Skip to content
Confir.
Prueba gratuita
Blog

Certificación ISO 42001: el proceso paso a paso

EU AI Act Guide3 April 2026· 22 min de lectura

La certificación ISO/IEC 42001 explicada: del análisis de deficiencias a la auditoría, los capítulos 4 a 10 del SGIA, el ciclo de 3 años y cómo respalda su SGC del Artículo 17 de la Ley de IA de la UE.

La certificación ISO 42001 no es un requisito legal. Ninguna disposición del Reglamento (UE) 2024/1689 la exige. Pero si está construyendo o desplegando un sistema de IA de alto riesgo y necesita demostrar una estructura de gobernanza sistemática y auditada, la certificación conforme a la norma ISO/IEC 42001:2023 es actualmente la forma más creíble de hacerlo. Le proporciona un sistema de gestión verificado por un tercero, un conjunto de controles del Anexo A asignado a obligaciones de gobernanza reales y un certificado que viaja bien — ante clientes corporativos, ante organismos notificados y, en su momento, ante las autoridades competentes que realizan la vigilancia del mercado.

Esta guía cubre todo el recorrido de la certificación: el análisis de deficiencias de preparación, la construcción del sistema de gestión de la IA (SGIA), la secuencia de auditoría, lo que se recibe al final y cómo conecta — y cómo no conecta — con la evaluación de la conformidad del Artículo 43 y las obligaciones del sistema de gestión de la calidad del Artículo 17 de la Ley de IA de la UE.

Qué es realmente la ISO/IEC 42001:2023

La ISO/IEC 42001 es una norma de sistema de gestión para la inteligencia artificial, publicada conjuntamente por ISO e IEC en diciembre de 2023. Sigue la misma estructura de alto nivel (HLS) utilizada por la ISO 9001 (calidad) y la ISO 27001 (seguridad de la información): los capítulos 4 a 10 definen los requisitos del sistema de gestión; el Anexo A proporciona un catálogo de controles que las organizaciones seleccionan y justifican mediante una Declaración de Aplicabilidad.

La norma cubre todo el ciclo de vida de los sistemas de IA — desde el diseño inicial y la gobernanza de datos, pasando por el despliegue y la supervisión, hasta el desmantelamiento. Sus cuatro documentos clave son:

  • El propio SGIA — el sistema de gestión, documentado en políticas, procedimientos y registros.
  • La evaluación de riesgos de la IA — una evaluación estructurada de los riesgos derivados del desarrollo o el uso de sistemas de IA.
  • La evaluación de impacto de la IA — una evaluación de cómo afectan los sistemas de IA a las personas, los grupos y la sociedad.
  • La Declaración de Aplicabilidad (DdA) — un documento que enumera cada control del Anexo A, indica si es aplicable y, en caso afirmativo, ofrece la justificación y la referencia a las pruebas de implementación.

ISO no concede la certificación. Los organismos de certificación acreditados — organizaciones independientes cuya competencia ha sido verificada por un organismo nacional de acreditación (como DAkkS en Alemania, UKAS en el Reino Unido o COFRAC en Francia) — realizan las auditorías y emiten los certificados. La cadena de acreditación importa: un certificado de un organismo no acreditado tiene poco peso ante los reguladores o ante los equipos de compras corporativas.

Cómo se relaciona la ISO 42001 con la Ley de IA de la UE

Esta es la cuestión que los equipos de cumplimiento confunden con más frecuencia, así que vale la pena exponerla con claridad.

La certificación ISO 42001 no es la evaluación de la conformidad del Artículo 43 de la Ley de IA de la UE. El Artículo 43 es el procedimiento obligatorio previo a la comercialización de la UE para los sistemas de IA de alto riesgo: antes de que un proveedor introduzca un sistema de alto riesgo en el mercado, debe completar una evaluación de la conformidad — bien mediante control interno con arreglo al Anexo VI (para la mayoría de las categorías del Anexo III), bien mediante una evaluación por organismo notificado con arreglo al Anexo VII (exigida para los sistemas biométricos cuando las normas armonizadas no se aplican en su totalidad, y activada por las condiciones del Artículo 43, apartado 1). Para la IA de alto riesgo integrada en productos regulados del Anexo I — productos sanitarios, máquinas, vehículos — se aplica la vía de evaluación de la conformidad de la legislación de productos aplicable, con los requisitos de la Ley de IA de la UE incorporados. La certificación ISO 42001 no sustituye nada de esto.

Lo que sí hace es construir la columna vertebral de gobernanza que da coherencia a las pruebas del Artículo 43. En concreto:

  • SGC del Artículo 17. Los proveedores de sistemas de IA de alto riesgo deben implantar un sistema de gestión de la calidad, documentado en políticas y procedimientos escritos, que abarque como mínimo los elementos enumerados en el Artículo 17, apartado 1, letras a) a m): estrategia de cumplimiento normativo, procedimientos de diseño y desarrollo, procedimientos de prueba y validación, gestión de datos, el sistema de gestión de riesgos del Artículo 9, vigilancia poscomercialización, notificación de incidentes y un marco de rendición de cuentas. Los capítulos 4 a 10 de la ISO 42001 se asignan directamente a estos requisitos. Un SGIA certificado no satisface automáticamente el Artículo 17, pero aporta la prueba estructural de que existe un SGC y de que ha sido auditado.
  • Sistema de gestión de riesgos del Artículo 9. El SGR del Artículo 9 debe estar documentado, ser sistemático e iterarse a lo largo de todo el ciclo de vida. El proceso de evaluación de riesgos de la IA de la ISO 42001 es una contrapartida operativa directa.
  • Documentación técnica del Artículo 11 (Anexo IV). Los controles del Anexo A relativos a la documentación de datos, la validación de modelos y la supervisión del rendimiento generan los registros que nutren el expediente técnico del Anexo IV.

Si ya dispone de la ISO 27001, tiene ventaja. La estructura HLS implica que su marco documental existente, su programa de auditoría interna y su ciclo de revisión por la dirección se transfieren íntegramente. Las organizaciones con programas maduros de ISO 27001 o ISO 9001 suelen alcanzar la preparación para la certificación ISO 42001 más rápido que quienes parten de cero — meses en lugar de un año o más.

Fase 1: preparación y análisis de deficiencias

Antes de contratar a un organismo de certificación, realice una evaluación interna de deficiencias. Su finalidad es establecer qué tiene y qué necesita construir.

Recorra de forma sistemática los capítulos 4 a 10 de la ISO 42001. El capítulo 4 exige que defina el contexto de la organización, las partes interesadas y el alcance del SGIA. La definición del alcance tiene consecuencias: un organismo de certificación auditará exactamente lo que esté dentro del alcance. Una empresa de tecnología de RR. HH. de 30 personas que opera un único sistema de IA de cribado de selección puede acotar la certificación a ese sistema únicamente; una organización más grande que despliega múltiples sistemas de IA puede acotarla a nivel organizativo.

La evaluación de deficiencias también debe producir un borrador preliminar de la Declaración de Aplicabilidad. Recorra el Anexo A — que tiene 38 controles organizados en nueve áreas (A.2 a A.10), que abarcan la gobernanza de la IA, los datos para la IA, el ciclo de vida del sistema de IA y más — y marque cada control como aplicable o no aplicable. Los controles que no se apliquen requieren igualmente una justificación documentada de su exclusión. Este documento será objeto de examen durante la auditoría de la Fase 1.

Deficiencias habituales detectadas en esta fase: ausencia de un proceso documentado de evaluación de riesgos de la IA, ausencia de propiedad asignada para los distintos sistemas de IA, datos de entrenamiento sin documentar y ausencia de un mecanismo formal para captar las señales de rendimiento posdespliegue. Ninguna de ellas es inusual; la evaluación de deficiencias existe precisamente para sacarlas a la luz antes de que lo haga un auditor.

Fase 2: construcción del SGIA (capítulos 4 a 10)

El sistema de gestión es aquello respecto de lo cual se le certifica. No es un entregable de proyecto — es una realidad operativa. Los auditores verifican que los controles documentados se sigan realmente, mediante entrevistas, revisiones de registros e inspección de la documentación. Una política que existe pero que no se comunica ni se utiliza es una no conformidad.

Liderazgo y gobernanza (capítulo 5). La alta dirección debe demostrar su compromiso: estableciendo la política de IA, asignando funciones y responsabilidades y garantizando la asignación de recursos. En la práctica, esto significa un propietario responsable (el cargo importa menos que la claridad de la autoridad), una política de IA documentada y aprobada al máximo nivel y un mecanismo para que las decisiones relacionadas con la IA lleguen a las personas que deben tomarlas. Para una empresa de menos de 50 personas, puede tratarse del director de tecnología o de un responsable de cumplimiento designado; no se exigen estructuras formales de comité, pero sí registros documentados de las decisiones.

Evaluación de riesgos de la IA (capítulo 6). La norma exige un proceso de evaluación de riesgos de la IA que sea repetible y produzca resultados documentados. La evaluación de riesgos abarca los riesgos derivados del comportamiento del sistema de IA — sesgo, fallos de calidad de los datos, deriva del modelo, uso indebido — y alimenta la selección de los controles del Anexo A. Esto es distinto del SGR del Artículo 9 de la Ley de IA de la UE, aunque ambos son complementarios: la evaluación de riesgos de la ISO 42001 puede servir de prueba de que el proceso del Artículo 9 es sistemático.

Evaluación de impacto de la IA. El Anexo A incluye controles para evaluar los impactos en las personas y en la sociedad en general. Para los sistemas de alto riesgo comprendidos en el ámbito de la Ley de IA de la UE, la evaluación de impacto se solapa de forma natural con la evaluación de impacto relativa a los derechos fundamentales del Artículo 27 — la EIDF que determinados responsables del despliegue de sistemas de solvencia y de seguros de vida o de salud del Anexo III deben completar. La evaluación de impacto de la ISO 42001 no sustituye a la EIDF, pero la alineación documental ahorra esfuerzo.

Datos para la IA (capítulos y controles del Anexo A sobre datos). La gobernanza de datos es un área sustantiva tanto en la norma como en el Reglamento. Necesita procedimientos documentados para la obtención de los datos de entrenamiento, el aseguramiento de la calidad, la evaluación del sesgo y la conservación. El Artículo 10 de la Ley de IA de la UE exige que los proveedores utilicen datos de entrenamiento que sean pertinentes, suficientemente representativos y, en la medida de lo posible, exentos de errores. Los controles de datos de la ISO 42001 operativizan esto como procedimientos auditables y no como meras afirmaciones regulatorias.

Ciclo de vida del sistema de IA (controles operativos, capítulo 8). Deben documentarse procedimientos de implementación, verificación y validación para cada sistema de IA comprendido en el alcance. Para un sistema que se adquiere a un tercero en lugar de construirse internamente, los controles operativos se desplazan hacia la diligencia debida en la contratación, la supervisión de los controles del proveedor y la gestión de la configuración. La norma admite tanto los escenarios de construcción como los de adquisición.

Auditoría interna y revisión por la dirección (capítulo 9). Antes de la auditoría de certificación, debe haber completado al menos un ciclo completo de auditoría interna y una revisión por la dirección. La auditoría interna evalúa si el SGIA es conforme con los requisitos de la norma y con sus propias políticas. La revisión por la dirección evalúa los datos de entrada de desempeño — hallazgos de auditoría, no conformidades, resultados de la supervisión — y produce resultados documentados que incluyen decisiones sobre recursos y mejoras. Estos registros se examinarán durante la Fase 1.

Fase 3: la auditoría de certificación

Las auditorías de certificación ISO 42001 siguen la misma estructura de dos etapas utilizada para otras normas de sistemas de gestión ISO.

Etapa 1: revisión documental

La auditoría de la Etapa 1 se realiza normalmente de forma remota a lo largo de uno a tres días, en función de la complejidad del alcance. El auditor revisa:

  • La definición del alcance y la Declaración de Aplicabilidad
  • La política de IA y la documentación de gobernanza
  • Los resultados de la evaluación de riesgos de la IA y de la evaluación de impacto
  • Los registros de auditoría interna y las actas de la revisión por la dirección
  • Las pruebas de que el SGIA se ha implementado y operado (no solo redactado)

Los resultados de la Etapa 1 incluyen una determinación de preparación. Si el auditor detecta deficiencias significativas — una DdA incompleta, ausencia de pruebas de auditoría interna, controles esenciales aún no implementados — la Etapa 2 se aplazará hasta que se subsanen. Lo más habitual es que la Etapa 1 produzca una lista de observaciones y aclaraciones, algunas de las cuales la organización debe abordar antes de que prosiga la Etapa 2.

Etapa 2: auditoría de implementación

La Etapa 2 se realiza in situ (o por videoconferencia segura para las organizaciones plenamente remotas, aunque los auditores suelen preferir al menos una presencia parcial en las instalaciones). La duración depende del alcance: una organización pequeña con un SGIA acotado de forma estrecha que cubra uno o dos sistemas de IA podría completar la Etapa 2 en dos días; una empresa de mercado medio con múltiples sistemas y procesos interfuncionales puede tardar de cuatro a cinco días.

El auditor:

  • Entrevistará al propietario del SGIA, a los propietarios de los sistemas, a los responsables de los datos, a los desarrolladores y al personal de operaciones
  • Revisará los registros de supervisión, los registros de incidentes, los registros de acciones correctivas y los registros de formación
  • Verificará que los controles del Anexo A son operativos, no meramente documentados
  • Trazará determinados hallazgos de la evaluación de riesgos hasta los controles implementados y las pruebas de supervisión

Las no conformidades se clasifican en mayores o menores. Una no conformidad mayor — normalmente un incumplimiento en la implementación de un requisito de un capítulo esencial o una ruptura sistémica entre el procedimiento documentado y la práctica real — debe cerrarse antes de que se emita un certificado. La organización presenta las pruebas de la acción correctiva; el organismo de certificación las revisa, a veces con una visita de seguimiento. Las no conformidades menores se registran y se hace seguimiento de su cierre en la primera auditoría de seguimiento.

El certificado

Una auditoría de la Etapa 2 superada da lugar a un certificado válido durante tres años. El certificado especifica el alcance de la certificación — la organización, la norma y los sistemas o actividades de IA cubiertos. No afirma el cumplimiento de la Ley de IA de la UE; un organismo de certificación no tiene mandato para determinar el cumplimiento normativo con arreglo al Reglamento (UE) 2024/1689.

Fase 4: seguimiento y recertificación

La certificación no es un acontecimiento puntual. Se exigen dos auditorías de seguimiento anuales — normalmente de uno a dos días cada una — para mantener el estado activo. Las auditorías de seguimiento evalúan si el SGIA sigue operando con eficacia, si se han cerrado las no conformidades de auditorías anteriores y si los cambios significativos en los sistemas de IA o en el contexto de la organización se han reflejado en evaluaciones de riesgos y controles actualizados.

Al final del ciclo de tres años, una auditoría completa de recertificación reexamina todo el sistema de gestión. Las organizaciones que mantienen el funcionamiento continuo de su SGIA y tratan el seguimiento como una revisión genuina y no como un trámite administrativo encuentran la recertificación sencilla.

Implicación práctica de calendario para los plazos de la Ley de IA de la UE: las obligaciones de alto riesgo para los sistemas autónomos del Anexo III se aplican a partir del 2 de diciembre de 2027 en virtud del Ómnibus Digital acordado en mayo de 2026. Una organización que inicie ahora el análisis de deficiencias, construya e implemente el SGIA a lo largo de seis a nueve meses y logre la certificación a mediados de 2027 dispondría de un certificado activo — con una auditoría de seguimiento completada — para cuando las autoridades competentes comiencen la ejecución. Esa es la secuenciación sensata, no una respuesta de crisis.

Plazos y costes: qué cabe esperar

Calendario. Una organización sin marco previo de sistema de gestión, que parte de una evaluación de deficiencias en blanco, suele alcanzar la preparación para la certificación en un plazo de nueve a dieciocho meses. El rango es amplio porque depende en gran medida del tamaño del alcance, del número de sistemas de IA, de la madurez de la gobernanza de datos y de la disponibilidad de recursos internos. Las organizaciones que ya disponen de la ISO 27001 o la ISO 9001 comprimen sistemáticamente este plazo a seis o nueve meses, porque los elementos estructurales — programa de auditoría interna, revisión por la dirección, control de documentos, proceso de acciones correctivas — ya están implantados.

Exponga estos plazos con honestidad a las partes interesadas de alto nivel. Un proyecto de certificación con recursos insuficientes o tratado como una actividad marginal tardará más y producirá un sistema de gestión que no sobrevivirá al seguimiento.

Coste. Los honorarios de auditoría dependen del tamaño de la organización, el alcance y el organismo de certificación. Para una empresa pequeña — pongamos, de menos de 100 empleados — con un único sistema de IA dentro del alcance, cabe esperar honorarios de auditoría en el rango de 6 000 a 15 000 EUR para la evaluación inicial de la Etapa 1 + Etapa 2, y de 2 000 a 5 000 EUR por auditoría de seguimiento anual. Alcances mayores, múltiples emplazamientos o carteras de IA complejas elevarán estas cifras. Los costes de implementación — tiempo del personal, herramientas, consultoría externa en su caso — varían considerablemente y no los fija el organismo de certificación.

No se comprometa a rangos de coste concretos en los materiales de cara al cliente más allá de estas bandas generales. Los presupuestos reales dependen de hechos que el organismo de certificación aún no ha evaluado.

Selección de un organismo de certificación

Encuentre organismos de certificación acreditados a través del registro de su organismo nacional de acreditación. En la UE: DAkkS (Alemania), COFRAC (Francia), RvA (Países Bajos), Accredia (Italia), ENAC (España). Verifique que el organismo de certificación posee acreditación específicamente para la ISO/IEC 42001, no solo para la ISO 9001 o la ISO 27001. A fecha de 2026, el número de organismos acreditados con alcance ISO 42001 va en aumento, pero todavía no es grande — consulte los registros actuales en lugar de fiarse de los materiales de marketing.

Al evaluar un organismo de certificación, solicite los currículos de los auditores para confirmar su experiencia en gobernanza de la IA y en sistemas de gestión. Un auditor que comprenda ambos dominios formulará mejores preguntas y producirá hallazgos más útiles. Una auditoría puramente procedimental que marca casillas de una lista de comprobación sin entrar en el fondo de sus sistemas de IA no sirve a la finalidad de la certificación.

Cómo ayuda Confir

Construir la documentación de la ISO 42001 desde cero es la parte que consume la mayor parte del presupuesto de tiempo. El motor de cumplimiento basado en reglas de Confir se asigna directamente a los controles de la ISO 42001, estructurando las pruebas que necesita en materia de gobernanza, evaluación de riesgos y documentación.

En concreto, el resultado de evaluación de riesgos y clasificación de la IA que genera Confir — que abarca las obligaciones de los Artículos 9, 11 y 17 — nutre los registros de gobernanza que su SGIA necesita. El paquete de documentación técnica del Artículo 11 / Anexo IV organiza las pruebas por sistema que los auditores de la Etapa 2 querrán examinar. Se trata de un resultado determinista y reproducible: los mismos datos de entrada del sistema producen los mismos hallazgos estructurados, que es exactamente lo que un auditor espera de un sistema de gestión documentado.

Confir no emite certificados ISO 42001 y no sustituye la contratación de un organismo de certificación acreditado. Lo que reduce es la brecha entre el trabajo de cumplimiento normativo y la documentación del SGIA, de modo que ambos programas se refuercen en lugar de duplicarse mutuamente.

Preguntas frecuentes

¿Exige la Ley de IA de la UE la certificación ISO 42001?

No. La certificación es totalmente voluntaria. La Ley de IA de la UE no impone la ISO 42001 ni ninguna otra norma de sistema de gestión. Lo que el Reglamento sí exige — a los proveedores de sistemas de IA de alto riesgo — es un sistema de gestión de la calidad en virtud del Artículo 17, un sistema de gestión de riesgos en virtud del Artículo 9 y una evaluación de la conformidad en virtud del Artículo 43. La certificación ISO 42001 aporta una sólida prueba de que el SGC del Artículo 17 y el SGR del Artículo 9 están implantados y auditados, pero no satisface el requisito de evaluación de la conformidad del Artículo 43.

¿Satisface la certificación ISO 42001 la evaluación de la conformidad del Artículo 43 de la Ley de IA de la UE?

No. El Artículo 43 es un procedimiento independiente y obligatorio previo a la comercialización. Para la mayoría de los sistemas de alto riesgo del Anexo III (categorías 2 a 8), los proveedores se autoevalúan con arreglo al procedimiento de control interno del Anexo VI. Para los sistemas biométricos (Anexo III, punto 1) en los que las normas armonizadas no se aplican en su totalidad, se exige la vía del organismo notificado del Anexo VII. La certificación ISO 42001 no es un procedimiento de organismo notificado y no constituye una evaluación de la conformidad del Artículo 43. No obstante, sí produce las pruebas de gobernanza y documentación que pasan al expediente de evaluación de la conformidad.

¿Cuánto tarda realmente la certificación para una empresa que parte de cero?

De nueve a dieciocho meses es el rango honesto, en función del alcance y los recursos. Las organizaciones que ya disponen de la ISO 27001 o la ISO 9001 pueden a menudo comprimir esto a seis o nueve meses. El análisis de deficiencias y la construcción del SGIA son las fases largas; la auditoría en sí suele tardar de dos a cuatro semanas desde el inicio de la Etapa 1 hasta la emisión del certificado, suponiendo que no haya no conformidades mayores. Empezar ahora supone una vía realista hacia la certificación antes del plazo de alto riesgo del Anexo III del 2 de diciembre de 2027.

¿Cuál es la diferencia entre la evaluación de riesgos de la IA de la ISO 42001 y la Declaración de Aplicabilidad?

La evaluación de riesgos de la IA evalúa los riesgos asociados a sistemas de IA concretos comprendidos en el alcance — fallos de calidad de los datos, deriva del modelo, escenarios de uso indebido, impacto en las personas. Sus resultados determinan la selección de controles. La Declaración de Aplicabilidad (DdA) es un documento distinto: enumera cada control del Anexo A, indica si es aplicable y, en caso afirmativo, muestra cómo se implementa y remite a las pruebas. Las exclusiones deben justificarse. La DdA es uno de los primeros documentos que examinará un auditor de la Etapa 1; una DdA incompleta es un motivo habitual de aplazamiento de la Etapa 2.

¿Qué ocurre si la auditoría de la Etapa 2 detecta no conformidades?

Las no conformidades se clasifican en mayores o menores. Una no conformidad mayor significa que no se ha implementado un requisito de un capítulo esencial o que existe una ruptura sistémica entre el procedimiento documentado y la práctica real — por ejemplo, una evaluación de riesgos de la IA que se completó una vez pero nunca se actualizó. Las no conformidades mayores deben cerrarse antes de que se emita el certificado. El organismo de certificación revisa sus pruebas de acción correctiva, a veces con un seguimiento específico. Las no conformidades menores se registran y se hace seguimiento de su cierre en la primera auditoría de seguimiento anual.

¿Ayuda la certificación ISO 42001 si ya tenemos la ISO 27001?

Sí, de forma sustancial. Ambas normas comparten la misma estructura de alto nivel, de modo que su sistema de control de documentos, su programa de auditoría interna, su revisión por la dirección y su proceso de acciones correctivas se transfieren todos ellos. La metodología de evaluación de riesgos de seguridad de la información de la ISO 27001 es un análogo cercano al proceso de evaluación de riesgos de la IA de la ISO 42001 — se adapta en lugar de reconstruirse. En la práctica, esto reduce tanto el esfuerzo de implementación como la probabilidad de deficiencias estructurales que un auditor de la Etapa 1 señalaría.

¿Qué cubre realmente el certificado?

El certificado especifica el alcance certificado: su organización (o una parte definida de ella), la norma (ISO/IEC 42001:2023) y las actividades o sistemas de IA incluidos. Es válido durante tres años, con sujeción a auditorías de seguimiento anuales. Declara que un organismo de certificación acreditado evaluó su sistema de gestión frente a los requisitos de la norma y lo halló conforme en el momento de la auditoría. No afirma que sus sistemas de IA sean seguros, lícitos o conformes con la Ley de IA de la UE — esa determinación corresponde a las autoridades competentes en virtud del Reglamento (UE) 2024/1689.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

EIPD y EIDF para sistemas de IA: dos evaluaciones, un flujo de trabajo

La EIPD del Artículo 35 del RGPD y la EIDF del Artículo 27 de la Ley de IA de la UE son deberes distintos. Conozca cuándo se exige cada una, qué responsables del despliegue la deben y cómo realizar ambas a la vez.

Complete Guide

Gobernanza de la IA para el cumplimiento de la Ley de IA de la UE: el modelo operativo para pymes

Cree un programa de gobernanza de la Ley de IA de la UE para su pyme. Mapa de artículos correcto (Art. 9, 14, 43, 72), plazo del 2 dic 2027, sanciones, RACI y un plan a 90 días.

Guide

La guía de cumplimiento de la Ley de IA de la UE para el CISO

Los CISO y la Ley de IA de la UE: inventario de IA, ciberseguridad del Artículo 15, notificación de incidentes del Artículo 73, solapamiento con NIS2, informes al consejo. Plazo de alto riesgo: dic 2027.