Lo esencial
- Cuatro marcos dominan la gobernanza de la IA en 2026: el NIST AI RMF, la norma ISO/IEC 42001, el Reglamento de IA y los principios de IA de la OCDE. Cada uno cumple un papel distinto.
- El NIST aporta una taxonomía voluntaria de riesgos, ISO/IEC 42001 ofrece un sistema de gestión certificable, el Reglamento de IA impone obligaciones jurídicas vinculantes y la OCDE fija el suelo ético mundial.
- Los programas maduros los combinan: un único catálogo interno de controles, documentado una sola vez, cubre varios marcos externos a la vez.
- Las normas europeas armonizadas de la serie prEN (prEN 18228 sobre gestión de riesgos, prEN 18282 sobre ciberseguridad de la IA) reescribirán la prueba de conformidad en 2026 y 2027.
- El marco con el que empezar depende de la posición de la empresa: proveedor o desplegador, dentro o fuera de la UE, sector regulado o de propósito general.
Qué es realmente un marco de gobernanza de la IA
Un marco de gobernanza de la IA es un conjunto estructurado de principios, controles, procesos y roles que la organización usa para mantener sus sistemas de IA dentro de límites acordados de riesgo, ética y cumplimiento legal. Un marco no convierte por sí solo un sistema de IA en seguro. Aporta una manera repetible de decidir si el sistema es suficientemente seguro, quién responde de ello y qué pruebas sostienen la afirmación.
Un marco suele responder a cuatro preguntas: ¿qué puede fallar en este sistema de IA?, ¿quién es dueño de cada riesgo?, ¿qué controles lo llevan a un nivel aceptable? y ¿cómo sabemos, en el tiempo, que esos controles siguen funcionando?
Marco, política y regulación
Los tres términos se usan a menudo como sinónimos y eso ralentiza la implantación. Una regulación es una norma jurídica: el Reglamento de IA obliga a todo proveedor o desplegador que introduce un sistema de IA en el mercado de la Unión. Una política es un compromiso interno, por ejemplo la política de uso aceptable de IA generativa de la compañía. Un marco es el tejido conectivo: traduce obligaciones externas y compromisos internos en controles operativos, con propietarios nombrados y resultados medibles.
Por qué surgieron los marcos entre 2023 y 2025
La primera oleada va de enero de 2023 a principios de 2025. El NIST publicó el AI Risk Management Framework 1.0 en enero de 2023, seguido del perfil de IA generativa en 2024. ISO/IEC publicó 42001 en diciembre de 2023. El Reglamento de IA entró en vigor el 1 de agosto de 2024, con fechas de aplicación escalonadas hasta 2027. La OCDE actualizó sus principios en mayo de 2024 para abordar la IA de propósito general y la generativa. El motor común: la capacidad de los sistemas creció más rápido que los procesos internos improvisados, y los consejos de administración necesitaron una estructura defendible.
Los cuatro marcos que importan en 2026
El mercado de la gobernanza de la IA en 2026 descansa sobre cuatro anclas. El NIST AI Risk Management Framework es el marco voluntario dominante en Estados Unidos y se está convirtiendo en referencia taxonómica mundial. La norma ISO/IEC 42001:2023 es la única norma certificable para un sistema de gestión de IA, y sirve de columna vertebral a las organizaciones que ya operan bajo ISO 27001 o ISO 9001. El Reglamento de IA es la regulación vinculante más estructurante a escala global para los actores que se dirigen al mercado europeo. Los principios de IA de la OCDE, actualizados en 2024, fijan el suelo de valores al que 47 estados adherentes hacen referencia expresa, entre ellos la UE, Estados Unidos, Reino Unido y Japón.
Tres textos más orbitan estos cuatro. El Convenio marco del Consejo de Europa sobre IA, abierto a la firma en septiembre de 2024, fija mínimos de derechos humanos. Las guías de ciberseguridad del NIST (extensiones de IA del SP 800-53 y del CSF) y las futuras normas armonizadas CEN-CENELEC (prEN 18228 sobre gestión de riesgos de IA, prEN 18282 sobre especificaciones de ciberseguridad, y textos hermanos) traducen los principios en cláusulas auditables. En España, la AEPD, la AESIA y el INCIBE complementan los marcos internacionales con requisitos sectoriales y nacionales.
NIST AI RMF 1.0 y el perfil de IA generativa
El NIST AI Risk Management Framework, publicado en enero de 2023, organiza el trabajo sobre riesgos de IA en cuatro funciones centrales: Govern (gobernar), Map (mapear), Measure (medir) y Manage (gestionar). Cada función se descompone en categorías y subcategorías de resultados, con unos 70 outcomes utilizables como autoevaluación.
Govern, Map, Measure, Manage
Govern establece las políticas, responsabilidades y recursos que anclan formalmente la gestión del riesgo de IA. Map identifica contexto, alcance, uso previsto y partes interesadas impactadas por un sistema concreto. Measure asigna métricas y pruebas a los riesgos identificados. Manage aplica tratamientos (aceptación, mitigación, transferencia, evitación) con revisiones continuas.
Esta estructura hace el AI RMF compatible con los marcos de riesgo ya en uso: Govern dialoga con ISO 31000, Measure recuerda la lógica de auditoría interna de ISO 27001, y Manage es el puente hacia la respuesta a incidentes y la mejora continua.
En qué diverge el perfil de IA generativa
El perfil de IA generativa (NIST AI 600-1) se elaboró con un grupo de trabajo público de 2.500 participantes. Se concentra en 13 riesgos específicos de los sistemas generativos y propone más de 400 acciones asociadas: confabulación, fuga de datos personales, sesgos dañinos, integridad de la información, infracción de propiedad intelectual, contenidos obscenos o abusivos, riesgos de la cadena de valor, escalada NRBQ, ciberofensiva. Cada riesgo se vincula a acciones repartidas entre Govern, Map, Measure o Manage. El perfil generativo se superpone al baseline AI RMF, no lo sustituye.
ISO/IEC 42001: la IA como sistema de gestión
ISO/IEC 42001:2023 especifica requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de IA, llamado AIMS. La norma es certificable: un organismo acreditado puede auditar y emitir un certificado, como ocurre con ISO 27001.
Plan-Do-Check-Act aplicado a la IA
Como ISO 27001 y 9001, la 42001 sigue el ciclo Plan-Do-Check-Act. Plan fija contexto, alcance, compromisos de la dirección y criterios de aceptación del riesgo. Do opera los controles: gobierno del dato, ciclo de vida del modelo, supervisión humana, gestión de incidentes. Check mide el desempeño con auditorías internas, revisión por la dirección y KPI. Act realimenta los hallazgos en política, controles y plan de recursos.
La sorpresa más frecuente para equipos ya certificados ISO 27001: la 42001 toma en serio la especificidad de la IA. Cláusulas como la 6.1.3 sobre tratamiento del riesgo exigen entregables que un SGSI genérico no produce: evaluaciones de impacto, inventario de sistemas con uso previsto y categoría de riesgo, documentación de transparencia para los interesados, diseño de la supervisión humana.
Anexo A frente a ISO 27001
ISO/IEC 42001 incluye un Anexo A con controles sobre políticas para la IA, organización interna, recursos para sistemas de IA, evaluaciones de impacto, ciclo de vida de los sistemas, datos para IA, información a las partes interesadas y uso de sistemas de IA. Aproximadamente 38 controles. La superposición con los 93 controles del Anexo A de ISO 27001 es parcial. Ambas normas se complementan: un sistema de gestión integrado puede cubrir las dos, pero las evidencias específicas de IA que exige 42001 no se reducen a los controles de seguridad de 27001.
El Reglamento de IA: un marco con consecuencias jurídicas
El Reglamento de IA (Reglamento (UE) 2024/1689) entró en vigor el 1 de agosto de 2024, con aplicación escalonada. Las obligaciones sobre IA de propósito general aplican desde el 2 de agosto de 2025. La mayoría de las obligaciones de alto riesgo aplican desde el 2 de agosto de 2026. Las restantes (IA integrada en productos regulados) aplican desde el 2 de agosto de 2027.
A diferencia de NIST o ISO, el Reglamento de IA es vinculante. Las sanciones alcanzan 35 millones de euros o el 7 % del volumen de negocios mundial para las prácticas prohibidas, y 15 millones o el 3 % para la mayoría de las demás infracciones.
Artículo 9: gestión de riesgos en el centro
El artículo 9 es el corazón operativo del régimen para sistemas de IA de alto riesgo. Los proveedores deben establecer, implementar, documentar y mantener un sistema de gestión del riesgo como proceso iterativo continuo, ejecutado a lo largo de todo el ciclo de vida, sujeto a revisión periódica sistemática. El sistema identifica y analiza los riesgos conocidos y razonablemente previsibles, estima los que pueden emerger durante el uso previsto o un uso indebido razonablemente previsible, evalúa los detectados por la vigilancia poscomercialización y adopta medidas de gestión adecuadas.
El Reglamento acepta expresamente el riesgo residual. La referencia es la aceptabilidad en el uso previsto, no el riesgo cero.
Normas armonizadas y presunción de conformidad
El JTC 21 del CEN-CENELEC es el comité técnico conjunto encargado de desarrollar las normas armonizadas en respuesta a la petición de normalización M/593 de la Comisión Europea. Cuando un proveedor aplica una norma armonizada citada, se beneficia de presunción de conformidad con el requisito correspondiente. Los proyectos (prEN) en curso incluyen gestión de riesgos (prEN 18228), especificaciones de ciberseguridad de la IA (prEN 18282) y varios textos hermanos sobre gestión de la calidad, evaluación de la conformidad, transparencia y gobernanza. A la espera de su publicación en el Diario Oficial de la Unión Europea, los proveedores se apoyan en ISO/IEC 42001, ISO/IEC 23894 y otras referencias reconocidas como prueba de diligencia, sin presunción formal de conformidad.
Principios de IA de la OCDE: la brújula global
Los principios de IA de la OCDE se adoptaron en 2019 y se actualizaron en mayo de 2024. La actualización responde a la expansión de la IA de propósito general y de la generativa. Refuerza el lenguaje sobre privacidad, propiedad intelectual, seguridad e integridad de la información. Con 47 estados adherentes, incluidos la UE, Estados Unidos, Japón, Corea y Reino Unido, los principios de la OCDE actúan como lengua común para las conversaciones transfronterizas sobre IA responsable.
Qué cambia la actualización de 2024
El texto conserva los cinco principios basados en valores (crecimiento inclusivo y desarrollo sostenible, derechos humanos y valores democráticos, transparencia y explicabilidad, robustez y seguridad, responsabilidad) y clarifica las expectativas sobre IA generativa. Aborda explícitamente desinformación, protección de propiedad intelectual en datos de entrenamiento y responsabilidad de los actores de IA a lo largo del ciclo de vida. El Observatorio de IA de la OCDE rastrea la implantación nacional vía la base OECD.AI y publica fichas por país. Los principios no son vinculantes, pero los cita explícitamente el Reglamento de IA, el marco británico de IA y varias estrategias nacionales como referencia de base.
Mapeo cruzado: solapamientos y divergencias
La pregunta operativa rara vez es: ¿qué marco eligen?, sino: ¿cómo ejecutamos un control una sola vez y usamos la misma prueba para varios marcos? La tabla resume las correspondencias más útiles.
| Resultado | NIST AI RMF | ISO/IEC 42001 | Reglamento de IA | Principios OCDE |
|---|---|---|---|---|
| Propiedad de la gobernanza de IA | Govern 1.1, 1.2 | Cláusulas 5.1, 5.3 | Artículos 17, 22 | Principio 1.5 (responsabilidad) |
| Inventario de sistemas de IA | Map 1.1, 4.1 | Cláusula 6.1, Anexo A.6.2.1 | Artículo 16, Artículo 49 | Principio 1.2 (transparencia) |
| Identificación y evaluación del riesgo | Map 5.1, 5.2 | Cláusula 6.1.3, Anexo A.6.1.4 | Artículo 9(2) | Principio 1.4 (robustez) |
| Gobierno y calidad de datos | Map 2.3, Measure 2.10 | Anexo A.7.1 a A.7.5 | Artículo 10 | Principio 1.2 |
| Diseño de la supervisión humana | Manage 1.3, 4.1 | Anexo A.9.2 | Artículo 14 | Principio 1.3 |
| Transparencia hacia el usuario | Govern 3.2, Map 5.1 | Anexo A.8.2, A.8.3 | Artículos 13, 50 | Principio 1.3 |
| Vigilancia poscomercialización e incidentes | Manage 4.3, 4.4 | Cláusula 10.2 | Artículos 72, 73 | Principio 1.4 |
Las superposiciones no son casuales. Un control que satisface NIST Manage 4.1 suele satisfacer también el Anexo A.9.2 de ISO 42001 y el artículo 14 del Reglamento. La prueba es la misma. Cambia el encuadre. Por eso los programas maduros construyen una biblioteca de controles única y etiquetan cada control con las cláusulas externas que cubre.
Cómo elegir un marco (o combinar varios)
Cuatro señales guian la decisión.
Primero, la posición en la cadena de valor. Los proveedores que introducen sistemas de IA de alto riesgo en el mercado UE no tienen elección real: el Reglamento es vinculante, las normas armonizadas dan presunción de conformidad y ISO/IEC 42001 es la columna voluntaria más frecuente. Los desplegadores afrontan obligaciones legales más ligeras, pero se benefician de los mismos controles internos.
Segundo, la jurisdicción. Quien sirve a la UE toma el Reglamento como suelo. Quien sirve principalmente a Estados Unidos, sobre todo en contratos federales, parte del NIST AI RMF. Las multinacionales operan ambos y usan ISO/IEC 42001 como puente. En España, AEPD, AESIA e INCIBE añaden requisitos sectoriales y nacionales sobre las guías internacionales.
Tercero, el sector. Los sectores muy regulados (finanzas, salud, sector público, infraestructuras críticas) apilan reguladores sectoriales. Finanzas suele combinar NIST AI RMF con gestión del riesgo de modelos anclada en SR 11-7 y equivalentes europeos. Salud añade MDR y validación clínica. El sector público exige evaluaciones de impacto y registros.
Cuarto, la madurez organizativa. Un programa principiante no debería apuntar a la certificación 42001 en el primer año. Empezar por la autoevaluación NIST AI RMF, encontrar los huecos, escribir las políticas que faltan, construir el inventario, y luego superponer ISO/IEC 42001 cuando la disciplina Plan-Do-Check-Act esté en pie. El orden inverso supone doce meses de auditoría sobre controles que aún no operan.
Del marco a los controles operativos
Un marco vale lo que valgan los controles que produce. Traducir el artículo 9 del Reglamento, el Anexo A de ISO/IEC 42001 y la función Manage del NIST AI RMF en una biblioteca real de controles internos es el punto donde la mayoría de los programas pierde fuerza. El patrón que funciona: una biblioteca única de controles internos, cada control etiquetado con las cláusulas externas que cubre, cada control conectado a su artefacto de prueba.
La plataforma AI Sigil se construye sobre este patrón. Cada módulo corresponde a una capa del stack: el Registro IA es el inventario que cubre NIST Map 1.1, el Anexo A.6.2.1 de ISO/IEC 42001 y el artículo 49 del Reglamento. El módulo Evaluación de riesgos cubre NIST Measure, la cláusula 6.1.3 de ISO/IEC 42001 y el artículo 9 del Reglamento. El módulo Framework Compliance es el motor de mapeo cruzado: un control, varias presunciones de conformidad. El módulo Pruebas y Auditoría conserva los artefactos en una forma que resiste tanto una auditoría ISO como una evaluación de conformidad bajo el Reglamento.
Cinco trampas comunes en la implantación
- Tratar el marco como documento y no como modelo operativo. Los equipos escriben la política de IA, copian unas cláusulas NIST o ISO, archivan el texto y siguen como antes. Un marco que no cambia el día a día es teatro.
- Punto de partida erróneo. Ir directo a la certificación 42001 antes de tener inventario garantiza huecos de prueba ante los auditores. Primero inventario, después clasificación de riesgo, después los controles.
- Ver los marcos como alternativas en lugar de capas. NIST, ISO 42001, Reglamento de IA y OCDE responden a preguntas distintas. Elegir uno solo deja descubierto lo que los otros cubrirían.
- Subestimar el gobierno del dato. El artículo 10 del Reglamento, el Anexo A.7 de ISO 42001 y NIST Map 2.3 exigen prácticas defendibles sobre datos de entrenamiento, validación y calidad continua. Muchos programas subinvierten y pagan la factura después.
- Sin propietarios nombrados. Un marco sin un directivo responsable por área de riesgo degenera en problema de coordinación. NIST Govern 1.2 y el artículo 17 del Reglamento exigen responsabilidad nominal.
Preguntas frecuentes
¿Cuáles son los marcos de gobernanza de la IA más importantes en 2026?
Cuatro destacan: NIST AI RMF 1.0 (con el perfil de IA generativa), ISO/IEC 42001:2023, el Reglamento de IA (Reglamento (UE) 2024/1689) y los principios de IA de la OCDE actualizados en mayo de 2024. Los programas maduros suelen adoptar tres de los cuatro en paralelo: NIST para la taxonomía de riesgo, ISO 42001 para el sistema de gestión y el Reglamento como suelo regulatorio vinculante en Europa.
¿Es obligatoria la certificación ISO/IEC 42001 bajo el Reglamento de IA?
No. El Reglamento no impone ISO/IEC 42001. La certificación sí aporta una prueba sólida de diligencia y respalda la evaluación de conformidad. Hasta que se publiquen las normas armonizadas CEN-CENELEC en el Diario Oficial, los proveedores se apoyan a menudo en ISO/IEC 42001 e ISO/IEC 23894 como las referencias voluntarias más creibles.
¿Qué diferencia hay entre NIST AI RMF e ISO/IEC 42001?
NIST AI RMF es una taxonomía voluntaria de gestión del riesgo con cuatro funciones y unos 70 outcomes. Es libre y muy adoptada en Estados Unidos. ISO/IEC 42001 es una norma de sistema de gestión certificable con cláusulas formales y un conjunto de controles en Anexo A. Son complementarias: NIST dice qué riesgos gestionar. ISO/IEC 42001 dice cómo operar el sistema de gestión que los gestiona.
¿Están disponibles las normas armonizadas CEN-CENELEC?
Aun no como normas europeas armonizadas finales. El JTC 21 ha producido varios proyectos, entre ellos prEN 18228 sobre gestión del riesgo de IA y prEN 18282 sobre especificaciones de ciberseguridad de la IA, que circulan en 2026 como proyectos bajo licencia. La publicación en el Diario Oficial y la presunción de conformidad asociada se esperan a lo largo de 2026 y 2027.
¿Cuál es el marco mínimo viable para una startup?
Para una empresa joven que desarrolla o despliega IA sin atender aún al mercado europeo: una política de IA escrita, un inventario de sistemas con uso previsto y categoría de riesgo, un proceso de evaluación de impacto basado en NIST AI RMF Map y Measure, propietarios nombrados y un procedimiento breve de respuesta a incidentes. Cuando entran clientes europeos o sectores regulados, el Reglamento de IA e ISO/IEC 42001 dejan de ser opcionales.
¿Tienen efectos jurídicos los principios de la OCDE?
No directamente. Son no vinculantes. Su efecto es indirecto pero significativo: los cita explícitamente el Reglamento de IA, el marco británico de política de IA y varias estrategias nacionales como referencia de base. Adherirse rara vez basta por sí solo, pero alejarse de ellos expone reputacionalmente en entornos transfronterizos.
Conclusión
Los marcos de gobernanza de la IA en 2026 no son intercambiables. Cada uno responde a una pregunta distinta y carga un coste de incumplimiento propio. La vía madura los trata como capas: OCDE como suelo de valores, NIST como taxonomía de riesgo, ISO/IEC 42001 como sistema de gestión, Reglamento de IA como techo regulatorio vinculante para quien se dirige a Europa. Construya una biblioteca interna de controles única, mapeada contra los cuatro marcos, y el trabajo de prueba se acumula en lugar de duplicarse. Es el giro operativo que convierte un programa de gobernanza de teatro documental en práctica defendible.