El NIST AI RMF es el marco de referencia más utilizado para el desarrollo y la implantación responsable de la inteligencia artificial en Estados Unidos. Publicado en enero de 2023 por el National Institute of Standards and Technology, proporciona a las organizaciones una metodología práctica y orientada al ciclo de vida para identificar, evaluar y gestionar los riesgos asociados a los sistemas de IA. Para los equipos de cumplimiento que operan tanto en el mercado estadounidense como en el europeo, también constituye una base fundamental para satisfacer las obligaciones del Reglamento Europeo de Inteligencia Artificial. Esta guía explica qué es el marco, cómo funcionan sus cuatro funciones principales y cómo mapearlo respecto a los artículos del Reglamento de IA de la UE y los requisitos de la ISO 42001.
¿Qué es el NIST AI RMF?
El NIST AI Risk Management Framework (designación: NIST AI 100-1) fue publicado el 26 de enero de 2023. Se desarrolló en cumplimiento del National AI Initiative Act de 2020, que encomendó al NIST la creación de un marco para ayudar a las organizaciones a «gestionar mejor los riesgos para los individuos, las organizaciones y la sociedad asociados a la IA.»
El proceso de desarrollo fue extraordinariamente abierto: más de 240 organizaciones contribuyeron a través de talleres, rondas de comentarios públicos y grupos de trabajo durante 18 meses. El resultado es un documento que refleja las preocupaciones reales de los profesionales del sector.
Características esenciales del NIST AI RMF:
- Voluntario y flexible: no es una regulación, no es una norma de certificación y no impone prácticas específicas
- Orientado al ciclo de vida: se aplica a los sistemas de IA durante todo su ciclo de vida, desde el diseño hasta la retirada
- Agnóstico respecto a la organización: diseñado para cualquier sector, cualquier tamaño de organización y cualquier tipo de sistema de IA
- Orientación sociotécnica: «los sistemas de IA son de naturaleza sociotécnica, lo que significa que las amenazas no son solo técnicas, legales o ambientales, sino también sociales»
Las cuatro funciones principales: GOVERN, MAP, MEASURE, MANAGE
El núcleo del NIST AI RMF son sus cuatro funciones. No son etapas secuenciales que se completan una sola vez: son actividades continuas e iterativas que interactúan a lo largo de todo el ciclo de vida de un sistema de IA. GOVERN es transversal y sustenta las otras tres.
GOVERN
GOVERN establece los cimientos organizativos para la gestión de riesgos de IA. Cubre políticas, estructuras de responsabilidad, competencias de la fuerza laboral y la cultura organizativa necesaria para una IA responsable. Las actividades de GOVERN incluyen la definición de roles y responsabilidades para el riesgo de IA, la creación de procesos para identificar y declarar los usos de IA, la definición de tolerancias al riesgo y la creación de mecanismos de escalada.
Sin GOVERN, MAP, MEASURE y MANAGE se convierten en actividades puntuales sin sostenibilidad institucional.
MAP
MAP trata de comprender el contexto: qué sistema de IA se está construyendo o desplegando, para quién, en qué condiciones y con qué riesgos. Las actividades de MAP incluyen la identificación de los usos previstos y las poblaciones afectadas, la evaluación del contexto de despliegue, la categorización de los tipos de riesgos y la identificación de los interesados.
MAP produce el inventario de riesgos sobre el que trabajan las demás funciones. Es la fase de diagnóstico: exhaustiva y contextual.
MEASURE
MEASURE operacionaliza la evaluación de riesgos. Proporciona las herramientas, métricas y procesos para cuantificar los riesgos de IA y evaluar la fiabilidad de los sistemas. Las actividades de MEASURE incluyen pruebas de sesgo, evaluación de la precisión y robustez del modelo, evaluación de la calidad de los datos, supervisión de la deriva y aplicación de técnicas de explicabilidad.
Un punto crucial: MEASURE no es una prueba única antes del despliegue. Cubre todo el ciclo de vida.
MANAGE
MANAGE cubre el tratamiento de riesgos y la gobernanza continua. Una vez identificados (MAP) y evaluados (MEASURE), los riesgos se tratan en MANAGE: aceptar, evitar, mitigar o transferir. MANAGE también cubre la respuesta a incidentes, la documentación de riesgos residuales y los procesos de corrección de sesgos.
Las siete características de fiabilidad
El NIST AI RMF organiza los riesgos de IA en torno a siete características de fiabilidad que definen las propiedades que debe presentar un sistema de IA confiable.
| Característica | Significado |
|---|---|
| Seguro | El sistema no produce resultados que causen daños físicos, psicológicos o financieros |
| Seguro y resiliente | El sistema resiste ataques y se recupera rápidamente |
| Explicable e interpretable | Los resultados pueden ser comprendidos y explicados por operadores y afectados |
| Responsable y transparente | Existe una responsabilidad clara para las decisiones de IA; se divulga la existencia de la IA |
| Justo con sesgos gestionados | El sistema no perjudica sistemáticamente a grupos protegidos |
| Protector de la privacidad | El sistema respeta la minimización de datos y los derechos de privacidad |
| Fiable y preciso | El sistema funciona de manera consistente y cumple los estándares de precisión en sus contextos de uso previstos |
NIST AI RMF y el Reglamento de IA de la UE: El mapeo artículo por artículo
Este es el mapeo que ningún artículo de la competencia proporciona. Para las organizaciones sujetas al Reglamento de IA de la UE, el NIST AI RMF no es solo un complemento útil: genera los artefactos documentales específicos requeridos para la conformidad.
Los requisitos obligatorios del Reglamento de IA de la UE para los sistemas de IA de alto riesgo (Título III, Capítulo 2) son plenamente aplicables desde el 2 de agosto de 2026.
GOVERN corresponde al Artículo 17 (Sistema de gestión de la calidad)
El Artículo 17 exige a los proveedores de sistemas de IA de alto riesgo que «establezcan un sistema de gestión de la calidad» que cubra la gestión de riesgos, la gobernanza de datos, la documentación técnica, la transparencia, la supervisión humana y el seguimiento poscomercialización. GOVERN en el NIST AI RMF establece exactamente las políticas organizativas, las estructuras de responsabilidad y los procesos de gobernanza que constituyen un sistema de gestión de la calidad.
MAP corresponde al Artículo 9 (Sistema de gestión de riesgos)
El Artículo 9 exige que los proveedores «establezcan, apliquen, documenten y mantengan un sistema de gestión de riesgos» para los sistemas de IA de alto riesgo. MAP en el NIST AI RMF es exactamente ese proceso: identificación y categorización estructurada de los riesgos de IA en el contexto de despliegue.
El NIST publicó un mapeo oficial entre AI RMF 1.0 y la propuesta de Reglamento de IA de la UE en el momento del lanzamiento del marco en enero de 2023.
MEASURE corresponde a los Artículos 9.6 y 72
El Artículo 9.6 exige que las pruebas «se realicen durante todo el proceso de desarrollo y, en todo caso, antes de la comercialización.» El Artículo 72 impone un sistema de seguimiento poscomercialización para los sistemas de IA de alto riesgo. MEASURE en el NIST AI RMF cubre tanto las pruebas previas al despliegue como el seguimiento posterior.
MANAGE corresponde a los Artículos 9.7 y 9.8
El Artículo 9.7 exige la documentación de los riesgos que no pueden eliminarse o mitigarse adecuadamente. El Artículo 9.8 impone protocolos específicos de prueba de sesgos. MANAGE en el NIST AI RMF es la función de tratamiento de riesgos: documentación de decisiones e implementación de controles, incluida la corrección de sesgos.
Implicación práctica: Una organización que implementa completamente el NIST AI RMF y documenta sus actividades cumple aproximadamente el 60-70% de los requisitos para sistemas de IA de alto riesgo en virtud del Reglamento de IA de la UE. La brecha restante se refiere principalmente a los procedimientos de evaluación de la conformidad, la participación de organismos notificados y el marcado CE.
NIST AI RMF vs. ISO 42001: Diferencias y sinergias
| Dimensión | NIST AI RMF | ISO/IEC 42001 |
|---|---|---|
| Tipo | Marco voluntario | Norma de sistema de gestión certificable |
| Alcance | Metodología de gestión de riesgos de IA | Requisitos de sistema de gestión de IA |
| Certificación | Sin vía de certificación | Certificación de terceros disponible |
| Origen geográfico | EE. UU. (NIST) | Internacional (ISO/IEC JTC 1) |
El enfoque más eficaz utiliza ISO 42001 como marco de gobernanza y el NIST AI RMF como metodología de riesgo dentro de ese marco. Para las organizaciones que buscan la certificación ISO 42001, la implementación previa del NIST AI RMF acelera significativamente el proceso.
NIST AI 600-1: El Perfil de IA Generativa
El 26 de julio de 2024, el NIST publicó NIST AI 600-1, el Perfil de IA Generativa del AI RMF. Este documento extiende el marco principal para abordar los riesgos específicos introducidos por los sistemas de IA generativa, identificando 12 categorías de riesgo específicas y proporcionando más de 200 acciones recomendadas. Para las organizaciones reguladas por la UE, NIST AI 600-1 es el equivalente estadounidense del Código de Conducta GPAI de la UE.
El Playbook NIST AI RMF: De la teoría a la práctica
El Playbook AI RMF es la guía de implementación complementaria del marco, actualizada por última vez el 1 de marzo de 2024. Proporciona acciones sugeridas para cada una de las 72 subcategorías del marco principal y está disponible en formato PDF, CSV, Excel y JSON.
Implementar el NIST AI RMF: Por dónde empezar
Para las organizaciones que comienzan la implementación, una secuencia de cinco pasos ofrece un punto de partida alcanzable: (1) inventariar y categorizar los sistemas de IA, (2) establecer las políticas GOVERN, (3) aplicar MAP a cada sistema de IA, (4) MEASURE la fiabilidad según las siete características, (5) MANAGE con planes de tratamiento documentados.
Las organizaciones no necesitan implementar todas las funciones simultáneamente. Comenzar con GOVERN y MAP para los sistemas de IA de mayor riesgo es un enfoque pragmático.
Limitaciones del NIST AI RMF para las organizaciones reguladas por la UE
El NIST AI RMF no ofrece vía de certificación, mecanismo de aplicación ni ruta hacia el marcado CE. Para las organizaciones que operan en la UE, el NIST AI RMF es la capa metodológica de gestión de riesgos, no la solución de cumplimiento normativo. Debe complementarse con ISO 42001, procedimientos de evaluación de la conformidad específicos del Reglamento de IA de la UE y cumplimiento del RGPD.
Preguntas frecuentes
¿Qué es el NIST AI RMF? El NIST AI RMF (NIST AI 100-1) es un marco voluntario publicado en enero de 2023 que proporciona una metodología estructurada para identificar, evaluar y gestionar los riesgos asociados a los sistemas de IA, organizada en torno a cuatro funciones y siete características de fiabilidad.
¿Cuál es la diferencia entre ISO 42001 y NIST AI RMF? ISO 42001 es una norma de sistema de gestión de IA certificable. El NIST AI RMF es un marco voluntario de gestión de riesgos sin vía de certificación. El enfoque más eficaz los combina.
¿La implementación del NIST AI RMF satisface los requisitos del Reglamento de IA de la UE? Parcialmente: para los Artículos 9, 17, 9.6 y 72, sí. Sin embargo, no cubre los procedimientos de evaluación de la conformidad, el marcado CE ni los requisitos de organismos notificados requeridos para los sistemas de IA de alto riesgo.