ISO/IEC 42001 frente a ISO/IEC 27001: ¿qué norma necesita tu programa de IA?
La ISO 42001 rige la gestión de la IA; la ISO 27001 cubre la seguridad de la información. Ambas comparten la Estructura Armonizada de ISO — aquí está cuándo perseguir cada una o ambas.
La ISO/IEC 42001:2023 y la ISO/IEC 27001:2022 comparten un ADN arquitectónico — la Estructura Armonizada de ISO (cláusulas 4 a 10, construida sobre Planificar-Hacer-Verificar-Actuar) — y un mismo organismo de certificación puede auditarlas conjuntamente en un único ciclo. Pero responden a preguntas diferentes, rigen riesgos diferentes y satisfacen obligaciones diferentes con arreglo a la Ley de IA de la UE. Confundirlas es uno de los errores más habituales que cometen los equipos de cumplimiento al delimitar un programa de gobernanza de la IA.
Qué hace realmente cada norma
La ISO/IEC 27001 define los requisitos de un sistema de gestión de la seguridad de la información (SGSI). Su pregunta central es: ¿cómo protege la organización la confidencialidad, la integridad y la disponibilidad de la información? La revisión de 2022 reestructuró el Anexo A pasando de 114 a 93 controles en cuatro temas — organizativos, de personas, físicos y tecnológicos. Es agnóstica respecto del sector, se aplica a cualquier organización que trate información y cuenta con más de 70 000 organizaciones certificadas en todo el mundo. Es la certificación de seguridad de la información dominante a escala global.
La ISO/IEC 42001:2023 define los requisitos de un sistema de gestión de la inteligencia artificial (SGIA). Su pregunta es distinta: ¿cómo garantiza la organización que los sistemas de IA se desarrollan, despliegan y gestionan de forma responsable — con la rendición de cuentas, la transparencia y la gestión del impacto adecuadas? El Anexo A contiene 38 controles que cubren nueve áreas (A.2 a A.10), que van desde las políticas para la IA y el ciclo de vida del sistema hasta las obligaciones de uso responsable y de terceros. Es la primera norma internacional diseñada específicamente para la gobernanza de la IA.
El solapamiento es genuino. Los sistemas de IA tratan información, y la seguridad de la información es una dimensión de la IA responsable. Pero las dos normas no son intercambiables: la ISO 27001 no cubre el sesgo algorítmico, la deriva del modelo, la explicabilidad ni el impacto en los derechos fundamentales. La ISO 42001 no sustituye a una gobernanza sistemática de la seguridad de los activos de información.
La columna vertebral compartida: la Estructura Armonizada de ISO
Ambas normas siguen la misma arquitectura de cláusulas:
| Cláusula | Título |
|---|---|
| 4 | Contexto de la organización |
| 5 | Liderazgo |
| 6 | Planificación |
| 7 | Apoyo |
| 8 | Operación (el contenido específico de cada dominio difiere notablemente) |
| 9 | Evaluación del desempeño |
| 10 | Mejora |
Esta columna vertebral compartida es la razón por la que las dos certificaciones se integran limpiamente. Los marcos de políticas, los sistemas de control de documentos, los programas de auditoría interna, las cadencias de revisión por la dirección y los procesos de acción correctiva de la ISO 27001 se extienden directamente a la ISO 42001. La infraestructura de gobernanza ya existe; el contenido específico del dominio se añade por encima.
La divergencia sustantiva se produce en las cláusulas 6 y 8.
Dónde divergen: la cláusula 6 y la cláusula 8
ISO 27001 — las cláusulas 6 y 8 en la práctica
La cláusula 6 exige una evaluación del riesgo de seguridad de la información: identificar activos, amenazas, vulnerabilidades y propietarios de los riesgos. El plan de tratamiento especifica qué controles del Anexo A se aplican. La declaración de aplicabilidad (SoA) documenta qué controles se incluyen, cuáles se excluyen y por qué.
La cláusula 8 implementa el plan de tratamiento. Para los sistemas de IA dentro del alcance, esto significa aplicar controles como el A.8.25 (ciclo de vida de desarrollo seguro), el A.8.24 (uso de la criptografía — protección de los pesos del modelo y de los resultados de inferencia), el A.8.16 (actividades de seguimiento — registro de las solicitudes de inferencia) y el A.5.23 (seguridad de la información para los servicios en la nube — pertinente al consumir API de modelos GPAI).
Lo que la ISO 27001 no aborda en relación con la IA: el sesgo algorítmico y los resultados discriminatorios; la representatividad de los datos de entrenamiento; la deriva del modelo; la explicabilidad hacia las personas afectadas; los impactos en los derechos fundamentales; las obligaciones del ciclo de vida de la IA — desarrollo, prueba, validación y retirada del modelo; y los requisitos de transparencia y supervisión humana de la Ley de IA de la UE.
Una organización certificada en ISO 27001 ha abordado los riesgos de seguridad de la información de sus sistemas de IA. No ha demostrado ninguna de las capacidades de gobernanza de la IA que exige el Reglamento.
ISO 42001 — las cláusulas 6 y 8 en la práctica
La cláusula 6 exige una evaluación de riesgo e impacto específica de la IA — más amplia que la de la ISO 27001. Debe incluir dimensiones sociales y éticas, no solo dimensiones técnicas de seguridad.
La cláusula 8 es donde se sitúa el contenido distintivo de la ISO 42001:
Cláusula 8.2 (evaluación del impacto del sistema de IA): Antes de desplegar un sistema de IA, realizar una evaluación estructurada que cubra la finalidad, las partes afectadas, los posibles impactos negativos y las mitigaciones. Esto se corresponde estrechamente con la obligación de evaluación de impacto relativa a los derechos fundamentales de la Ley de IA de la UE con arreglo al Artículo 27, aunque el alcance de la ISO 42001 es más amplio — cubre todos los sistemas de IA dentro del alcance, no solo los casos de organismos públicos y de determinados responsables del despliegue a los que se dirige el Artículo 27.
Cláusula 8.3 (ciclo de vida del sistema de IA): Requisitos que cubren el diseño, la gestión de datos, las pruebas, el despliegue, el seguimiento y la retirada. Los datos de entrenamiento deben ser pertinentes, representativos y estar libres de sesgos que socaven la finalidad del sistema. El rendimiento debe vigilarse tras el despliegue frente a umbrales definidos.
Cláusula 8.4 (documentación): Documentación técnica y operativa que cubra las decisiones de diseño, la metodología de entrenamiento, los resultados de la evaluación del rendimiento y la configuración del despliegue. Esto se corresponde sustancialmente con los requisitos de documentación técnica del Anexo IV de la Ley de IA de la UE con arreglo al Artículo 11.
Cláusula 8.6 (sistemas de IA de terceros): Evaluar y vigilar los sistemas de IA adquiridos externamente — diligencia debida, solicitudes de documentación, supervisión continua. Esto se corresponde con las obligaciones del responsable del despliegue con arreglo al Artículo 26.
Cara a cara: dónde se solapan, dónde divergen
| Dimensión | ISO 27001 | ISO 42001 |
|---|---|---|
| Foco principal | Confidencialidad, integridad, disponibilidad | Gobernanza específica de la IA, uso responsable |
| Alcance de riesgo principal | Amenazas a los activos de información | Sesgo, injusticia, uso indebido, perjuicio social |
| Evaluación de impacto | No exigida (el riesgo se centra en la seguridad) | Exigida — debe incluir impactos individuales y sociales (Cl. 8.2) |
| Gobernanza de datos | Controles de seguridad (acceso, cifrado) | Calidad, representatividad y prevención de sesgos de los datos de entrenamiento |
| Supervisión humana | No abordada | Exigida — mecanismos de supervisión, explicabilidad, vías de escalado |
| IA de terceros | Seguridad del proveedor (A.5.19 a A.5.22) | Requisitos para sistemas de IA de terceros de la cláusula 8.6 |
| Alineación con la Ley de IA de la UE | Parcial: ciberseguridad del Artículo 15 | Sustancial: Artículos 9, 10, 11, 14, 17 |
| Equivalente de la EIDF | Ninguno | Evaluación de impacto de la cláusula 8.2 (alcance más amplio) |
| Madurez de la certificación | Muy madura — más de 70 000 organizaciones | Nueva (2023), en crecimiento; disponibilidad de auditores en expansión |
| Estructura del Anexo A | Controles obligatorios (si los riesgos lo exigen); 93 controles | Controles de orientación opcionales; 38 controles en el Anexo A |
| Ciclo de auditoría de 3 años | Sí + vigilancia anual | Sí + vigilancia anual |
Una diferencia estructural importante: los controles del Anexo A de la ISO 27001 son obligatorios cuando el tratamiento del riesgo los exige. El Anexo A y el Anexo B de la ISO 42001 son orientación para la implementación — informan sobre cómo satisfacer los requisitos de la norma, pero no se imponen de forma independiente.
Cómo se alinea la ISO 42001 con la Ley de IA de la UE
La Ley de IA de la UE es derecho vinculante. La ISO 42001 es una norma voluntaria de sistemas de gestión. Ninguna puede sustituir a la otra, pero se conectan de maneras específicas y documentadas.
La vía de normalización del Reglamento (Artículo 40) permite a la Comisión Europea exigir normas armonizadas que creen una presunción de conformidad con requisitos específicos de la Ley de IA. La ISO 42001 ha sido mencionada por la Oficina de IA de la UE como una norma que puede respaldar la demostración del cumplimiento de Artículos concretos — en particular:
- Artículo 9 (sistema de gestión de riesgos): las cláusulas 6.1 y 8.2 de la ISO 42001 proporcionan una metodología reconocida para la evaluación continua de riesgos que exige el Reglamento.
- Artículo 10 (gobernanza de datos): los requisitos de datos de la cláusula 8.3 de la ISO 42001 estructuran las obligaciones de calidad y gobernanza de los datos de entrenamiento.
- Artículo 11 (documentación técnica): los requisitos de documentación de la cláusula 8.4 de la ISO 42001 se alinean estrechamente con las áreas de contenido del Anexo IV.
- Artículo 17 (sistema de gestión de la calidad): para los proveedores de IA de alto riesgo, el Artículo 17 exige un SGC como condición de cumplimiento. La certificación ISO 42001 satisface directamente este requisito — la norma es en sí misma un sistema de gestión.
- Artículo 14 (supervisión humana): los requisitos de la ISO 42001 sobre mecanismos de supervisión y explicabilidad se corresponden con las disposiciones de supervisión humana del Artículo 14.
Donde la ISO 42001 no llega a los requisitos del Reglamento: el marcado CE con arreglo al Artículo 48; el registro en la base de datos de la Ley de IA de la UE con arreglo al Artículo 49; los procedimientos de evaluación de la conformidad con arreglo al Artículo 43 (que tienen sus propias vías de control interno del Anexo VI y de organismo notificado del Anexo VII); y las asignaciones vinculantes de roles y responsabilidad jurídica para los proveedores (Artículo 16) y los responsables del despliegue (Artículo 26).
La certificación ISO 42001 es una prueba sólida de madurez de gobernanza y posiciona a una organización sustancialmente por delante de los competidores que parten de cero. No es un certificado de cumplimiento con arreglo al Reglamento.
Una advertencia importante: la ISO 42001 no te hace cumplir la Ley de IA de la UE por sí sola, y la ISO 27001 tampoco. El Reglamento es derecho vinculante; su procedimiento de evaluación de la conformidad con arreglo al Artículo 43 es el mecanismo que habilita el marcado CE y el acceso al mercado para los sistemas de IA de alto riesgo. Para los sistemas autónomos de IA de alto riesgo (la lista del Anexo III), ese plazo es el 2 de diciembre de 2027 en virtud del Ómnibus Digital acordado en mayo de 2026.
Cuándo perseguir cada una — y cuándo perseguir ambas
Solo la ISO 27001 tiene sentido cuando una organización utiliza la IA de maneras limitadas — herramientas SaaS estándar, sin casos de uso del Anexo III, sin sistemas de IA desplegados con el nombre propio de la organización. El requisito principal de garantía es la seguridad de la información, no la gobernanza de la IA.
Solo la ISO 42001 es poco habitual. La seguridad de la información es un requisito previo para la IA responsable, y las organizaciones que implementan la ISO 42001 suelen tener ya o estar trabajando hacia la ISO 27001.
Ambas certificaciones es la respuesta correcta cuando:
-
La organización es un proveedor de IA de alto riesgo. El requisito de SGC del Artículo 17 se satisface con la mayor eficiencia mediante la ISO 42001. El requisito de ciberseguridad del Artículo 15 se satisface con la mayor eficiencia mediante la ISO 27001. Juntas, cubren los requisitos técnicos y de gobernanza completos del régimen de proveedor de alto riesgo.
-
Los clientes empresariales exigen ambas. Los proveedores de IA B2B reciben cada vez más requisitos de compras para la ISO 27001 como garantía de seguridad de base y la ISO 42001 como prueba de gobernanza específica de la IA. Un programa de certificación conjunto responde a ambos desde un único ciclo de auditoría.
-
La ISO 27001 ya está implantada. La Estructura Armonizada significa que la infraestructura de gobernanza — compromiso del liderazgo, marco de políticas, programa de auditoría interna, revisión por la dirección, proceso de acción correctiva — ya existe. Añadir la ISO 42001 requiere contenido específico de la IA (evaluación de impacto, documentación del ciclo de vida, seguimiento del rendimiento de la IA) pero no requiere reconstruir el sistema de gestión. El coste marginal de implementación es sustancialmente menor.
Para una empresa de tecnología con entre 50 y 500 empleados y entre 5 y 20 sistemas de IA: la ISO 27001 desde cero suele llevar de 9 a 18 meses y de 30 000 a 100 000 EUR en esfuerzo interno, consultoría, herramientas y tasas de certificación. La ISO 42001 desde cero es comparable. Añadir la ISO 42001 a un programa de ISO 27001 ya existente lleva de 4 a 9 meses — la reutilización de la infraestructura de gobernanza reduce el esfuerzo de implementación entre un 40 % y un 60 %. Los organismos de certificación ofrecen con frecuencia reducciones del 20 % al 30 % en las auditorías conjuntas en comparación con dos encargos secuenciales.
Proceso de certificación: qué esperar
Ambas normas siguen la misma secuencia de certificación de sistemas de gestión: análisis de brechas → definición del alcance → evaluación de riesgo/impacto → implementación de controles/documentación → SGSI/SGIA operado durante un período suficiente para generar pruebas de auditoría (normalmente de 3 a 6 meses) → revisión documental de la Fase 1 → auditoría de la eficacia operativa de la Fase 2 → concesión de la certificación → auditorías de vigilancia anuales + ciclo de recertificación de 3 años.
Las diferencias específicas del dominio en el proceso de la ISO 42001:
- La definición del alcance debe especificar qué sistemas de IA están dentro del alcance. Pueden ser todos los sistemas de IA que la organización desarrolla o despliega, o un subconjunto definido — los organismos de certificación querrán claridad sobre qué entra y qué queda fuera.
- La evaluación de riesgo e impacto debe cubrir dimensiones sociales y éticas, no solo el riesgo técnico de seguridad. Se exige un mapeo de las partes interesadas — quién se ve afectado por cada sistema de IA y cómo.
- La documentación del ciclo de vida debe producirse para cada sistema de IA dentro del alcance: decisiones de diseño, documentación de los datos de entrenamiento, resultados de las pruebas, configuración del despliegue, umbrales de seguimiento.
- La disponibilidad de auditores está en expansión pero es menos consistente que para la ISO 27001. Verifica que tu organismo de certificación objetivo tenga auditores de ISO 42001 formados antes de empezar.
Cómo ayuda Confir
Confir mapea de forma cruzada tus evaluaciones de sistemas de IA con los controles del Anexo A de la ISO 42001 junto con la Ley de IA de la UE — utilizando una lógica determinista y basada en reglas que produce la misma conclusión siempre a partir de las mismas entradas. Cuando completas una evaluación en Confir, el resultado referencia explícitamente qué áreas del Anexo A aborda la prueba (por ejemplo, una evaluación de gestión de riesgos del Artículo 9 completada se mapea con las cláusulas 6.1 y A.6.1 de la ISO 42001; un paquete de documentación técnica del Anexo IV se mapea con las cláusulas 8.4 y A.6.2 de la ISO 42001). Esto significa que tu trabajo de cumplimiento de la Ley de IA genera documentación que respalda simultáneamente las pruebas de certificación ISO 42001 — en lugar de ejecutar dos programas paralelos.
Confir no sustituye a un organismo de certificación ISO 42001 acreditado, no emite certificados de conformidad ni realiza auditorías de Fase 1/Fase 2. Produce las pruebas documentadas que un organismo de certificación querrá revisar.
Preguntas frecuentes
¿Demuestra la certificación ISO 42001 el cumplimiento de la Ley de IA de la UE?
No. La certificación ISO 42001 demuestra que la organización opera un sistema de gestión de la inteligencia artificial conforme a la norma. El cumplimiento de la Ley de IA de la UE requiere elementos adicionales: el marcado CE con arreglo al Artículo 48; el registro en la base de datos de la UE con arreglo al Artículo 49; la evaluación de la conformidad con arreglo al Artículo 43 utilizando la vía de control interno del Anexo VI o la de organismo notificado del Anexo VII; y la observancia de las obligaciones vinculantes de rol de los Artículos 16 (proveedor) y 26 (responsable del despliegue). La certificación ISO 42001 es una prueba sólida de madurez de gobernanza — en particular para el requisito de SGC del Artículo 17 — pero no es un certificado de cumplimiento con arreglo al Reglamento.
¿Pueden los controles del Anexo A de la ISO 27001 sustituir a los requisitos de ciberseguridad del Artículo 15?
En gran medida sí, con un mapeo explícito. El grupo tecnológico del Anexo A de la ISO 27001 (A.8.1 a A.8.34) aborda la mayoría de las dimensiones de ciberseguridad que el Artículo 15 exige para los sistemas de IA de alto riesgo. Una organización certificada en ISO 27001 puede referenciar los controles del SGSI como prueba del cumplimiento de la ciberseguridad del Artículo 15 — pero debe mapear explícitamente qué controles abordan qué subrequisitos del Artículo 15 en su documentación técnica del Anexo IV. Un certificado ISO 27001 genérico sin ese mapeo no satisfará a un auditor ni a un organismo notificado.
¿Se exige la ISO 42001 para vender productos de IA en la UE?
No. La ISO 42001 es voluntaria. Los requisitos obligatorios de la Ley de IA de la UE los establece el propio reglamento, no la ISO 42001. No obstante, si la Comisión Europea adopta la ISO 42001 o partes específicas de ella como norma armonizada con arreglo al Artículo 40, las organizaciones con certificación previa se beneficiarían de una presunción de conformidad con los correspondientes requisitos de la Ley de IA — sin necesidad de volver a demostrar el cumplimiento desde cero. Esa presunción es el valor estratégico a largo plazo de la certificación.
¿Cuánto tiempo lleva añadir la ISO 42001 a un programa de ISO 27001 ya existente?
Normalmente de 4 a 9 meses, frente a los 9 a 18 meses desde cero. La Estructura Armonizada de ISO significa que la infraestructura de gobernanza existente — políticas, programa de auditoría interna, revisiones por la dirección, proceso de acción correctiva — se traslada directamente. El trabajo nuevo es específico del dominio: evaluaciones de impacto de la IA, documentación del ciclo de vida para cada sistema de IA dentro del alcance, seguimiento del rendimiento específico de la IA y formación del personal sobre los requisitos de gobernanza de la IA. Las organizaciones que ya han realizado este trabajo para la preparación de la Ley de IA de la UE suelen encontrar sencilla la certificación ISO 42001.
¿Dónde se solapan más directamente las dos normas?
En tres áreas: la gestión de riesgos (cláusula 6 de la ISO 27001 / cláusulas 6.1 y 8.2 de la ISO 42001), los requisitos de documentación (controles del Anexo A de la ISO 27001 sobre gestión de activos y desarrollo seguro / cláusula 8.4 de la ISO 42001) y el seguimiento (A.8.16 de la ISO 27001 / cláusula 8.3 de la ISO 42001 sobre el seguimiento del rendimiento tras el despliegue). En cada área de solapamiento, las dos normas se complementan en lugar de duplicarse: la ISO 27001 pregunta si el sistema es seguro; la ISO 42001 pregunta si se comporta de forma fiable, justa y dentro de los límites de su finalidad prevista.
¿Sustituye la ISO 42001 a la necesidad de una EIPD del RGPD al desplegar sistemas de IA?
No. Una evaluación de impacto relativa a la protección de datos (EIPD) con arreglo al artículo 35 del RGPD es una obligación distinta que se activa cuando es probable que el tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas — está dirigida por el DPD y regida por el RGPD. Una evaluación de impacto relativa a los derechos fundamentales de la Ley de IA de la UE con arreglo al Artículo 27 es una obligación independiente para determinados responsables del despliegue (organismos públicos y responsables del despliegue de sistemas de solvencia o de seguros de vida o de salud del Anexo III). La evaluación de impacto de la cláusula 8.2 de la ISO 42001 puede informar ambas, pero no sustituye a ninguna. El Artículo 27, apartado 4, sí permite que una EIDF se apoye en una EIPD ya existente para evitar duplicar el esfuerzo — utiliza esa disposición cuando ambas sean exigibles.
¿Es relevante el plazo del 2 de diciembre de 2027 para las decisiones sobre la ISO 42001?
Sí, como ancla de planificación. En virtud del Ómnibus Digital acordado en mayo de 2026, los sistemas autónomos de IA de alto riesgo del Anexo III deben cumplir el régimen completo de alto riesgo de la Ley de IA de la UE a partir del 2 de diciembre de 2027. La implementación de la ISO 42001 lleva de 4 a 18 meses según el punto de partida. Las empresas que inician una implementación conjunta de ISO 27001 / ISO 42001 a mediados de 2026 pueden lograr de forma realista la certificación a mediados de 2027 — dejando meses para completar los pasos restantes específicos del Reglamento (evaluación de la conformidad con arreglo al Artículo 43, finalización de la documentación técnica, registro con arreglo al Artículo 49) antes del plazo.
Guías relacionadas
- marco de la Estructura Armonizada de ISO
- alineación de normalización con la Ley de IA de la UE
- cumplimiento de la gestión de riesgos del Artículo 9
- requisitos de los controles del Anexo A
- A.8.25 ciclo de vida de desarrollo seguro
- vía de certificación ISO 42001
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →