Skip to content
Confir.
Prueba gratuita
Blog

Marco de Gestión de Riesgos de IA del NIST: qué es y cómo respalda el cumplimiento de la Ley de IA de la UE

Guide11 May 2026· 13 min de lectura

El NIST AI RMF es una guía voluntaria de enero de 2023. Conozca las cuatro funciones esenciales y cómo se asignan a los artículos de la Ley de IA de la UE en el Reglamento (UE) 2024/1689.

El Instituto Nacional de Normas y Tecnología de los EE. UU. (NIST) publicó el Marco de Gestión de Riesgos de IA (AI RMF 1.0) en enero de 2023. Es voluntario, no vinculante y no certificable: un modelo de gobernanza, no un reglamento. Ninguna autoridad le multará por ignorarlo. La Ley de IA de la UE (Reglamento (UE) 2024/1689), por el contrario, es Derecho vinculante con un techo sancionador de 35 millones de euros o el 7 % del volumen de negocios mundial. Los dos marcos operan en registros completamente distintos.

Esa distinción importa antes que nada: adoptar el NIST AI RMF no sustituye al cumplimiento legal de la Ley de IA de la UE, y ningún regulador tratará la alineación con el RMF como prueba de conformidad en virtud del artículo 43. Lo que el RMF sí ofrece es un modelo operativo estructurado para la gobernanza de la IA que en la práctica se asigna a muchas de las obligaciones de la Ley de la UE, lo que lo convierte en un complemento útil, no en un atajo.

Qué contiene realmente el NIST AI RMF

El marco se estructura en torno a cuatro funciones esenciales:

  • GOVERN (Gobernar) — establecer las políticas, la cultura, los papeles y las estructuras de rendición de cuentas para la gestión de riesgos de IA en toda la organización.
  • MAP (Mapear) — identificar el contexto del sistema de IA, su uso previsto y los riesgos potenciales antes del despliegue.
  • MEASURE (Medir) — analizar y evaluar esos riesgos mediante métodos cuantitativos y cualitativos.
  • MANAGE (Gestionar) — priorizar y tratar los riesgos identificados, y vigilar la aparición de nuevos una vez que el sistema está en funcionamiento.

Estas cuatro funciones no son una lista de verificación lineal. Están concebidas para ejecutarse de forma concurrente e iterativa a lo largo del ciclo de vida de un sistema de IA.

Dos documentos complementarios amplían el núcleo: los Perfiles del AI RMF, que ayudan a las organizaciones a adaptar el marco a su contexto específico, y el Manual de aplicación (Playbook) del AI RMF, que descompone cada función en subcategorías y acciones sugeridas. En julio de 2024, el NIST añadió el Perfil de IA Generativa (NIST AI 600-1), que aborda los riesgos específicos de los modelos fundacionales y la IA generativa, incluidas cuestiones como la procedencia de los datos, la alucinación y la homogeneización de los resultados.

El RMF también define siete características de la IA fiable hacia las que debe trabajar una buena gobernanza: válida y fiable; segura; segura y resiliente; responsable y transparente; explicable e interpretable; respetuosa con la privacidad; equitativa con el sesgo perjudicial gestionado. Son propiedades aspiracionales, no criterios auditables de aprobado/suspenso.

Cómo se asignan las cuatro funciones a las obligaciones de la Ley de IA de la UE

La asignación no es exacta —el RMF se basa en principios, la Ley de la UE es prescriptiva—, pero la alineación funcional es real.

GOVERN → artículo 9 y artículo 17

La función GOVERN del RMF pide a las organizaciones que definan la rendición de cuentas, fijen la tolerancia al riesgo y establezcan estructuras de gobernanza antes de que un sistema llegue al mercado. La Ley de IA de la UE exige precisamente esto para los sistemas de alto riesgo: el artículo 9 requiere un sistema de gestión de riesgos documentado que abarque la identificación, el análisis y la mitigación de los riesgos previsibles a lo largo de todo el ciclo de vida. El artículo 17 requiere un sistema de gestión de la calidad que abarque los procedimientos de gestión de riesgos, la gobernanza de datos, la documentación técnica, la conservación de registros y la vigilancia poscomercialización. Si ya ha construido una capa GOVERN funcional en el sentido del RMF, tiene el esqueleto de ambos artículos.

MAP → artículo 6 (clasificación) y artículo 11 (documentación técnica)

La función MAP del RMF implica catalogar la finalidad, el contexto y las partes interesadas de su sistema antes de poder evaluar su riesgo. Esa actividad respalda directamente dos obligaciones de la Ley de la UE. El artículo 6 exige clasificar su sistema: ¿entra en uno de los ocho ámbitos de alto riesgo del Anexo III (biometría, infraestructuras críticas, educación, empleo, servicios esenciales, garantía del cumplimiento del Derecho, migración, justicia/democracia)? ¿Funciona como componente de seguridad en un producto regulado del Anexo I? El artículo 11, leído junto con el Anexo IV, exige documentar la finalidad prevista del sistema, la arquitectura, los datos de entrenamiento y las métricas de rendimiento antes de introducirlo en el mercado. El Anexo IV también exige documentar las medidas que permiten una supervisión humana eficaz en virtud del artículo 14. Un buen trabajo de MAP produce la materia prima para ese expediente del Anexo IV.

MEASURE → artículo 15 (exactitud, robustez, ciberseguridad) y artículo 10 (gobernanza de datos)

La función MEASURE del RMF pide a las organizaciones cuantificar y rastrear los riesgos de la IA mediante pruebas, equipos de ataque simulado (red-teaming) y evaluación continua. La Ley de la UE traduce esto en requisitos vinculantes: el artículo 15 exige que los sistemas de alto riesgo alcancen niveles adecuados de exactitud y robustez y sigan siendo resilientes frente a los intentos de alterar los resultados mediante entradas adversariales. El artículo 10 exige que los conjuntos de datos de entrenamiento, validación y prueba sean pertinentes, representativos y exentos de errores, con atención específica a los sesgos que puedan dar lugar a una discriminación prohibida. Las prácticas de Measure del NIST —auditorías de sesgo, estratificación del rendimiento entre grupos demográficos, pruebas adversariales— construyen directamente la base de pruebas que exigen los artículos 15 y 10.

MANAGE → artículo 14 (supervisión humana) y artículo 72 (vigilancia poscomercialización)

La función MANAGE del RMF abarca la respuesta y la recuperación: tratar los riesgos, actualizar los sistemas y vigilar en producción. El artículo 14 exige que los sistemas de alto riesgo se diseñen de modo que las personas físicas puedan supervisarlos eficazmente, incluida la capacidad de comprender los resultados, detectar anomalías y anular o desactivar el sistema. No es una obligación de papeleo; requiere decisiones de diseño genuinas. El artículo 72 exige a los proveedores ejecutar un sistema de vigilancia poscomercialización que recopile y analice activamente datos sobre el rendimiento del sistema durante toda su vida. Cuando se produce un incidente grave, los proveedores deben informar a la autoridad de vigilancia del mercado pertinente en virtud del artículo 73, con plazos de 15 días en la mayoría de los casos, 2 días en caso de infracción generalizada o perturbación de infraestructuras críticas, y 10 días cuando se haya producido un fallecimiento.

Dónde acaba el RMF y empieza la Ley de la UE

El RMF deja a las organizaciones libertad para definir qué aspecto tiene «suficientemente bueno». La Ley de IA de la UE no. Varias obligaciones no tienen un equivalente real en el RMF:

Evaluación de la conformidad (artículo 43). Antes de que un sistema de alto riesgo se introduzca en el mercado, los proveedores deben completar una evaluación de la conformidad formal. Para la mayoría de los sistemas del Anexo III, es una evaluación interna (Anexo VI). Para los sistemas biométricos del Anexo III, punto 1, en los que no se aplican normas armonizadas, debe intervenir un organismo notificado (Anexo VII). Ninguna función del NIST se asigna a esta puerta.

Conservación de la documentación técnica (artículo 18). La documentación técnica de la IA de alto riesgo debe conservarse durante 10 años tras la introducción del sistema en el mercado. El RMF no tiene una obligación de conservación equivalente.

Registro en la base de datos de la UE (artículo 49). Los sistemas de IA de alto riesgo deben registrarse en la base de datos pública de la UE antes del despliegue. Es un paso jurídico administrativo; no existe en ningún contexto del RMF.

Evaluación de impacto relativa a los derechos fundamentales (artículo 27). Los responsables del despliegue de organismos públicos —y los responsables del despliegue privados de sistemas de evaluación de la solvencia del Anexo III, punto 5, letra b), o de seguros de vida/salud del punto 5, letra c)— deben realizar una EIDF antes del uso. La función MAP del RMF comparte parte del espíritu (identificar las poblaciones afectadas), pero la EIDF es un documento jurídico específico, no un ejercicio general de contexto de riesgo.

Plazos y ejecución. La Ley de la UE se aplica a los sistemas autónomos de alto riesgo del Anexo III desde el 2 de diciembre de 2027 (aplazado desde la fecha original en virtud del Ómnibus Digital acordado en mayo de 2026; adopción formal prevista antes de agosto de 2026). La IA de alto riesgo integrada en productos regulados del Anexo I debe cumplir desde el 2 de agosto de 2028. Las prohibiciones del artículo 5 se aplican desde el 2 de febrero de 2025. El RMF no tiene fechas, ni mecanismo de ejecución, ni regulador.

El Perfil de IA Generativa (NIST AI 600-1)

Publicado en julio de 2024, el NIST AI 600-1 amplía el núcleo del RMF para abordar los riesgos distintivos de la IA generativa y los modelos fundacionales: procedencia de los datos y derechos de autor; alucinación y confabulación; configuración humano-IA (dependencia excesiva); seguridad de la información (inyección de instrucciones, extracción de datos); y el riesgo de homogeneización derivado de que los responsables del despliegue utilicen un número reducido de modelos fundacionales. Para las organizaciones que construyen sobre modelos de IA de uso general —que la Ley de la UE clasifica como modelos GPAI en virtud del Capítulo V—, el Perfil de IA Generativa es la parte más relevante en la práctica del corpus del NIST. No sustituye a las obligaciones de GPAI de la Ley de la UE en virtud de los artículos 53 y 55, pero proporciona un vocabulario estructurado para el trabajo de gobernanza que esos artículos exigen.

Cómo ayuda Confir

Confir mapea de forma cruzada los controles tanto a la Ley de IA de la UE como al NIST AI RMF. Cuando clasifica un sistema de IA en Confir, su motor basado en reglas deriva sus obligaciones en virtud de los artículos 5, 6, 9, 11, 14, 15 y 43, y muestra las funciones del RMF a las que corresponden. El resultado es determinista y reproducible: misma admisión, misma conclusión, con la regla que se activó visible en lenguaje sencillo. Puede iniciar su prueba gratuita en confir.eu.

Para la comparación específica entre los dos marcos —cómo difieren en cuanto a alcance, exigibilidad y requisitos de documentación—, consulte la comparación del NIST AI RMF frente a la Ley de IA de la UE.

Preguntas frecuentes

¿Es obligatorio el cumplimiento del NIST AI RMF a efectos de la Ley de IA de la UE?

No. El NIST AI RMF es un marco estadounidense voluntario. La Ley de IA de la UE no lo menciona y ningún regulador de la UE tratará la alineación con el RMF como prueba de cumplimiento legal. No obstante, las organizaciones que hayan estructurado su gobernanza de la IA en torno a las funciones GOVERN, MAP, MEASURE y MANAGE del RMF constatarán que gran parte del trabajo —gestión de riesgos documentada, controles de calidad de datos, pruebas de rendimiento, diseño de la supervisión humana— se asigna directamente a las obligaciones de la Ley de la UE. El RMF es un punto de partida útil; la Ley de la UE es el suelo legal.

¿Cuándo se aplica la Ley de IA de la UE a los sistemas de IA de alto riesgo?

En virtud del Ómnibus Digital acordado en mayo de 2026, los sistemas autónomos de alto riesgo comprendidos en el Anexo III se aplican desde el 2 de diciembre de 2027. La IA de alto riesgo integrada en productos regulados del Anexo I (máquinas, productos sanitarios, vehículos, etc.) se aplica desde el 2 de agosto de 2028. Las prohibiciones del artículo 5 están en vigor desde el 2 de febrero de 2025. Las obligaciones de transparencia de riesgo limitado del artículo 50 se aplican desde el 2 de agosto de 2026. Estas fechas no se han aplazado.

¿Qué es el Perfil de IA Generativa y por qué importa?

El NIST AI 600-1, publicado en julio de 2024, amplía el núcleo del AI RMF para cubrir los modelos fundacionales y los sistemas de IA generativa. Aborda riesgos específicos, incluidos la alucinación, la procedencia de los datos, la inyección de instrucciones y los efectos de homogeneización. Las organizaciones que despliegan o construyen sobre modelos GPAI —que la Ley de IA de la UE regula en virtud del Capítulo V (artículos 51 a 56)— encontrarán el perfil útil para estructurar el trabajo de gobernanza que exigen los artículos 53 y 55, sin confundirlo con un sustituto de esas obligaciones legales.

¿Cuáles son las sanciones por incumplimiento de la Ley de IA de la UE?

El artículo 99 establece tres niveles, cada uno «si esta última cifra es mayor» de una suma fija o un porcentaje del volumen de negocios anual mundial total. Infracciones de las prácticas prohibidas del artículo 5: 35 millones de euros o el 7 %. Incumplimiento de la mayoría de las demás obligaciones, incluidos los requisitos de alto riesgo y los deberes de proveedor/responsable del despliegue: 15 millones de euros o el 3 %. Facilitar información incorrecta o engañosa a las autoridades o a los organismos notificados: 7,5 millones de euros o el 1 %. Para las empresas, el artículo 99, apartado 6, limita las multas al menor de los dos importes, el porcentaje o la cantidad fija —una protección de proporcionalidad genuina—. Las multas a los proveedores de GPAI se rigen por separado en el artículo 101.

¿La certificación ISO/IEC 42001 satisface el NIST AI RMF o la Ley de IA de la UE?

Ninguno de los dos por completo. La ISO/IEC 42001:2023 es una norma de sistema de gestión para la gobernanza de la IA (38 controles en su Anexo A), que comparte la estructura armonizada de la ISO 27001 y la 9001. La certificación respalda un sistema de gestión de la calidad del artículo 17 y construye pruebas para el sistema de gestión de riesgos del artículo 9. No sustituye a la evaluación de la conformidad del artículo 43, que es la puerta vinculante previa a la comercialización para los sistemas de alto riesgo. El NIST AI RMF y la ISO 42001 son herramientas de gobernanza; la conformidad del artículo 43 es el requisito legal.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

EIPD y EIDF para sistemas de IA: dos evaluaciones, un flujo de trabajo

La EIPD del Artículo 35 del RGPD y la EIDF del Artículo 27 de la Ley de IA de la UE son deberes distintos. Conozca cuándo se exige cada una, qué responsables del despliegue la deben y cómo realizar ambas a la vez.

Complete Guide

Gobernanza de la IA para el cumplimiento de la Ley de IA de la UE: el modelo operativo para pymes

Cree un programa de gobernanza de la Ley de IA de la UE para su pyme. Mapa de artículos correcto (Art. 9, 14, 43, 72), plazo del 2 dic 2027, sanciones, RACI y un plan a 90 días.

Guide

La guía de cumplimiento de la Ley de IA de la UE para el CISO

Los CISO y la Ley de IA de la UE: inventario de IA, ciberseguridad del Artículo 15, notificación de incidentes del Artículo 73, solapamiento con NIS2, informes al consejo. Plazo de alto riesgo: dic 2027.