Evaluación de brechas ISO 42001: cómo realizar una (2026)

Una evaluación de brechas frente a la norma ISO/IEC 42001:2023 le indica exactamente dónde su sistema de gestión de IA se queda corto respecto de la norma — y qué corregir primero. Esta guía recorre el método cláusula por cláusula, explica cómo el resultado se asigna a su preparación para la Ley de IA de la UE y aclara qué puede y qué no puede hacer una evaluación de brechas por usted en el plano legal.

Qué es (y qué no es) la norma ISO/IEC 42001

La norma ISO/IEC 42001:2023 es la norma internacional para un sistema de gestión de IA (AIMS). Sigue la estructura armonizada de ISO compartida con ISO 27001 e ISO 9001: diez cláusulas principales (las cláusulas 4 a 10 constituyen los requisitos) más el Anexo A, que contiene 38 controles repartidos en nueve objetivos de control (A.2 a A.10). La certificación es voluntaria, no un requisito legal.

Esa distinción importa. La certificación ISO 42001 respalda su cumplimiento de la Ley de IA de la UE — en particular el sistema de gestión de la calidad (SGC) del Artículo 17 y las pruebas de gobernanza útiles para los Artículos 9, 10, 11 y 72 — pero no sustituye a la evaluación de la conformidad del Artículo 43. La evaluación de la conformidad es la puerta legal antes de que un sistema de IA de alto riesgo llegue al mercado. La certificación aborda la madurez del sistema de gestión; la evaluación de la conformidad aborda la legalidad del producto. Realizar una evaluación de brechas construye la columna vertebral de la gobernanza; no reemplaza el trabajo de cumplimiento regulatorio.

Qué produce una evaluación de brechas

Una evaluación de brechas compara su práctica actual con dos capas de la norma:

1. Requisitos de las cláusulas (4 a 10): las obligaciones del sistema de gestión — contexto, compromiso del liderazgo, planificación, apoyo, operaciones, evaluación del desempeño, mejora.
2. Controles del Anexo A: 38 controles repartidos en nueve objetivos que cubren la política de IA (A.2), la organización interna y los roles (A.3), los recursos y la competencia (A.4), las evaluaciones de impacto (A.5), el ciclo de vida del sistema de IA (A.6), los datos para la IA (A.7), la información para las partes interesadas (A.8), el uso de los sistemas de IA (A.9) y la gestión de terceros y proveedores (A.10).

Los resultados de una evaluación de brechas bien realizada son dos:

• Un plan de subsanación priorizado: brechas clasificadas con el esfuerzo y el plazo estimados, asignadas a cláusulas y controles.
• Una declaración de aplicabilidad (SoA): un registro de los 38 controles del Anexo A, cada uno marcado como aplicable o excluido, con la justificación de cualquier exclusión. (La SoA la exige la propia norma, en la cláusula 6.1.3(d)).

Definir el alcance antes de empezar

La definición del alcance precede a la recopilación de pruebas. La cláusula 4.3 de ISO 42001 exige que determine el límite de su AIMS — qué sistemas de IA quedan dentro de él, qué unidades organizativas se incluyen y qué interfaces externas (proveedores, responsables del despliegue, reguladores) entran en el alcance.

En la práctica: empiece por su inventario de IA. Enumere cada sistema de IA que su organización desarrolla o despliega. Para cada uno, registre su finalidad prevista, la unidad de negocio responsable, si se despliega externamente o es solo interno, y si toca datos personales o decisiones de alto riesgo. Este inventario se convierte en la base de pruebas para su documento de alcance y, más adelante, para controles del Anexo A como el A.6 (ciclo de vida del sistema de IA) y el A.9 (uso de los sistemas de IA).

Un alcance demasiado estrecho subestima el riesgo y produce una evaluación de brechas que no satisfará a un auditor de certificación. Un alcance demasiado amplio desborda al equipo y retrasa el plan de subsanación. Una heurística útil: incluya cada sistema de IA que pudiera causar perjuicio a las personas, afectar al cumplimiento regulatorio o generar una responsabilidad empresarial material si fallara.

El método cláusula por cláusula

Cláusula 4 — Contexto

Recopile pruebas de que la organización ha identificado: las cuestiones internas y externas pertinentes para sus objetivos de IA (4.1); las partes interesadas y sus requisitos (4.2); y el límite del AIMS (4.3). Las brechas habituales aquí son un inventario de IA que existe de manera informal en lugar de como un registro documentado, y necesidades de las partes interesadas (reguladores, responsables del despliegue, usuarios finales) que se han señalado en correos electrónicos pero nunca se han formalizado.

Cláusula 5 — Liderazgo

Evalúe si la alta dirección ha emitido una política de IA (5.2), ha asignado roles del AIMS con responsabilidad documentada (5.3) y ha integrado la gobernanza de la IA en la planificación empresarial. Las brechas de liderazgo suelen ser las de mayor consecuencia: sin una política y una responsabilidad explícitas, los controles del Anexo A nunca se financian ni se aplican.

Cláusula 6 — Planificación

Aquí es donde ISO 42001 interseca de forma más directa con la Ley de IA de la UE.

La cláusula 6.1 exige que la organización planifique los riesgos y las oportunidades. La cláusula 6.1.2 ordena específicamente una evaluación de riesgos de IA — identificar los riesgos asociados a sus sistemas de IA y su uso, evaluar la probabilidad y la gravedad, y determinar el tratamiento. Esto se asigna estrechamente al sistema de gestión de riesgos del Artículo 9 exigido para la IA de alto riesgo en virtud de la Ley de IA de la UE.

La cláusula 6.1.4 exige una evaluación de impacto de IA para los sistemas de IA pertinentes — una evaluación estructurada de los posibles impactos sobre las personas y la sociedad. Para los responsables del despliegue de alto riesgo sujetos al Artículo 27 de la Ley de IA de la UE, la evaluación de impacto relativa a los derechos fundamentales (EIDF) puede apoyarse en este trabajo de ISO y construir a partir de él. Las dos no son idénticas — la EIDF tiene un ámbito legal definido y se aplica a categorías específicas de responsables del despliegue — pero las pruebas recopiladas para la cláusula 6.1.4 son directamente reutilizables.

Brechas habituales en la cláusula 6: la evaluación de riesgos es una hoja de cálculo actualizada una sola vez al inicio del proyecto, no un ciclo continuo; las evaluaciones de impacto existen solo para el RGPD (EIPD del artículo 35 del RGPD) y no se han ampliado a los perjuicios específicos de la IA; los objetivos (cláusula 6.2) se enuncian sin criterios o plazos medibles.

Cláusula 7 — Apoyo

Evalúe la competencia (7.2), la concienciación (7.3) y la comunicación (7.4). Compruebe si los roles con responsabilidades en materia de IA tienen requisitos de competencia documentados y registros de formación. Aquí es también donde las obligaciones de alfabetización en IA del Artículo 4 de la Ley de IA de la UE — en vigor desde el 2 de febrero de 2025 — cobran relevancia. El Artículo 4 exige que los proveedores y los responsables del despliegue garanticen una alfabetización en IA suficiente entre su personal y sus usuarios. Una brecha en las pruebas de competencia de la cláusula 7.2 de ISO 42001 es probablemente también una exposición al Artículo 4.

La cláusula 7.5 cubre la información documentada — la columna vertebral de conservación de registros del sistema de gestión. Compruebe que dispone de un procedimiento de control de documentos y que los registros exigidos por otras cláusulas (evaluaciones de riesgos, evaluaciones de impacto, registros de formación) se conservan efectivamente.

Cláusula 8 — Operación

La cláusula 8 rige la planificación del ciclo de vida del sistema de IA (8.1), la evaluación y el tratamiento de los riesgos de IA (8.2 y 8.3) y los resultados de las evaluaciones de impacto (8.4). En la práctica, aquí es donde la teoría se topa con la realidad: ¿implementan sus procesos de desarrollo y adquisición los controles planificados en la cláusula 6?

Compruebe si su organización aplica barreras de gobernanza coherentes a lo largo del ciclo de vida de la IA — análisis de requisitos, revisión del diseño, pruebas y validación antes del despliegue, vigilancia posdespliegue. Compruebe también las brechas en la gobernanza de datos en la fase de diseño, que aflorarán también en los controles del Anexo A A.7 (datos para la IA).

Cláusula 9 — Evaluación del desempeño

Evalúe el seguimiento y la medición (9.1), la auditoría interna (9.2) y la revisión por la dirección (9.3). Una brecha habitual: las organizaciones supervisan los sistemas de IA individuales (métricas de rendimiento, tasas de error) pero no tienen un programa que mida el AIMS como sistema y traslade los hallazgos a la dirección. Se exige un programa de auditoría interna frente a los requisitos de la norma, separado de cualquier auditoría externa de certificación.

Cláusula 10 — Mejora

La cláusula 10 exige la no conformidad y la acción correctiva (10.1) y la mejora continua (10.2). Compruebe si los incidentes, los cuasiincidentes y los hallazgos de auditoría se registran, se analizan en su causa raíz y se corrigen con eficacia verificada. Las pruebas de vigilancia poscomercialización (pertinentes para el Artículo 72 de la Ley de IA de la UE para los proveedores de sistemas de alto riesgo) alimentan de forma natural esta cláusula.

Evaluación de los controles del Anexo A

Tras la revisión cláusula por cláusula, recorra los 38 controles. Para cada control:

1. Determinación de aplicabilidad: ¿es este control pertinente para el alcance que definió? Si no lo es, documente la exclusión justificada.
2. Comprobación de pruebas: ¿qué documentación o práctica existe que implemente el control? Califique las pruebas: ausentes, parciales o presentes.
3. Calificación de madurez: una escala de madurez de cinco puntos funciona bien — inicial/ad hoc (1), repetible (2), definido (3), gestionado/medido (4), optimizado (5). Los controles ausentes puntúan 1; los controles con pruebas documentadas sólidas y medición puntúan 4 o 5.

Los nueve objetivos del Anexo A y su pertinencia para la Ley de IA de la UE:

Calificar la madurez y priorizar las brechas

Una vez que cada cláusula y control tenga una puntuación de madurez, ordene las brechas por dos factores: la gravedad (qué ocurre si la brecha persiste) y el esfuerzo (cuán difícil es cerrarla). Sitúelas en una matriz 2×2: las brechas de gravedad alta y esfuerzo bajo van primero; las de gravedad alta y esfuerzo alto necesitan un plan de proyecto y un responsable nombrado; las de gravedad baja y esfuerzo bajo pueden seguir.

Para las empresas que afrontan el plazo de alto riesgo de la Ley de IA de la UE del 2 de diciembre de 2027 (para los sistemas autónomos del Anexo III, en virtud del Ómnibus Digital acordado en mayo de 2026), la priorización debería ponderar con más fuerza las brechas que bloquean la preparación para la evaluación de la conformidad del Artículo 43. Estas suelen ser: el sistema de gestión de riesgos del Artículo 9 (cláusula 6.1.2 de ISO 42001 / A.5.1), la documentación técnica del Artículo 11 (cláusula 8 / A.6) y los elementos del SGC del Artículo 17 (cláusulas 5 a 7).

Cómo respalda una evaluación de brechas ISO 42001 la preparación para la Ley de IA de la UE

La columna vertebral de la gobernanza construida mediante una evaluación de brechas ISO 42001 produce pruebas que se asignan directamente a las obligaciones de alto riesgo de la Ley de IA de la UE:

• Artículo 9 (sistema de gestión de riesgos): los registros de evaluación y tratamiento de los riesgos de IA de las cláusulas 6.1.2 y 8.2 a 8.3 de ISO 42001 son el núcleo operativo del SGR del Artículo 9. El ciclo es el mismo — identificar, evaluar, tratar, supervisar. El trabajo de ISO no debe duplicarse; debe diseñarse para satisfacer ambos.
• Artículo 10 (datos y gobernanza de datos): los controles del Anexo A A.7.1 a A.7.5 abordan la calidad, la procedencia y las pruebas de sesgo de los datos. Producen las pruebas exigidas en virtud del Artículo 10 para los conjuntos de datos de entrenamiento, validación y prueba de los sistemas de alto riesgo.
• Artículo 11 (documentación técnica): el A.6 del Anexo A cubre la documentación del ciclo de vida del sistema de IA. Los registros producidos con arreglo al A.6.1 a A.6.2 alimentan directamente la documentación técnica del Anexo IV exigida por el Artículo 11.
• Artículo 17 (sistema de gestión de la calidad): el AIMS de ISO 42001 es el SGC del Artículo 17 instanciado en un marco listo para la certificación. Una organización que ha realizado una evaluación de brechas y ha iniciado la subsanación frente a ISO 42001 está construyendo el SGC del Artículo 17 al mismo tiempo.
• Artículo 72 (vigilancia poscomercialización): los registros de evaluación del desempeño de la cláusula 9 y de mejora de la cláusula 10 son la materia prima del sistema de vigilancia poscomercialización del proveedor.

Lo que la evaluación de brechas no hace: no satisface la evaluación de la conformidad del Artículo 43, que es una determinación legal a nivel de producto, no una auditoría de sistema de gestión. La certificación conforme a ISO 42001 puede aceptarse como prueba que respalda el expediente técnico del Artículo 43, pero el propio procedimiento de evaluación de la conformidad (autoevaluación interna con arreglo al Anexo VI para la mayoría de las categorías del Anexo III, o evaluación de un organismo notificado con arreglo al Anexo VII para la categoría de biometría del Anexo III, punto 1) es un paso separado que su equipo jurídico y de cumplimiento debe completar.

Cómo ayuda Confir

Confir relaciona sus preguntas y hallazgos de evaluación tanto con la Ley de IA de la UE como con los controles de ISO/IEC 42001 — utilizando una lógica determinista y basada en reglas, no inferencia de IA. Cuando completa la evaluación estructurada de un sistema, Confir señala qué controles del Anexo A están implicados y qué obligaciones de los Artículos 9, 10, 11 y 72 se aplican. También genera el paquete de documentación técnica del Artículo 11 / Anexo IV y la EIDF del Artículo 27 para los responsables del despliegue que cumplen los requisitos.

El resultado no sustituye a una evaluación de brechas ISO 42001 formal realizada por un auditor cualificado. Es un punto de partida: una base de pruebas estructurada que le indica dónde están sus mayores brechas antes de contratar a un revisor externo. Para las empresas en una fase temprana de madurez en gobernanza, esa base acorta significativamente la fase de preevaluación ISO 42001.

Preguntas frecuentes

¿Qué es una evaluación de brechas ISO 42001?

Una evaluación de brechas compara sus prácticas actuales de gobernanza de la IA con los requisitos de la norma ISO/IEC 42001:2023 — la norma de sistema de gestión para la IA — cláusula por cláusula y control por control. Identifica dónde sus prácticas están ausentes, son parciales o no conformes, y produce un plan de subsanación priorizado y una declaración de aplicabilidad. Suele ser el primer paso antes de buscar la certificación ISO 42001.

¿Cuántos controles tiene la norma ISO/IEC 42001 y qué cubren?

El Anexo A de la norma ISO/IEC 42001:2023 contiene 38 controles repartidos en nueve objetivos de control, etiquetados de A.2 a A.10. Los objetivos cubren las políticas de IA, la organización interna y los roles, los recursos y la competencia, las evaluaciones de impacto, la gobernanza del ciclo de vida del sistema de IA, los datos para la IA, la información para las partes interesadas, el uso de los sistemas de IA y la gestión de terceros y proveedores. Los 38 deben revisarse en cuanto a su aplicabilidad; las exclusiones justificadas se registran en la declaración de aplicabilidad.

¿Satisface la certificación ISO 42001 la evaluación de la conformidad de la Ley de IA de la UE?

No. La certificación ISO/IEC 42001 es voluntaria y aborda la madurez del sistema de gestión, no la legalidad del producto. La evaluación de la conformidad de la Ley de IA de la UE con arreglo al Artículo 43 es un paso legal obligatorio antes de que un sistema de IA de alto riesgo llegue al mercado. Las pruebas de ISO 42001 respaldan el SGC del Artículo 17 y el sistema de gestión de riesgos del Artículo 9 y contribuyen al expediente de documentación técnica del Artículo 11 — pero no reemplazan el procedimiento de evaluación de la conformidad.

¿Cuándo se aplica el plazo de alto riesgo de la Ley de IA de la UE?

En virtud del Ómnibus Digital acordado por el Parlamento Europeo y el Consejo en mayo de 2026, el plazo de las obligaciones de alto riesgo para los sistemas autónomos del Anexo III (selección de personal, calificación crediticia, biometría y otros) es el 2 de diciembre de 2027. Para la IA de alto riesgo integrada en productos regulados cubiertos por el Anexo I (como los productos sanitarios o las máquinas), el plazo es el 2 de agosto de 2028. La fecha anterior del 2 de agosto de 2026 se ha aplazado y ahora marca la aplicación general de la Ley, incluidas las obligaciones de transparencia de riesgo limitado del Artículo 50.

¿Qué es la declaración de aplicabilidad en ISO 42001?

La declaración de aplicabilidad (SoA) es un documento exigido por la cláusula 6.1.3(d) de ISO/IEC 42001. Enumera los 38 controles del Anexo A y registra, para cada uno: si es aplicable al alcance de su AIMS, si está implementado actualmente y — para cualquier control excluido — la justificación de su exclusión. La SoA es un documento de prueba clave en una auditoría de certificación y un registro de gobernanza útil por derecho propio.

¿Cómo se relaciona ISO 42001 con el requisito del SGC del Artículo 17?

El Artículo 17 de la Ley de IA de la UE exige que los proveedores de sistemas de IA de alto riesgo implementen un sistema de gestión de la calidad que cubra políticas documentadas, documentación técnica, conservación de registros, notificación de incidentes, vigilancia poscomercialización y más. La norma ISO/IEC 42001 proporciona un marco estructurado e internacionalmente reconocido que operacionaliza la mayoría de estos requisitos. Una organización que implementa ISO 42001 está construyendo el SGC del Artículo 17. La norma no está ordenada por la Ley, pero es la forma más práctica de estructurar el sistema exigido.

¿Puede realizarse una evaluación de brechas internamente, o requiere un auditor externo?

Un equipo interno puede realizar la evaluación de brechas utilizando los requisitos de las cláusulas de la norma y los controles del Anexo A como criterios de evaluación. Las evaluaciones internas son útiles para establecer una línea base y planificar. No obstante, a efectos de certificación, un organismo de certificación tercero lleva a cabo su propia auditoría de conformidad. Una preevaluación externa independiente — antes de esa auditoría — es valiosa si su equipo carece de experiencia en ISO 42001 o si la objetividad sobre brechas de gobernanza sensibles es importante. Como mínimo, quien dirija la evaluación de brechas interna debería haber leído la norma ISO/IEC 42001:2023 en su totalidad y comprender la estructura armonizada compartida con ISO 27001 e ISO 9001.

Guías relacionadas

• procesos del sistema de gestión ISO 42001
• Artículo 2 de la Ley de IA de la UE
• alineación de ISO 42001 y la Ley de IA de la UE
• plantilla de lista de comprobación de cumplimiento de la Ley de IA de la UE
• plantilla de lista de comprobación
• Artículo 3 de la Ley de IA de la UE
• La Ley de IA de la UE explicada de forma sencilla: cumplimiento en 2026
• plantilla de árbol de decisión
• proceso de certificación ISO 42001