Die Einschätzung der Cyber Academy
KI-Governance ist die Disziplin, KI-Systeme unter Kontrolle zu betreiben: Risiko, Transparenz, Verzerrung (Bias), Validierung, Sicherheit und regulatorische Exposition. Das maßgebliche Managementsystem ist ISO/IEC 42001, veröffentlicht im Dezember 2023, das KI-Pendant zum ISMS der ISO 27001. Die Qualifikationslandschaft teilt sich in zwei Ebenen: ISO 42001 (PECB) für die Managementsystem-Ebene und die ISACA Advanced in AI Zertifizierungen (AAIA für Audit, AAIR für Risiko, AAISM für Sicherheit) für die Ebene der fachlichen Disziplin. Beide bilden sich auf den EU AI Act und das NIST AI RMF ab.
TL;DR
- 1ISO/IEC 42001 ist die Managementsystem-Norm für KI (ein KI-Managementsystem, oder AIMS), veröffentlicht im Dezember 2023. Sie ist das AIMS-Pendant zum ISMS der ISO 27001. PECB stellt den Pfad Foundation, Lead Implementer und Lead Auditor aus.
- 2Der Advanced in AI Track von ISACA ist die Ebene der fachlichen Disziplin: AAIA (Audit), AAIR (Risiko), AAISM (Sicherheitsmanagement). Jede setzt eine bestehende ISACA-Zertifizierung voraus (CISA, CRISC, CISM).
- 3Der EU AI Act sagt Ihnen, was Sie für ein Hochrisikosystem nachweisen müssen. ISO 42001 sagt Ihnen, wie Sie den Nachweis organisieren. Das NIST AI RMF ist die operative Risikomethode, die es ausfüllt.
- 4Wählen Sie nach Rolle: das System aufbauen, ISO 42001 Lead Implementer. KI auditieren, AAIA. KI-Risiko steuern, AAIR oder PECB AI Risk Manager. Modelle absichern, AAISM. KI-Lieferung leiten, CAIP.
- 5Es gibt keine einzelne "KI-Governance-Zertifizierung". Eine erfahrene Fachkraft kombiniert die ISO 42001 Managementsystem-Qualifikation mit einer Disziplin-Qualifikation.
Fragen Sie fünf Anbieter nach einer KI-Governance-Zertifizierung, und Sie erhalten fünf verschiedene Antworten, weil sich der Markt noch nicht gesetzt hat. Es gibt kein einzelnes KI-Governance-Zertifikat in der Weise, wie es eine einzelne CISM oder eine einzelne CISA gibt. Es gibt zwei unterschiedliche Ebenen, ausgestellt von zwei verschiedenen Stellen, die zwei verschiedene Fragen beantworten: Wie steuern Sie KI als Organisation, und wie auditieren, bewerten oder sichern Sie sie als Fachkraft?
Diese Seite bildet die beiden Ebenen auf die Norm (ISO/IEC 42001), die Regulierung (den EU AI Act) und das US-Rahmenwerk (NIST AI RMF) ab und sagt Ihnen dann, welche Qualifikation zu welcher Rolle passt und wie Sie ein Team schulen, ohne alle in denselben fünftägigen Kurs zu schicken. Sie ist für den CISO, die GRC-Leitung oder den Auditor geschrieben, der die Entscheidung treffen muss.
Die zwei Ebenen der KI-Governance-Qualifikationen
Jede KI-Governance-Qualifikation am Markt liegt auf einer von zwei Ebenen.
- Die Managementsystem-Ebene beantwortet "Wie steuert die Organisation ihre KI?". Die Referenz ist ISO/IEC 42001, die internationale Norm für KI-Managementsysteme. PECB stellt dagegen einen Pfad aus Foundation, Lead Implementer und Lead Auditor aus, genau wie bei ISO 27001.
- Die Ebene der fachlichen Disziplin beantwortet "Was macht diese Fachkraft mit KI?". Die Referenz ist der Advanced in AI Track von ISACA: AAIA für Auditoren, AAIR für Risikomanager, AAISM für Sicherheitsmanager. Jede ist Advanced und setzt voraus, dass Sie die passende ISACA-Zertifizierung bereits halten.
Die zwei Ebenen ergänzen einander. Eine reife KI-Governance-Funktion hält beide: eine ISO 42001 Managementsystem-Qualifikation, um das System aufzubauen und zu betreiben, und je eine ISACA Disziplin-Qualifikation pro Funktion, die darin arbeitet.
ISO/IEC 42001: das KI-Managementsystem
ISO/IEC 42001:2023, veröffentlicht im Dezember 2023, ist die erste internationale Norm für ein KI-Managementsystem (AIMS). Sie ist das KI-Pendant zum ISMS der ISO 27001: eine Politik, definierte Rollen, ein KI-Risikobewertungsprozess, Maßnahmen über den Lebenszyklus des KI-Systems, ein Anhang A mit KI-spezifischen Maßnahmen und ein Managementbewertungszyklus, der das Ganze ehrlich hält.
Der PECB-Zertifizierungspfad dagegen spiegelt ISO 27001:
- ISO 42001 Foundation (2 Tage) vermittelt das Vokabular und das Managementsystem-Modell. Es ist die Voraussetzung für die höheren Qualifikationen.
- ISO 42001 Lead Implementer (5 Tage) lehrt Sie, das AIMS aufzubauen: Geltungsbereich, KI-Risikobewertung, die Statement of Applicability (SoA), die Maßnahmen, den Betriebszyklus. Dies ist die Qualifikation für denjenigen, der die KI-Governance verantwortet.
- ISO 42001 Lead Auditor (5 Tage) lehrt Sie, ein AIMS zu auditieren: Nachweise, Stichprobenziehung, Interviewtechnik, Feststellungen. Dies ist die Qualifikation für die Interne Revision und für Auditoren von Zertifizierungsstellen.
Der ISACA Advanced in AI Track: AAIA, AAIR, AAISM
Die Advanced in AI Qualifikationen von ISACA sind die Ebene der fachlichen Disziplin. Sie sind von Grund auf Advanced: Jede setzt voraus, dass Sie die grundlegende ISACA-Zertifizierung für diese Disziplin bereits halten, und jede ist auf ISO 42001 und die Hochrisiko-Pflichten des EU AI Act abgebildet, statt im luftleeren Raum gelehrt zu werden.
| Qualifikation | Disziplin | Setzt voraus | Konzipiert für |
|---|---|---|---|
| AAIA, Advanced in AI Audit | Auditieren von KI-Systemen, Modellen und Governance | CISA | Erfahrene IT-Auditoren, Compliance-Verantwortliche |
| AAIR, Advanced in AI Risk | KI-Risikobewertung, Quantifizierung, Behandlung, Überwachung | CRISC | IT-Risikomanager, CROs |
| AAISM, Advanced in AI Security Management | KI-Bedrohungsmodellierung, sicherer Modelllebenszyklus, KI-Sicherheitsbetrieb | CISM | CISOs, Sicherheitsarchitekten |
Die drei Kurse bei Cyber Academy sind AAIA, AAIR und AAISM. Wählen Sie nach dem, was Sie tun, nicht nach dem, was am neuesten ist.
Wo PECB AI Risk Manager und CAIP hinpassen
Zwei weitere PECB-Qualifikationen liegen neben dem ISO 42001 Pfad. AI Risk Manager ist eine fokussierte Risiko-Qualifikation für Fachkräfte, die KI-spezifische Risikoprogramme betreiben, Modellrisiko, Bias, Drift, Risiko durch Drittmodelle, ohne den vollen Managementsystem-Umfang von Lead Implementer. Certified Artificial Intelligence Professional (CAIP) ist die breitere Praktiker-Qualifikation für Personen, die KI über den Lebenszyklus hinweg verantwortungsvoll aufbauen und einsetzen, nützlich für technische Leads, die das Governance-Vokabular benötigen, ohne das AIMS zu verantworten.
Wenn Sie bereits ein ISO 27001 Risikoprogramm betreiben und es auf KI ausweiten wollen, ist AI Risk Manager die kürzeste Brücke. Wenn Sie die KI-Lieferung leiten und die Governance-Kompetenz benötigen, die der AI Act nun von Ihnen verlangt, ist CAIP die bessere Wahl.
Wie sich die Qualifikationen auf den AI Act und das NIST AI RMF abbilden
Keine dieser Qualifikationen existiert isoliert. Sie werden gegen die Regulierung und die Rahmenwerke gelehrt, die eine KI-Governance-Funktion tatsächlich erfüllen muss.
| Instrument | Was es ist | Zertifizierbar? | Rolle in Ihrem Programm |
|---|---|---|---|
| EU AI Act | Regulation (EU) 2024/1689 | Nein, Konformitätsbewertung, keine Zertifizierung | Was für ein Hochrisikosystem nachzuweisen ist |
| ISO/IEC 42001 | Norm für KI-Managementsysteme | Ja, AIMS-Zertifizierung + PECB-Qualifikationen | Wie der Nachweis zu organisieren ist |
| NIST AI RMF | Freiwilliges US-Risikorahmenwerk (Govern, Map, Measure, Manage) | Nein | Operative Risikomethode, die das System ausfüllt |
| ISO/IEC 23894 | Leitlinie zum KI-Risikomanagement | Nein | Risikomethodik, ISO-konform, innerhalb des AIMS |
Der kanonische Weg für eine europäische Organisation: das AIMS mit ISO 42001 Lead Implementer aufbauen, die Hochrisiko-Pflichten des AI Act auf die AIMS-Maßnahmen abbilden und das NIST AI RMF oder ISO 23894 als Risikomethodik verwenden. Die ISACA Advanced Qualifikation rüstet dann diejenige Funktion aus, Audit, Risiko oder Sicherheit, die innerhalb dieses Systems arbeiten muss.
Wie man ein Team in KI-Governance schult
Der Fehler ist, alle auf denselben Kurs zu schicken. KI-Governance ist funktionsübergreifend, und die Funktionen benötigen unterschiedliche Tiefe.
- Beginnen Sie mit einer gemeinsamen Grundlage. ISO 42001 Foundation oder eine AI-Act-Literacy-Unterweisung, die die KI-Kompetenzpflicht aus Artikel 4 des Rechtsakts erfüllt, gibt allen dasselbe Vokabular, bevor sie sich spezialisieren.
- Senden Sie die Governance- und Compliance-Verantwortlichen zu ISO 42001 Lead Implementer. Sie bauen das AIMS auf und betreiben es.
- Senden Sie die Interne Revision zu AAIA, die Risikofunktion zu AAIR und die Sicherheitsfunktion zu AAISM. Jede arbeitet aus ihrer eigenen Perspektive innerhalb des AIMS.
- Fügen Sie ISO 42001 Lead Auditor nur hinzu, wenn Sie ein internes Auditprogramm gegen das AIMS betreiben oder bei einer Zertifizierungsstelle sitzen.
Die Entscheidung, in einer Zeile
Das System aufbauen: ISO 42001 Lead Implementer. KI auditieren: AAIA. KI-Risiko steuern: AAIR oder PECB AI Risk Manager. Modelle absichern: AAISM. KI-Lieferung leiten und Governance-Kompetenz benötigen: CAIP. Es gibt kein einzelnes KI-Governance-Zertifikat, und wer Ihnen eines verkauft, verkauft Ihnen einen Ausschnitt.
Frequently asked questions
01Gibt es eine KI-Governance-Zertifizierung, und welche sollte ich absolvieren?
Es gibt keine einzelne KI-Governance-Zertifizierung. Das Feld teilt sich in zwei Ebenen. Die Managementsystem-Ebene ist ISO/IEC 42001: PECB stellt Foundation (2 Tage), Lead Implementer (5 Tage, das AIMS aufbauen) und Lead Auditor (5 Tage, eines auditieren) aus. Die Ebene der fachlichen Disziplin ist der Advanced in AI Track von ISACA: AAIA für das Auditieren von KI, AAIR für KI-Risiko, AAISM für KI-Sicherheitsmanagement.
Für jemanden, der KI organisatorisch steuert, ist ISO 42001 Lead Implementer der Grundstein. Für jemanden, der KI innerhalb einer bestehenden GRC-Rolle auditiert, Risiken bewertet oder absichert, ist die passende ISACA Advanced Qualifikation das stärkere Signal. Die meisten erfahrenen Fachkräfte halten je eine von beiden.
02Was ist ISO/IEC 42001 und wie verhält sie sich zum EU AI Act?
ISO/IEC 42001:2023 ist die internationale Norm für KI-Managementsysteme, veröffentlicht im Dezember 2023. Sie definiert, wie eine Organisation die Governance ihrer KI-Systeme einführt, betreibt und verbessert: Politik, Rollen, KI-Risikobewertung, den Lebenszyklus des KI-Systems, einen Anhang A mit KI-spezifischen Maßnahmen und den Managementbewertungszyklus. Sie ist das AIMS-Pendant zum ISMS der ISO 27001.
Die Norm erfüllt den EU AI Act nicht aus sich selbst heraus. Der Rechtsakt enthält produktspezifische technische Anforderungen für Hochrisikosysteme. Aber ISO 42001 liefert die Managementsystem-Grundlage, die Auditoren und benannte Stellen anerkennen. Der kanonische Weg ist ISO 42001, um das AIMS aufzubauen, und dann die Hochrisiko-Pflichten des AI Act auf die AIMS-Maßnahmen abzubilden.
03AAIA vs. AAIR vs. AAISM: welche ISACA KI-Zertifizierung?
Drei Perspektiven auf KI, alle mit der Annahme einer bestehenden ISACA-Qualifikation. AAIA (Advanced in AI Audit) ist für Auditoren: das Auditieren von KI-Systemen, Modellen und Governance, abgebildet auf ISO 42001 und den AI Act. Üblicherweise zusammen mit CISA gehalten.
AAIR (Advanced in AI Risk) ist für Risikofachkräfte: KI-Risikobewertung, Quantifizierung, Behandlung und Überwachung. Üblicherweise zusammen mit CRISC gehalten. AAISM (Advanced in AI Security Management) ist für Sicherheitsverantwortliche: KI-Bedrohungsmodellierung, der sichere Modelllebenszyklus und KI-Sicherheitsbetrieb. Üblicherweise zusammen mit CISM gehalten.
04Wie schule ich ein ganzes Team in KI-Governance?
Sequenzieren Sie es nach Funktion. Beginnen Sie mit einer gemeinsamen Grundlage (ISO 42001 Foundation oder eine AI-Act-Literacy-Unterweisung, die Artikel 4 erfüllt). Senden Sie Governance- und Compliance-Verantwortliche zu ISO 42001 Lead Implementer; die Interne Revision zu AAIA; die Risikofunktion zu AAIR; die Sicherheitsfunktion zu AAISM.
Für einen Rollout über mehrere Teams hinweg wird ein Inhouse-Kurs pro Kohorte abgerechnet und die Übungen werden auf Ihren KI-Bestand abgestimmt. Das Erstgespräch klärt, welche Rollen welche Qualifikation zuerst benötigen. Die meisten Teams kaufen zu viele Lead-Implementer-Plätze und zu wenige Disziplin-Qualifikationen.
05Wo passt das NIST AI RMF neben ISO 42001?
Das NIST AI Risk Management Framework (AI RMF 1.0, Januar 2023) ist das freiwillige US-Rahmenwerk, strukturiert um Govern, Map, Measure und Manage. Es ist nicht zertifizierbar und keine Managementsystem-Norm. Es ist ein Handbuch für die Risikofunktion.
ISO 42001 und das NIST AI RMF ergänzen einander. ISO 42001 liefert das zertifizierbare Managementsystem; das NIST AI RMF liefert die operative Risikomethode, die es ausfüllt. Organisationen, die sowohl europäischen als auch US-Kontexten ausgesetzt sind, betreiben ein ISO 42001 AIMS mit dem NIST AI RMF und der zugehörigen Leitlinie ISO/IEC 23894 als Risikomethodik darin.
