ISO 42001-Zertifizierung in der Schweiz: SAS-Akkreditierung und CH-Zertifizierer

Aktualisiert April 2026 · KI Compliance · Autor Matteo Mirabelli · Land: Schweiz

ISO/IEC 42001 ist der erste internationale Managementsystem-Standard für Künstliche Intelligenz, verabschiedet im Dezember 2023. In der Schweiz hat er sich 2025/26 als praktische Antwort auf den extraterritorial wirkenden EU AI Act etabliert. Die nationale Akkreditierungsstelle ist die SAS — Schweizerische Akkreditierungsstelle beim SECO. Vier bis fünf Zertifizierer mit SAS-Akkreditierung bieten ISO 42001 an. Dieser Leitfaden ordnet ein, wie ein Schweizer KMU oder Mittelständler 2026 zur ISO-42001-Zertifizierung kommt — von der Vor-Audit-Phase bis zum Re-Zertifizierungszyklus.

Adressaten sind Geschäftsleitungen, IT-Leitungen, ISMS-Verantwortliche und Compliance-Officer in Schweizer Unternehmen, die ISO 27001 oder ISO 9001 bereits kennen und nun das ISO-42001-Pendant für ihr KI-Portfolio aufbauen wollen.

Was ISO 42001 wirklich verlangt

ISO/IEC 42001:2023 trägt den Titel "Information technology — Artificial intelligence — Management system". Die Struktur folgt dem Annex-SL-Format, identisch zu ISO 27001 und ISO 9001 — Kontext, Führung, Planung, Unterstützung, Betrieb, Bewertung der Leistung, Verbesserung. Der Inhalt addressiert spezifisch AI-Risiken: Auswirkungen auf Personen und Gesellschaft, Ethik, Bias, Erklärbarkeit, Robustheit, Sicherheit und Lebenszyklusmanagement.

Konkret verlangt der Standard:

Ein AI Management System (AIMS) mit klar definiertem Anwendungsbereich. Der Scope kann auf eine Geschäftseinheit oder eine Produktlinie begrenzt werden — er muss aber alle relevanten KI-Lebenszyklusphasen umfassen.

Eine AI Policy als formales Bekenntnis der Geschäftsleitung zu Verantwortung, Transparenz, Fairness und kontinuierlicher Verbesserung.

Risikobewertung und -behandlung spezifisch für AI: Bias, Drift, adversariale Angriffe, Datenqualität, Erklärbarkeit, gesellschaftliche Auswirkungen.

Annex-A-Kontrollen in vier Bereichen: Auswirkungen auf Personen und Gesellschaft, Lebenszyklusmanagement, Datenmanagement, Information für Betroffene.

AI-System-Lebenszyklus-Prozesse: Risikobewertung pro System, Designdokumentation, Validierung, Freigabeentscheidungen, Monitoring, Retirement.

Lieferantenmanagement: Auswahl, Bewertung, Überwachung von KI-Komponentenlieferanten.

Aufzeichnungen und Audits in einer Tiefe, die einem externen Zertifizierer das Nachvollziehen ermöglicht.

Die Schweizer Zertifizierungsarchitektur

Die nationale Akkreditierungsstelle ist die SAS — Schweizerische Akkreditierungsstelle, organisatorisch beim SECO angesiedelt. Sie ist Mitglied der European co-operation for Accreditation (EA-MLA) und akkreditiert Zertifizierer nach ISO/IEC 17021-1 sowie ISO/IEC TS 17021-13 (für ISO 42001). SAS-Zertifikate werden international anerkannt — auch in der EU, in Deutschland (DAkkS) und in Österreich (Akkreditierung Austria).

Stand April 2026 sind in der Schweiz folgende Zertifizierer mit erkennbarem ISO-42001-Angebot aktiv:

SQS — Schweizerische Vereinigung für Qualitäts- und Managementsysteme ist die nationale Zertifizierungsstelle mit Sitz in Bern und Zollikofen. Sie ist die grösste schweizerische Zertifizierungsstelle, mit umfangreichem Portfolio. ISO 42001 wurde 2025 ins Angebot aufgenommen.

SGS Schweiz — Tochter der weltweit grössten Inspektions- und Zertifizierungsgruppe SGS, mit Sitz in Genf. SGS bietet ISO 42001 international an, Schweizer Niederlassung führt Audits in Deutsch, Französisch und Italienisch.

Bureau Veritas Schweiz — französisch-rooted Zertifizierungsgruppe, mit starker Schweizer Präsenz in regulierten Branchen. ISO 42001 ab 2025 verfügbar.

TÜV Süd Schweiz — Tochter des deutschen TÜV Süd, mit Sitz in Zürich/Wallisellen. Bringt deutsche Methodik in den Schweizer Markt; geeignet für Konzern-Töchter mit DACH-Mutter.

TÜV Rheinland Schweiz — ebenfalls deutsche Wurzel, kleinere Schweizer Niederlassung, ISO 42001-Angebot in Aufbau.

Die Wahl des Zertifizierers hängt von Branche, vorhandenen Zertifizierungen und Konzernpräferenzen ab. KMU mit starkem CH-Fokus tendieren zu SQS. Tochtergesellschaften mit DE/internationaler Mutter wählen oft SGS, Bureau Veritas oder TÜV Süd Schweiz wegen Konzern-Audit-Konsistenz.

Ablauf einer ISO-42001-Zertifizierung

Ein typischer Pfad für ein Schweizer Mittelstandsunternehmen mit 50 bis 500 Mitarbeitenden und einem etablierten ISO-27001-Programm:

Phase 1 — Vor-Audit (Monat 1–3). Gap-Analyse gegenüber ISO 42001 Annex A. Entwicklung der AI Policy, des Risikomanagementprozesses und der Lebenszyklus-Dokumentation. Schulung der Schlüsselpersonen.

Phase 2 — Implementierung (Monat 3–6). Aufbau des AIMS, Verknüpfung mit dem bestehenden ISMS, Pilotierung der Lebenszyklusprozesse an einem konkreten KI-System.

Phase 3 — Internes Audit (Monat 6–7). Selbstprüfung durch interne Auditoren oder einen externen Berater (kein Zertifizierer).

Phase 4 — Stage-1-Audit (Monat 7). Der Zertifizierer prüft die Dokumentation und die Audit-Bereitschaft. Etwa zwei Tage onsite oder remote.

Phase 5 — Stage-2-Audit (Monat 8). Der Zertifizierer prüft die Wirksamkeit. Etwa drei bis fünf Tage onsite, abhängig von Grösse und Komplexität.

Phase 6 — Zertifikat (Monat 9). Bei erfolgreicher Schliessung der Findings: Ausstellung des Zertifikats für drei Jahre, mit jährlichen Überwachungsaudits.

Der Gesamtaufwand liegt für ein 100-Mitarbeitenden-Unternehmen bei sechs bis neun Monaten Kalenderzeit und einem Personalaufwand von 60 bis 120 Personentagen, je nach Reifegrad des bestehenden ISMS.

Realistische Kostenrahmen 2026

Schweizer Audit- und Beratungssätze liegen typischerweise 10–25 Prozent über deutschen Sätzen wegen höheren Lohnniveaus. Ein Richtwert für Schweizer KMU 2026:

Beratung (Phase 1–3): 35.000 bis 80.000 CHF für ein Unternehmen mit 50–200 Mitarbeitenden. Inhouse-Aufwand ergänzt das.

Stage-1- und Stage-2-Audit: 12.000 bis 25.000 CHF Erstzertifizierungs-Audit für ein Mittelstands-Unternehmen.

Jährliche Überwachungsaudits: 5.000 bis 12.000 CHF pro Jahr.

Re-Zertifizierung nach drei Jahren: 8.000 bis 16.000 CHF.

Hinzu kommen interne Personalkosten, Schulungen und gegebenenfalls Tooling für AI Risk Management. Über drei Jahre bewegt sich der Total-Cost-of-Compliance für ein typisches mittelständisches Schweizer Unternehmen zwischen 80.000 und 200.000 CHF.

Diese Investition kann teilweise über Schweizer Förderprogramme abgefedert werden — siehe unseren Leitfaden zu KI-Förderung für Schweizer KMU 2026.

ISO 42001 und der EU AI Act in der Praxis

Die Schweiz ist nicht EU-Mitglied, der EU AI Act 2024/1689 wirkt aber extraterritorial bei EU-Bezug. Schweizer Anbieter mit EU-Kunden fallen unter den AI Act und müssen Anhang-IV-Dokumentation, EU-Vertreter und CE-Kennzeichnung für ihre Hochrisikosysteme bereitstellen. ISO 42001 deckt das management-systematische Rückgrat dieser Pflichten ab. Siehe EU AI Act in der Schweiz.

Konkret deckt ISO 42001 ab:

Risikomanagementsystem (Art. 9 AI Act) — direkt durch ISO-42001-Klausel 6.1 und Annex A.

Datengouvernance (Art. 10 AI Act) — durch ISO-42001-Annex-A-Kontrollen zum Datenmanagement.

Technische Dokumentation (Art. 11 AI Act) — durch ISO-42001-Lebenszyklusprozesse.

Aufzeichnungspflichten (Art. 12 AI Act) — durch das ISMS-Pendant.

Menschliche Aufsicht (Art. 14 AI Act) — durch ISO-42001-Annex-A-Kontrollen.

Genauigkeit, Robustheit, Cybersicherheit (Art. 15 AI Act) — durch Lebenszyklus-Validierung und Monitoring.

Was ISO 42001 nicht ersetzt: die formale Konformitätsbewertung nach Art. 43, die CE-Kennzeichnung, die EU-Konformitätserklärung und die EU-Datenbank-Registrierung. Diese bleiben separat — aber wer ISO 42001 zertifiziert ist, hat das Audit-Material praktisch fertig.

Vergleich mit Deutschland und Österreich

Drei Unterschiede sind 2026 für Auswahlentscheidungen relevant.

Akkreditierungsstelle. Deutschland: DAkkS. Österreich: Akkreditierung Austria. Schweiz: SAS. Alle drei sind EA-MLA-Mitglieder, ihre Zertifikate sind gegenseitig anerkannt. Ein Schweizer ISO-42001-Schein wird in Deutschland und Österreich akzeptiert, und umgekehrt.

Zertifizierer-Pool. Deutschland hat das breiteste Anbieter-Spektrum. Österreich konzentriert auf vier bis fünf Anbieter. Die Schweiz hat einen ähnlichen, aber kleineren Pool. In der Praxis: Schweizer Unternehmen haben weniger Auswahl, dafür sind die Anbieter-Kontakte direkter.

Kostenniveau. Schweizer Audit-Tagesätze liegen typisch 10–25 Prozent über deutschen, 15–30 Prozent über österreichischen. Beratungssätze sind ähnlich gestaffelt. Wer Konzernkonsistenz priorisiert, sollte einen DACH-Anbieter wählen, der parallele Audits über Grenzen hinweg durchführt.

Wer ein Schweizer ISO-42001-Programm aufsetzt, sollte die SAS-Akkreditierung des Zertifizierers prüfen — manche Anbieter sind sowohl bei SAS als auch bei DAkkS akkreditiert, was für Konzernkonsistenz hilfreich ist.

ISO 42001 in einer DACH-Konzernstruktur

Für Schweizer Tochtergesellschaften deutscher oder österreichischer Mütter empfiehlt sich ein integrierter Audit-Ansatz: ein Zertifizierer mit DACH-Präsenz (TÜV Süd, SGS, Bureau Veritas) führt parallele Audits in DE/AT/CH durch und stellt ein Gruppen-Zertifikat aus, das alle Standorte abdeckt. Das spart Audit-Tage und vereinheitlicht die Dokumentation.

Bei rein schweizerischen Unternehmen ist SQS oft kostengünstiger und kulturell passender. Audits können in Deutsch, Französisch oder Italienisch geführt werden.

FAQ

Brauche ich erst ISO 27001, bevor ich ISO 42001 angehe? Nicht zwingend, aber praktisch: ISO 27001 deckt ein Drittel der ISO-42001-Anforderungen bereits ab (Informationssicherheit, Zugriffskontrolle, Backup, Incident Response). Wer ohne ISO 27001 startet, hat einen längeren Weg.

Kann ein einzelnes KI-System zertifiziert werden, statt des gesamten Unternehmens? ISO 42001 zertifiziert ein Managementsystem, nicht ein einzelnes KI-Produkt. Der Anwendungsbereich kann aber so eng definiert werden, dass nur eine Geschäftseinheit oder Produktlinie umfasst ist.

Wie lange ist ein ISO-42001-Zertifikat gültig? Drei Jahre, mit jährlichen Überwachungsaudits. Vor Ablauf folgt die Re-Zertifizierung.

Welcher Schweizer Zertifizierer ist der schnellste? SQS ist in der Praxis am schnellsten verfügbar; SGS und Bureau Veritas haben oft längere Vorlaufzeiten wegen Konzernabstimmung. TÜV Süd Schweiz liegt dazwischen.

Wie verhält sich Knowlee? Wir liefern Audit-Logs, Modellgewichts-Dokumentation, Bias-Reports und Lebenszyklus-Records in einer Form, die einem ISO-42001-Audit standhält. Hinweis: Knowlee ist Anbieter dieser Plattform — diese Erwähnung erfolgt zur Transparenz im Rahmen des Interessenkonflikts.

Wird ein SAS-Zertifikat international anerkannt? Ja. SAS ist EA-MLA-Mitglied, was die Anerkennung in EU, UK, USA und weiteren Märkten sichert.

Schluss

ISO 42001 ist 2026 in der Schweiz die strukturelle Antwort auf den extraterritorial wirkenden EU AI Act und auf wachsende Kundenanforderungen. SAS, SQS, SGS Schweiz, Bureau Veritas Schweiz und TÜV Süd Schweiz bieten den Markt; Kosten und Zeitrahmen sind kalkulierbar. Wer das Programm jetzt anstösst, hat das Zertifikat zur Hand, wenn die AI-Act-Hochrisiko-Pflichten am 2. August 2026 greifen — oder wenn ein EU-Kunde es bei der nächsten Ausschreibung verlangt.

Wenn Sie evaluieren möchten, wie Knowlees Plattform Ihre ISO-42001-Zertifizierung beschleunigt — durch fertige Lebenszyklus-Records, Bias-Reports und Audit-Logs — buchen Sie eine Demo. Wir zeigen, welche Annex-A-Kontrollen direkt aus unserer Plattform generiert werden.

Hinweis: Dieser Beitrag ist informativer Natur und ersetzt keine Beratung durch akkreditierte Zertifizierer.