ISO 42001 und ISO 13485 neben dem EU AI Act
TL;DR
Für Medizin-KI bauen Sie die Qualitätspflichten des AI Act auf den Normen auf, die Sie ohnehin führen, nicht auf einem parallelen System:
- ISO 13485 (Ihr Medizinprodukte-QMS) ist das Rückgrat für die Qualitätsmanagement-Pflicht des AI Act (Artikel 17).
- ISO/IEC 42001 (KI-Managementsystem) ist die neue Schicht, die Sie obendrauf für die KI-spezifische Governance ergänzen.
- Die Leitlinie MDCG 2025-6 der Kommission empfiehlt ausdrücklich, die KI-spezifischen Elemente in Ihr bestehendes MDR/IVDR-QMS zu integrieren.
- Harmonisierte AI-Act-Normen werden noch finalisiert, daher sind ISO 13485 plus ISO/IEC 42001 (mit ISO 14971, IEC 62304, IEC 62366) das praktische Gerüst, auf dem Sie jetzt aufbauen.
Jede Rechtsaussage unten ist belegt. Siehe Quellen.
Warum Teams hier über das Ziel hinausbauen
Der Reflex beim Lesen des AI Act ist, ein ganz neues Compliance-System aufzubauen. Für einen Medizinprodukte-Hersteller ist das meist verschwendete Mühe. Sie führen bereits ein ausgereiftes Qualitätssystem nach ISO 13485 und einen Risikoprozess nach ISO 14971. Die Aufgabe des AI Act ist nicht, sie zu ersetzen, sondern die KI-spezifischen Teile zu ergänzen und sie innerhalb Ihres bestehenden Wegs prüfen zu lassen (siehe wie die Konformität integriert wird). Der effiziente Weg ist erweitern, nicht neu bauen.
Ist Ihr KI-System hochriskant?
Finden Sie es in 2 Minuten heraus, kostenlos, ohne Anmeldung.
Jetzt prüfenISO 13485 ist Ihr Rückgrat für Artikel 17
Artikel 17 verlangt von Anbietern hochriskanter KI ein Qualitätsmanagementsystem. Für einen Medizinprodukte-Hersteller ist das im Wesentlichen das, was ISO 13485 bereits liefert: Dokumentenlenkung, Designlenkung, Lieferantenmanagement, CAPA, Marktbeobachtungsprozesse. Der AI Act ergänzt KI-spezifische Erwartungen auf dieser Struktur, statt ein separates QMS zu verlangen.
ISO/IEC 42001 ist die KI-Schicht, die Sie ergänzen
ISO/IEC 42001 ist die Managementsystem-Norm für künstliche Intelligenz. Sie ist der natürliche Ort für die Governance, die dem AI Act wichtig ist und die ein klassisches Medizin-QMS nicht vollständig abdeckt: Modell-Lebenszyklus-Management, Daten-Governance, Aufsicht über KI-spezifische Risiken und kontinuierliche Überwachung der KI-Leistung. Auf ISO 13485 aufgesetzt, füllt sie die KI-förmige Lücke, ohne das Medizin-QMS zu doppeln, das Sie bereits pflegen. MDCG 2025-6 weist genau in diese Richtung: integrieren Sie die KI-spezifischen Elemente in Ihr bestehendes QMS.
Die Zuordnung der unterstützenden Normen
Ihre anderen Medizinprodukte-Normen tragen bereits zu den AI-Act-Anforderungen bei:
- ISO 14971 (Risikomanagement) unterstützt das Risikomanagement nach Artikel 9; erweitern Sie es auf KI-spezifische Risiken (Drift, Datenqualität, vorhersehbarer Modell-Missbrauch).
- IEC 62304 (Software-Lebenszyklus) unterstützt Genauigkeit und Robustheit nach Artikel 15.
- IEC 62366 (Gebrauchstauglichkeit) unterstützt die menschliche Aufsicht nach Artikel 14.
Der AI Act × MDR/IVDR Crosswalk legt das Pflicht für Pflicht dar, sodass Sie genau sehen, was jede Norm bereits abdeckt und wo die echten Lücken sind.
Ein Hinweis zu harmonisierten Normen (das ist in Bewegung)
Der AI Act wird eigene harmonisierte Normen haben, die eine Konformitätsvermutung geben, aber diese werden noch entwickelt. Bis sie da sind, warten Sie nicht: ISO 13485 und ISO/IEC 42001 (plus ISO 14971, IEC 62304, IEC 62366) sind das praktische Gerüst, und die Einstufungs- und Integrationslogik (Artikel 6 und 43(3)) ist unabhängig davon stabil. Die beweglichen Teile verfolgen wir in unserem Fristen-Tracker.
Häufige Fragen
Brauche ich ein neues Qualitätsmanagementsystem für den AI Act?
Nein. Artikel 17 verlangt ein QMS, und für einen Medizinprodukte-Hersteller ist Ihr ISO-13485-System im Wesentlichen genau das. Sie ergänzen die KI-spezifische Governance (ISO/IEC 42001) obendrauf, statt ein separates System aufzubauen. MDCG 2025-6 empfiehlt, die KI-Elemente in Ihr bestehendes MDR/IVDR-QMS zu integrieren.
Was ergänzt ISO/IEC 42001, das ISO 13485 nicht bietet?
Die KI-spezifische Governance, die ein klassisches Medizin-QMS nicht vollständig adressiert: KI-Modell-Lebenszyklus-Management, Daten-Governance, Aufsicht über KI-spezifische Risiken und Überwachung der KI-Leistung über die Zeit. Sie ergänzt ISO 13485, statt sie zu ersetzen.
Gibt es schon harmonisierte AI-Act-Normen?
Sie werden noch entwickelt. Harmonisierte Normen werden schließlich eine Konformitätsvermutung geben, aber bis sie veröffentlicht sind, sind ISO 13485 und ISO/IEC 42001 (mit ISO 14971, IEC 62304 und IEC 62366) die praktische Grundlage. Die zugrunde liegende Einstufungslogik hängt nicht von ihnen ab.
Quellen (offiziell)
- EU AI Act, Verordnung (EU) 2024/1689: artikelweise beim AI Act Service Desk der Europäischen Kommission. Zitiert: Artikel 17 (Qualitätsmanagementsystem), Artikel 9 (Risikomanagement), Artikel 14 (menschliche Aufsicht), Artikel 15 (Genauigkeit und Robustheit), Artikel 43(3) (integrierte Konformität); amtlicher Text auf EUR-Lex.
- MDCG 2025-6, FAQ zum Zusammenspiel von MDR/IVDR und AI Act (19. Juni 2025): Kommissionsseite. Zitiert für: Integration KI-spezifischer QMS-Elemente in das bestehende MDR/IVDR-Qualitätsmanagementsystem.
- Referenzierte Normen (keine EU-Rechtsvorschriften, Industrienormen): ISO 13485, ISO/IEC 42001, ISO 14971, IEC 62304, IEC 62366.
Legalithm stellt Compliance-Informationen und Werkzeuge bereit, keine Rechtsberatung. Normenauswahl und QMS-Gestaltung hängen von Ihrem konkreten Produkt und Ihren Prozessen ab; bestätigen Sie sie mit Ihrer Benannten Stelle und qualifizierter Rechtsberatung. Artikelverweise beziehen sich auf die Verordnung (EU) 2024/1689 (AI Act).


