governance, technische Dokumentation, Logging, Transparenz, menschliche Aufsicht, Genauigkeit, QMS) erfüllt. Das ist eine massive Eigenleistung mit hohem Beratungsaufwand.
Weg zwei: sie weist nach, dass sie die harmonisierte EN-Norm zum Risikomanagement, zum QMS und zur Daten-Governance einhält. Damit greift die Konformitätsvermutung, und die Marktüberwachung muss das Gegenteil beweisen. Der Aufwand sinkt drastisch.
Art. 41 als Fallback: Gemeinsame Spezifikationen
Art. 41 KI-VO sieht für den Fall, dass harmonisierte Normen fehlen oder unzureichend sind, dass die Europäische Kommission Gemeinsame Spezifikationen per Durchführungsverordnung erlassen kann. Diese Spezifikationen lösen ebenfalls die Konformitätsvermutung aus.
In der Praxis ist Art. 41 das Sicherheitsnetz für den Fall, dass JTC 21 verzögert ist. Wenn der Anhang-III-Hochrisiko-Stichtag 02.12.2027 näher kommt und keine harmonisierten Normen vorliegen, kann die Kommission selbst Spezifikationen erlassen. Marktteilnehmer haben dann ähnliche Rechte und Erleichterungen wie bei einer harmonisierten Norm.
ISO 42001: der pragmatische Vorgriff für KMU
ISO 42001 wurde im Dezember 2023 als internationale Norm für KI-Managementsysteme veröffentlicht. Sie definiert Anforderungen an Governance, Risikomanagement, Lifecycle-Management, Datenqualität und kontinuierliche Verbesserung für KI-Systeme.
Drei Gründe, warum ISO 42001 für KMU der pragmatische Einstieg ist. Erstens: ISO 42001 deckt einen Großteil der zu erwartenden harmonisierten EN-Norm bereits ab. Wer ISO 42001 implementiert, ist 70 bis 90 Prozent dort, wo er später nach der EN-Norm sein muss. Zweitens: ISO 42001 ist bereits zertifizierbar. Akkreditierte Zertifizierungsstellen wie DEKRA, TÜV Rheinland und BSI bieten Audits an. Drittens: ein ISO-42001-Zertifikat ist ein vertraglicher Vorteil im B2B-Vertrieb. Kunden fragen 2026 zunehmend nach AI-Management-Zertifikaten.
Die Kosten einer ISO-42001-Zertifizierung für KMU liegen typisch bei 15.000 bis 50.000 Euro für den initialen Aufbau plus 3.000 bis 8.000 Euro jährlich für Überwachungsaudits. Bei kleineren KMU mit fokussiertem KI-Anwendungsbereich kann es auch günstiger werden.
ISO 23894 für Risikomanagement
Ergänzend zu ISO 42001 hat ISO 23894 KI-Risikomanagement standardisiert. Diese Norm orientiert sich an ISO 31000 (allgemeines Risikomanagement) und übersetzt es auf KI-spezifische Risiken. JTC 21 wird die harmonisierte EN-Norm zum Risikomanagement nach Art. 9 KI-VO voraussichtlich auf ISO 23894 aufbauen.
Wer also ISO 42001 und ISO 23894 parallel implementiert, deckt zwei zentrale Anforderungsbereiche der KI-VO ab und ist gut vorbereitet auf die harmonisierten Normen.
Vorläufige technische Berichte als Orientierung
Während der Übergangszeit veröffentlicht CEN-CENELEC vorläufige technische Berichte (CEN-CLC/TR-Dokumente). Diese sind nicht rechtlich bindend, geben aber einen klaren Hinweis darauf, in welche Richtung die harmonisierte Norm gehen wird.
CEN-CLC/TR 17894-x-Reihe behandelt KI-Risikomanagement, CEN-CLC/TR zu QMS-Anforderungen für KI ist in Entwicklung. KMU mit Compliance-Fokus sollten diese Berichte beobachten und ihre internen Prozesse darauf abstellen.
Praktischer Implementierungsplan für KMU
Drei Phasen über typisch 12 Monate. Phase 1 in den ersten drei Monaten: Standortbestimmung. Welche KI-Systeme sind im Einsatz, welche fallen unter Anhang III, welche unter Art. 50 Transparenz. Risikobewertung dieser Systeme nach Art. 9 KI-VO im Rohformat.
Phase 2 in Monaten vier bis acht: KI-Managementsystem nach ISO 42001 aufbauen. KI-Policy formulieren, Rollen und Verantwortlichkeiten klären, Lifecycle-Prozesse dokumentieren, Risikomanagement-Methodik festlegen, Logging-Strategie definieren. Hier ist externe Beratung sinnvoll, je nach Komplexität 8.000 bis 25.000 Euro.
Phase 3 in Monaten neun bis zwölf: internes Audit, Korrekturmaßnahmen, optionales externes Zertifizierungsaudit. Wer das Zertifikat nicht braucht, kann nach Phase 3 ohne Audit weitermachen und behält den Aufbau als interne Dokumentation. Wer das Zertifikat will, durchläuft das Audit-Verfahren mit Kosten von 8.000 bis 20.000 Euro.
Wer ist davon konkret betroffen
Drei KMU-Gruppen profitieren am stärksten von harmonisierten Normen. Erste Gruppe: Anbieter von Hochrisiko-KI-Systemen nach Anhang III. Die Konformitätsbewertung wird durch harmonisierte Normen erheblich erleichtert. Zweite Gruppe: KMU, die in stark regulierten Branchen (Medizin, Finanzen, Mobilität) tätig sind und sektorale Konformitätsbewertungen parallel zur KI-VO durchlaufen. Dritte Gruppe: KMU, die im B2B-Vertrieb gegenüber Konzernen auftreten und Zertifizierungen als Vertrauenssignal brauchen.
In der Praxis sehen wir bei unseren Teilnehmern aus dem DigiMan-Kurs, dass die ISO-42001-Implementierung über Compliance hinaus zu einer messbaren Verbesserung der KI-Governance führt. Wer das einmal sauber aufgebaut hat, hat KI-Projekte besser im Griff, nicht nur rechtlich.
Was im Audit-Vorbereitungs-Plan stehen muss
Vier Bausteine sind im Vor-Audit nach ISO 42001 zentral. Erster Baustein: dokumentierte KI-Policy mit klarer Compliance-Aussage, Verantwortung der Geschäftsführung und Aktualisierungs-Rhythmus. Zweiter Baustein: Verzeichnis aller KI-Systeme im Einsatz mit Risikoklassifikation. Dritter Baustein: dokumentierte Risikobewertung nach ISO 23894 für jedes Hochrisiko-System. Vierter Baustein: kontinuierliche Verbesserung mit dokumentierten Audits, Korrekturmaßnahmen und Management-Review.
Wer die vier Bausteine vor dem Audit fertig hat, geht entspannt in das externe Verfahren.
Kosten-Nutzen aus KMU-Sicht
Eine konservative Rechnung. Implementierung ISO 42001 für ein KMU mit 50 Mitarbeitern und drei KI-Hochrisiko-Anwendungen: 35.000 Euro einmalig, 5.000 Euro jährlich.
Alternative ohne Norm: jede Konformitätsbewertung einzeln führen, externe Beratung für jede Anhang-IV-Dokumentation, deutlich höheres Risiko bei Marktüberwachungs-Prüfungen. Aufwand pro Bewertung: 20.000 bis 60.000 Euro. Bei drei Hochrisiko-Anwendungen also 60.000 bis 180.000 Euro einmalig plus laufende Kosten.
Die Norm-Variante amortisiert sich beim zweiten Hochrisiko-System spätestens.
Eigene Haltung aus der Beratungspraxis
Die harmonisierten Normen sind die unsichtbare zweite Welle der KI-VO und werden für KMU genauso wichtig wie die Verordnungstexte selbst. Wer 2026 anfängt, ISO 42001 zu implementieren, hat ein Jahr Vorsprung, wenn die EN-Norm im Amtsblatt steht. Wir sehen bei Mittelständlern, die das früh angehen, deutlich entspannteres Compliance-Management, weil die Risiken kalkulierbar werden und nicht in jedem Einzelfall neu bewertet werden müssen.
Häufige Fragen
Gibt es schon eine harmonisierte Norm, die ich anwenden kann? Stand Mai 2026 sind die ersten harmonisierten Normen noch in Entwicklung bei JTC 21. Veröffentlichung im EU-Amtsblatt wird Anfang 2027 erwartet. Bis dahin nutzen viele KMU ISO 42001 und ISO 23894 als pragmatische Vorgriffe.
Was kostet die ISO-42001-Zertifizierung konkret? Für KMU bis 100 Mitarbeiter liegen die Implementierungskosten bei 15.000 bis 50.000 Euro einmalig, die jährlichen Überwachungsaudits bei 3.000 bis 8.000 Euro. Für mittelgroße Unternehmen mit komplexer KI-Landschaft entsprechend höher.
Ist ISO 42001 freiwillig oder Pflicht? ISO 42001 ist eine freiwillige Norm. Pflicht wird die Konformität mit der KI-VO. Wenn die harmonisierten EN-Normen veröffentlicht sind, wird die Einhaltung dieser Normen eine pragmatische Erfüllung der Pflicht. ISO 42001 als Vorgriff ist deshalb sinnvoll, ersetzt aber die spätere EN-Konformität nicht direkt.
Wer prüft die Einhaltung einer harmonisierten Norm? Bei interner Konformitätsbewertung nach Anhang VI macht das der Anbieter selbst und dokumentiert es. Bei externer Konformitätsbewertung nach Anhang VII prüft eine notifizierte Stelle die Einhaltung. Wenn die Norm im EU-Amtsblatt steht und der Anbieter sie einhält, gilt die Konformitätsvermutung.
Muss ich auf die EN-Norm warten oder kann ich schon mit ISO 42001 zertifizieren? ISO-42001-Zertifikate sind sofort verfügbar und werden von akkreditierten Zertifizierungsstellen ausgestellt. Im B2B-Vertrieb sind sie als Vertrauenssignal bereits jetzt wertvoll. Die EN-Norm wird die ISO-42001-Logik aufgreifen, voraussichtlich mit kleinen Anpassungen für die KI-VO-Spezifika.
Wer das Qualitätsmanagementsystem nach KI-VO Art. 17 vertiefen will, findet die Details in unserem Beitrag zum QMS für KI-Systeme. Die Weiterbildung zum Digitalisierungsmanager baut die Compliance-Architektur als praktisches Modul auf und ist über den Bildungsgutschein für Arbeitsuchende kostenfrei.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.