Back to blog
    NIST AI RMF vs. EU AI Act vs. ISO/IEC 42001: Una comparación práctica para equipos empresariales
    ai-governancenist-ai-rmfeu-ai-actiso-42001compliance

    NIST AI RMF vs. EU AI Act vs. ISO/IEC 42001: Una comparación práctica para equipos empresariales

    Tres marcos principales de gobernanza de IA, cada uno de una jurisdicción y filosofía diferente. Esto es lo que requiere cada uno, dónde se solapan y cómo construir una postura de cumplimiento unificada.

    EErtas Team·

    Si operas globalmente, probablemente estés sujeto a los tres marcos principales de gobernanza de IA simultáneamente. Tus contratos federales de EE.UU. referencian NIST. Tus operaciones europeas enfrentan obligaciones del EU AI Act. Tus clientes empresariales y auditores preguntan sobre la certificación ISO/IEC 42001.

    Construir tres programas de cumplimiento separados es costoso y redundante. Construir un programa que mapee a los tres es factible — pero solo si entiendes dónde divergen los marcos.

    Esta es una comparación práctica, no una descripción general de políticas. El objetivo es un mapa de cumplimiento sobre el cual puedas actuar.

    Marco 1: NIST AI Risk Management Framework (AI RMF 1.0)

    Jurisdicción y aplicación: Guía voluntaria de EE.UU., publicada en enero de 2023. Sin mecanismo de aplicación directo. Efectivamente requerido para contratistas federales a través de requisitos de adquisición y precedente del marco de ciberseguridad NIST. Fuertemente referenciado en guía regulatoria financiera de EE.UU. (OCC, Reserva Federal, guía de gestión de riesgo de IA de FDIC).

    Filosofía central: basada en riesgos y enfocada en procesos. NIST describe buenas prácticas y principios sin prescribir implementaciones técnicas específicas. El marco asume que las organizaciones lo adaptarán a su contexto en vez de seguirlo de forma prescriptiva.

    Estructura: cuatro funciones centrales — Gobernar, Mapear, Medir, Gestionar — organizadas en categorías y subcategorías. La función Gobernar establece políticas y rendición de cuentas organizacional. Mapear identifica riesgos de IA en contexto. Medir analiza y monitorea esos riesgos. Gestionar responde a ellos y los mejora.

    Fortaleza clave: tecnológicamente neutral y comprehensivo. Porque no especifica requisitos técnicos, funciona a través de tipos y casos de uso de IA. También mapea limpiamente sobre marcos existentes de gestión de riesgo empresarial (ISO 31000, COSO), lo que significa que las organizaciones con programas ERM maduros pueden extender sus estructuras existentes en vez de construir unas paralelas específicas para IA.

    Limitación clave: voluntario significa no verificable externamente. Los clientes, socios y reguladores no pueden obtener aseguramiento independiente de que tu organización sigue NIST AI RMF. No hay certificación. El marco es útil internamente pero no satisface requisitos de aseguramiento de terceros.

    Marco 2: EU AI Act

    Jurisdicción y aplicación: Regulación de la UE, vigente desde 2024 con implementación por fases hasta 2026. Aplica a cualquier sistema de IA puesto en el mercado de la UE o usado de maneras que afecten a individuos de la UE — independientemente de dónde esté ubicado el proveedor o implementador. Penalidades por incumplimiento: hasta 35 millones de euros o el 7% de los ingresos anuales globales para las violaciones más graves.

    Filosofía central: escalonada por riesgo y basada en derechos. El EU AI Act clasifica los sistemas de IA por nivel de riesgo e impone requisitos progresivamente más exigentes a los sistemas de mayor riesgo. Los derechos de los individuos afectados por decisiones de IA son centrales en el diseño del marco.

    Estructura:

    • Prácticas prohibidas (Artículo 5): Sistemas de IA que están prohibidos por completo, incluyendo puntuación social, vigilancia biométrica en tiempo real en espacios públicos y manipulación del comportamiento humano explotando vulnerabilidades.
    • Sistemas de alto riesgo (Artículo 6 + Anexo III): Sistemas de IA en sectores que incluyen infraestructura crítica, educación, empleo, servicios esenciales (crédito, seguros), aplicación de la ley, migración y administración de justicia. Los sistemas de alto riesgo enfrentan extensas obligaciones de cumplimiento.
    • Modelos de IA de propósito general (Título VIII): Obligaciones específicas para grandes modelos de IA lanzados para uso general, incluyendo transparencia sobre datos de entrenamiento y capacidades del modelo.
    • Riesgo limitado y mínimo: Obligaciones de transparencia (debes divulgar cuando alguien está interactuando con IA) pero sin requisitos sustantivos de gobernanza.

    Fortaleza clave: legalmente vinculante con requisitos específicos de documentación. El Artículo 10 especifica cómo debe verse la gobernanza de datos de entrenamiento para sistemas de alto riesgo. El Artículo 14 especifica requisitos de supervisión humana. El Artículo 30 especifica requisitos de registro. Los Anexos IV y VII especifican la documentación técnica requerida. No hay ambigüedad sobre qué se requiere — hay ambigüedad sobre qué cuenta como cumplimiento, que las guías de implementación aún están resolviendo.

    Limitación clave: análisis de aplicabilidad complejo. Determinar si tu sistema de IA califica como "alto riesgo" bajo el Anexo III requiere análisis legal cuidadoso. El EU AI Act también crea obligaciones tanto para proveedores (que desarrollan y comercializan sistemas de IA) como para implementadores (que usan sistemas de IA en sus operaciones), y esas obligaciones difieren. Los cronogramas de cumplimiento son escalonados, y la guía sobre muchas disposiciones aún se está desarrollando.

    Marco 3: ISO/IEC 42001:2023

    Jurisdicción y aplicación: Estándar voluntario internacional, publicado en diciembre de 2023. Certificable por auditores externos acreditados, similar a ISO 27001 (seguridad de la información) e ISO 9001 (gestión de calidad). Sin aplicación regulatoria, pero la certificación es cada vez más requerida por clientes empresariales y adquisiciones gubernamentales.

    Filosofía central: enfoque de sistema de gestión. ISO/IEC 42001 no especifica cómo debería verse tu gobernanza de IA en términos de controles técnicos específicos. Especifica que deberías tener un sistema para definir tus requisitos de gobernanza de IA, implementarlos, monitorearlos y mejorarlos. El estándar valida el proceso, no el contenido específico.

    Estructura: 10 cláusulas siguiendo la Estructura de Alto Nivel estándar de ISO (la misma estructura que ISO 27001 y 9001), permitiendo sistemas de gestión integrados para organizaciones ya certificadas en otros estándares. El Anexo A contiene 38 controles organizados en 8 dominios de control, incluyendo datos para sistemas de IA (A.6), evaluación de impacto de sistemas de IA (A.8) y relaciones con terceros y clientes (A.10).

    Fortaleza clave: el único marco principal de gobernanza de IA con certificación de terceros. Los clientes y socios pueden verificar tu cumplimiento sin realizar sus propias auditorías. Para empresas que ya tienen certificación ISO 27001 o ISO 9001, extender a ISO/IEC 42001 reutiliza la infraestructura existente (funciones de auditoría interna, procesos de revisión de gestión, control de documentos).

    Limitación clave: el enfoque de sistema de gestión significa que la certificación ISO/IEC 42001 no te dice exactamente qué contiene tu gobernanza de IA — solo que tienes un sistema gobernado. Dos organizaciones pueden estar ambas certificadas con prácticas reales muy diferentes. Para organizaciones que quieren guía prescriptiva sobre cómo se ve técnicamente una buena gobernanza de IA, ISO/IEC 42001 solo no es suficiente.

    Cómo se solapan: una comparación práctica

    DimensiónNIST AI RMFEU AI ActISO/IEC 42001
    Clasificación de riesgoRequerida, flexibleRequerida, específica (Anexo III)Requerida, definida por la organización
    DocumentaciónReferenciada, flexibleAnexo IV prescriptivo para alto riesgoCláusula 7.5 registros requeridos
    Supervisión humanaBasada en principios (Govern 6.2)Artículo 14 requisitos específicosA.6.1.5 referenciado
    Rastros de auditoría / registroFunción Monitor referenciadaArtículo 30 requisitos específicosCláusula 9.1 registros de monitoreo
    Respuesta a incidentesFunción Manage referenciadaArtículo 73 reporte de incidentes gravesCláusula 10.1 proceso de mejora
    Aseguramiento de tercerosSin certificaciónEvaluación de conformidad para alto riesgoCertificable por auditor acreditado

    El solapamiento sustancial está en clasificación de riesgos, documentación y monitoreo. Los tres marcos requieren que sepas qué sistemas de IA tienes, evalúes su riesgo, documentes tu enfoque de gobernanza y monitorees los resultados.

    Construyendo un programa que satisfaga los tres

    El camino más eficiente: comienza con el cumplimiento del EU AI Act como tu base.

    El EU AI Act es el marco más prescriptivo para organizaciones con sistemas de alto riesgo. Si satisfaces los requisitos de documentación técnica del Anexo IV del EU AI Act, los requisitos de supervisión humana del Artículo 14 y los requisitos de registro del Artículo 30, cubrirás la mayoría de las funciones de Gobernar, Mapear, Medir y Gestionar del NIST AI RMF y la mayoría de los controles del Anexo A de ISO/IEC 42001.

    El mapeo específico:

    EU AI Act Artículo 10 (requisitos de datos de entrenamiento) → NIST Map 1.6 (calidad de datos) → ISO 42001 A.6.2 (datos para sistemas de IA). Los tres requieren que documentes fuentes de datos de entrenamiento, evaluación de calidad y gobernanza. Satisfacer el Artículo 10 del EU AI Act para sistemas de alto riesgo cubre los otros.

    EU AI Act Artículo 30 (registro) → NIST Measure 2.5 (monitoreo) → ISO 42001 Cláusula 9.1 (monitoreo y medición). El EU AI Act especifica los requisitos mínimos de registro para sistemas de alto riesgo. Implementar esos registros satisface los requisitos de monitoreo de los otros dos marcos.

    EU AI Act Artículo 9 (sistema de gestión de riesgos) → NIST Govern 1.1-1.4 (gobernanza de riesgos) → ISO 42001 Cláusula 6.1 (evaluación de riesgos). El EU AI Act requiere un sistema documentado de gestión de riesgos para sistemas de alto riesgo. Este documento es esencialmente lo que NIST Govern requiere y lo que la Cláusula 6 de ISO 42001 solicita.

    Lo que necesitarás agregar para la certificación ISO específicamente: ISO/IEC 42001 tiene requisitos fuertes alrededor del compromiso de la dirección (Cláusula 5), roles organizacionales (Cláusula 5.3) y mejora continua (Cláusula 10) que no están directamente abordados por el cumplimiento del EU AI Act. Estos son requisitos de sistema de gestión, no técnicos — relativamente fáciles de implementar pero requiriendo documentación específica.

    Lo que necesitarás agregar para NIST específicamente: La sección de Transparencia de IA del NIST AI RMF (Map 5.1-5.2) y su énfasis en la diversidad del equipo en el desarrollo de IA (Govern 6.1) no están directamente cubiertos por el EU AI Act. Estas son adiciones de relativamente bajo esfuerzo.

    Donde la gobernanza de datos es el punto crítico

    Los tres marcos convergen en la gobernanza de datos de entrenamiento como un requisito de cumplimiento crítico. El Artículo 10 del EU AI Act es el más específico — requiere gobernanza documentada de conjuntos de datos de entrenamiento, validación y prueba, incluyendo fuentes de datos, características y evaluación de calidad. NIST Map 1.6 e ISO/IEC 42001 A.6.2 requieren documentación similar en términos menos prescriptivos.

    Para organizaciones usando IA en producción, esto significa que cada dataset usado para entrenar o ajustar un modelo necesita linaje documentado: ¿de dónde vinieron los datos, qué transformaciones se aplicaron, qué evaluación de calidad se realizó, quién autorizó su uso?

    Los requisitos del Artículo 10 del EU AI Act para sistemas de alto riesgo — y los requisitos del control A.6.2 del Anexo A de ISO/IEC 42001 para gestión de datos — son exactamente lo que el pipeline de Ertas Data Suite genera por defecto. Cada operación de ingestión, limpieza, etiquetado y aumento crea un registro inmutable con marcas de tiempo y atribución del operador. La documentación que satisface los tres marcos se genera como subproducto del flujo de trabajo de preparación de datos, no se ensambla después del hecho.

    Agenda una llamada de descubrimiento con Ertas →

    Turn unstructured data into AI-ready datasets — without it leaving the building.

    On-premise data preparation with full audit trail. No data egress. No fragmented toolchains. EU AI Act Article 30 compliance built in.

    Book a Discovery CallSee how Ertas Data Suite works →

    Keep reading

    The EU AI Act's High-Risk System Requirements: What They Demand and What They Don't Tell You
    Enterprise AI

    The EU AI Act's High-Risk System Requirements: What They Demand and What They Don't Tell You

    The EU AI Act's Annex III defines high-risk AI categories. If you're deploying in healthcare, legal, finance, or HR, you're almost certainly in scope. Here's what compliance actually requires.

    AI Model Inventory Template: Track Every Model Your Organization Runs in Production
    Enterprise AI

    AI Model Inventory Template: Track Every Model Your Organization Runs in Production

    SR 11-7, EU AI Act, and ISO 42001 all require a model inventory. Here's a complete template with every field you need, plus guidance on what to capture and why.

    EU AI Act Article 30 Documentation Checklist: What High-Risk AI Providers Must Log
    Enterprise AI

    EU AI Act Article 30 Documentation Checklist: What High-Risk AI Providers Must Log

    EU AI Act Article 30 requires providers of high-risk AI systems to maintain detailed logs. This checklist covers every requirement with practical implementation guidance.