Skip to content
Confir.
Prueba gratuita
Blog

NIST AI RMF frente a la Ley de IA de la UE: herramientas distintas, obligaciones distintas

Guide10 February 2026· 15 min de lectura

El NIST AI RMF es voluntario; la Ley de IA de la UE es ley vinculante. Compare Govern/Map/Measure/Manage con los Art. 9, 15, 14 y 43. Plazo: 2 de diciembre de 2027.

El Marco de Gestión de Riesgos de la IA del NIST (NIST AI RMF) y la Ley de IA de la UE son ambos respuestas serias al riesgo de la IA — pero operan en registros completamente distintos. Uno es un manual de gobernanza estadounidense voluntario. El otro es una ley vinculante de la UE con multas que alcanzan los 35 millones de euros o el 7 % del volumen de negocios mundial. Tratarlos como intercambiables es el error más común que cometen las empresas al inicio de un proyecto de cumplimiento de la Ley de IA de la UE.

Esta página compara ambos cara a cara: qué es cada uno, cómo se corresponden las cuatro funciones del NIST AI RMF con los artículos específicos de la Ley, y lo único que el NIST no puede hacer por usted — satisfacer las obligaciones jurídicas vinculantes de la UE.

Qué es (y qué no es) el NIST AI RMF

El Marco de Gestión de Riesgos de la IA del NIST, publicado por el Instituto Nacional de Normas y Tecnología de EE. UU. en enero de 2023, ofrece a las organizaciones un método estructurado para identificar y gestionar los riesgos relacionados con la IA a lo largo de todo el ciclo de vida del sistema. Está organizado en cuatro funciones: Govern (Gobernar), Map (Cartografiar), Measure (Medir) y Manage (Gestionar). No contiene mecanismo de ejecución, requisito de registro, evaluación de la conformidad ni plazo alguno. La adopción es enteramente voluntaria, y una implementación completa del NIST AI RMF no confiere estatus jurídico alguno en ninguna parte del mundo.

Eso no es una crítica. Para la gobernanza interna, las revisiones de riesgos de producto y las disciplinas de seguridad previas a la comercialización, el NIST AI RMF es uno de los marcos voluntarios más rigurosos disponibles. Muchas de las disciplinas operativas que inculca — la identificación sistemática de riesgos, las líneas de base de medición, el seguimiento de la mitigación — se solapan estrechamente con lo que espera la Ley de IA de la UE. Ese solapamiento es la fuente de su valor como ventaja inicial, y también la fuente de la confusión cuando las empresas confunden «seguimos el NIST» con «cumplimos».

Qué es la Ley de IA de la UE

El Reglamento (UE) 2024/1689, la Ley de IA de la UE, es ley vinculante de la UE. Se aplica a todo proveedor que introduce un sistema de IA en el mercado de la UE o lo pone en servicio en la UE, y a todo responsable del despliegue que utiliza un sistema de IA en una capacidad profesional dentro de la UE — con independencia de dónde esté constituida la organización.

La Ley divide los sistemas de IA en cuatro niveles de riesgo:

  • Riesgo inaceptable — prácticas prohibidas de forma terminante en virtud del Artículo 5, en vigor desde el 2 de febrero de 2025. Sin vía de cumplimiento; el sistema no debe operarse.
  • Alto riesgo — sistemas que entran dentro del Artículo 6 y de los ocho ámbitos del Anexo III (biometría, infraestructuras críticas, educación, empleo, servicios esenciales, garantía del cumplimiento del Derecho, migración, justicia/democracia). El nivel de obligaciones pesadas.
  • Riesgo limitado — sistemas cubiertos por los deberes de transparencia del Artículo 50 (asistentes conversacionales, etiquetado de contenido sintético, reconocimiento de emociones, ultrasuplantaciones). Solo divulgación.
  • Riesgo mínimo — todo lo demás. Sin requisitos obligatorios.

Para los sistemas de alto riesgo, las obligaciones son sustanciales y secuenciales: un sistema de gestión de riesgos (Artículo 9), gobernanza de datos (Artículo 10), documentación técnica con arreglo al Anexo IV (Artículo 11), conservación de registros (Artículo 12), transparencia hacia los responsables del despliegue (Artículo 13), supervisión humana (Artículo 14), pruebas de exactitud y robustez (Artículo 15), un sistema de gestión de la calidad (Artículo 17), evaluación de la conformidad (Artículo 43), registro en la base de datos de la UE (Artículo 49) y vigilancia poscomercialización (Artículo 72). Los proveedores deben tenerlas implantadas antes de introducir un sistema de alto riesgo en el mercado.

El incumplimiento de la mayoría de las obligaciones de alto riesgo acarrea un techo sancionador de 15 000 000 € o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor — en virtud del Artículo 99, apartado 4. Las infracciones de las prohibiciones del Artículo 5 alcanzan los 35 000 000 € o el 7 % (Artículo 99, apartado 3). Para las empresas que cumplen los requisitos de pyme o de empresa emergente, el Artículo 99, apartado 6, limita la multa al menor de los dos importes en cada nivel — una protección de proporcionalidad significativa, pero no una inmunidad.

En virtud del Ómnibus Digital acordado en mayo de 2026, el plazo para los sistemas autónomos de alto riesgo del Anexo III es el 2 de diciembre de 2027 (retrasado respecto del original 2 de agosto de 2026). La IA de alto riesgo integrada en productos regulados del Anexo I — productos sanitarios, máquinas, vehículos — se aplica a partir del 2 de agosto de 2028 en su lugar.

Función por función: cómo se corresponde el NIST AI RMF con la Ley de IA de la UE

Esta tabla muestra dónde encuentran las cuatro funciones del NIST sus equivalentes más cercanos en la Ley — y dónde el NIST se queda corto.

Función del NIST AI RMFQué cubreArtículos más cercanos de la Ley de IA de la UE
GOVERNPolíticas, roles, estructuras de rendición de cuentas, gobernanza de la IA en toda la organizaciónArtículo 17 (Sistema de Gestión de la Calidad); Artículo 4 (alfabetización en materia de IA — en vigor desde el 2 feb 2025); cláusulas de gobernanza dentro del Artículo 9
MAPIdentificación del contexto, el caso de uso y los riesgos asociados del sistema de IAArtículo 6 + Anexo III (clasificación de riesgos); Artículo 9 (identificación de riesgos dentro del sistema de gestión de riesgos)
MEASURECuantificación de riesgos, pruebas, evaluación de sesgos, líneas de base de rendimientoArtículo 15 (exactitud, robustez, ciberseguridad); Artículo 9 (evaluación y pruebas); Artículo 10 (calidad y representatividad de los datos)
MANAGEMitigación de los riesgos identificados, vigilancia, respuesta a incidentesArtículo 9 (medidas de mitigación); Artículo 14 (supervisión humana); Artículo 72 (vigilancia poscomercialización por los proveedores); Artículo 73 (notificación de incidentes graves)

Leyendo esta tabla, una organización que haya implementado genuinamente el NIST AI RMF ya ha construido buena parte del músculo operativo que la Ley presupone: ejecuta procesos de identificación de riesgos (MAP → Artículo 9), prueba y mide el rendimiento del modelo (MEASURE → Artículo 15), tiene estructuras de gobernanza (GOVERN → Artículo 17). Eso es una auténtica ventaja inicial.

Pero las brechas son estructurales, no superficiales.

El NIST no incluye:

  • Clasificación — el NIST no tiene ningún concepto equivalente al Artículo 6 y al Anexo III. El NIST trata todo el riesgo de la IA en una escala continua; la Ley traza una línea jurídica nítida entre el alto riesgo y todo lo demás. Debe determinar de qué lado de esa línea se sitúa su sistema, y debe documentar la evaluación aunque concluya que se aplica la exención del Artículo 6, apartado 3.
  • Evaluación de la conformidad (Artículo 43) — un procedimiento formal previo a la comercialización. Para la mayoría de los sistemas del Anexo III (puntos 2 a 8), se trata de una autoevaluación interna con arreglo al Anexo VI. Para los sistemas biométricos (punto 1) cuando no se aplican normas armonizadas, se requiere normalmente un organismo notificado con arreglo al Anexo VII. El NIST no tiene un paso equivalente.
  • Registro en la base de datos de la UE (Artículo 49) — el registro obligatorio de los sistemas de alto riesgo en la base de datos de la UE antes de su introducción en el mercado, e incluso para los proveedores que reclaman la exención del Artículo 6, apartado 3. Ningún proceso del NIST cubre esto.
  • Documentación legalmente prescrita — el Anexo IV establece nueve ámbitos de contenido obligatorios para la documentación técnica que exige el Artículo 11. El formato y el contenido los define el Reglamento, no su propia metodología de riesgos.
  • Plazos vinculantes — el 2 de diciembre de 2027 para los sistemas autónomos del Anexo III. Los marcos del NIST no tienen plazos.
  • Sanciones — ninguna se vincula al incumplimiento del NIST.

La distinción crítica: postura operativa frente a estatus jurídico

Una forma útil de plantearlo: el NIST AI RMF mejora su postura operativa en materia de riesgo de la IA. La Ley de IA de la UE determina su estatus jurídico en el mercado de la UE.

Una empresa con una excelente madurez en el NIST AI RMF pero sin un ejercicio de clasificación de la Ley de IA de la UE no es conforme. A la inversa, una empresa que marca mecánicamente las casillas de la Ley de IA de la UE sin interiorizar las disciplinas de riesgo subyacentes probablemente tendrá dificultades con los deberes de vigilancia continua y de supervisión humana que la Ley incorpora a lo largo de los Artículos 9, 14 y 72.

La respuesta práctica para la mayoría de las empresas que entran en el mercado de la UE es tratar el NIST AI RMF como trabajo previo — organiza su pensamiento, aflora los riesgos y construye los huesos de la gobernanza — y después superponer las obligaciones vinculantes específicas de la Ley de la UE. Donde el NIST dice «identifique y documente los riesgos», la Ley especifica qué debe contener el sistema de gestión de riesgos (Artículo 9), cuánto tiempo deben conservarse los registros (Artículo 18: 10 años para la documentación técnica) y quién debe firmar. El NIST pregunta «¿tiene supervisión humana?» — el Artículo 14 especifica las propiedades que debe tener ese mecanismo de supervisión.

Un ejemplo concreto: una empresa de tecnología de RR. HH. de 40 personas que construye una herramienta de cribado para solicitudes de empleo entra en el Anexo III, punto 4, letra a) — empleo y gestión de los trabajadores. Su implementación del NIST AI RMF podría ya incluir pruebas de sesgo y una política de gobernanza. Lo que no incluirá: el sistema de gestión de riesgos del Artículo 9 enmarcado frente a los requisitos específicos de la Ley, el paquete de documentación técnica del Anexo IV, la declaración UE de conformidad del Artículo 47 o el registro del Artículo 49 en la base de datos de la UE. Esos son pasos legalmente prescritos que el NIST simplemente no genera.

Diferenciación respecto de páginas relacionadas

Esta página se centra en el cara a cara entre el NIST AI RMF y la Ley de IA de la UE como marcos. Dos páginas relacionadas cubren un terreno distinto:

  • La introducción al NIST AI RMF explica en profundidad las cuatro funciones, categorías y subcategorías del marco, sin la comparación con la Ley de IA de la UE.
  • La guía de alineación multimarco cubre cómo varios marcos — NIST AI RMF, ISO/IEC 42001, RGPD y la Ley de IA de la UE — conviven en un programa de gobernanza más amplio.

Esta página es la referencia adecuada cuando su pregunta es específicamente: ¿seguir el NIST AI RMF nos hace conformes con la Ley de IA de la UE?

Cómo ayuda Confir

El reto práctico para los equipos de cumplimiento es que los requisitos del NIST AI RMF y de la Ley de IA de la UE están estructurados de forma distinta — vocabulario distinto, formatos de documentación distintos, propietarios distintos. El flujo de trabajo de clasificación y evaluación de Confir mantiene un único conjunto de controles asignado a ambos marcos simultáneamente. Usted responde una sola vez a las preguntas de admisión; el motor basado en reglas de Confir deriva sus obligaciones de la Ley de IA de la UE (clasificación del Artículo 6, rol con arreglo a los Artículos 16/26, la pila de alto riesgo aplicable) y aflora la alineación con el NIST AI RMF junto a ellas. El motor es determinista y basado en reglas — el mismo perfil de sistema produce el mismo resultado cada vez, lo que importa cuando ese resultado se presenta a un regulador.

Autoservicio, alojado en la UE, sin consultores.

Preguntas frecuentes

¿Seguir el NIST AI RMF hace que una empresa sea conforme con la Ley de IA de la UE?

No. El NIST AI RMF es un marco estadounidense voluntario sin estatus jurídico en la UE. La Ley de IA de la UE impone obligaciones vinculantes — clasificación con arreglo al Artículo 6 y al Anexo III, evaluación de la conformidad en virtud del Artículo 43, registro en virtud del Artículo 49, documentación técnica en virtud del Artículo 11 y plazos (el 2 de diciembre de 2027 para la mayoría de los sistemas del Anexo III). Estos pasos no tienen equivalente en el NIST y no pueden satisfacerse solo con una implementación del NIST. El NIST es una sólida ventaja inicial en las disciplinas operativas que la Ley presupone, pero los requisitos procedimentales vinculantes deben cumplirse igualmente en sus propios términos.

¿Cuáles son los plazos para el cumplimiento de la Ley de IA de la UE?

Las prácticas prohibidas del Artículo 5 se aplican desde el 2 de febrero de 2025. La alfabetización general en materia de IA del Artículo 4 también se aplica desde esa fecha. Las obligaciones de los modelos GPAI (Artículos 51 a 55) y las sanciones del Artículo 99 se aplican desde el 2 de agosto de 2025. Para los sistemas autónomos de alto riesgo del Anexo III, el plazo es el 2 de diciembre de 2027 en virtud del Ómnibus Digital acordado en mayo de 2026 — retrasado respecto del original 2 de agosto de 2026. La IA de alto riesgo integrada en productos regulados del Anexo I se aplica a partir del 2 de agosto de 2028. Las obligaciones de transparencia de riesgo limitado del Artículo 50 se aplican a partir del 2 de agosto de 2026.

¿Cuáles son las cuatro funciones del NIST AI RMF?

GOVERN establece las políticas, los roles y la rendición de cuentas de la organización en materia de riesgo de la IA. MAP identifica el contexto, el caso de uso y el panorama de riesgos de un sistema de IA concreto. MEASURE aplica métricas y pruebas para cuantificar esos riesgos. MANAGE implementa mitigaciones y vigila los resultados. Las funciones son cíclicas, no secuenciales — el NIST trata la gestión de riesgos de la IA como una disciplina continua del ciclo de vida, no como un acontecimiento de certificación único.

¿Qué multas impone la Ley de IA de la UE?

Hay tres niveles sancionadores en virtud del Artículo 99, cada uno «según la cifra que sea mayor» de una suma fija o un porcentaje del volumen de negocios anual mundial total: las infracciones de las prohibiciones del Artículo 5 alcanzan los 35 000 000 € o el 7 % (Artículo 99, apartado 3); el incumplimiento de la mayoría de las demás obligaciones — incluidos los requisitos de alto riesgo y los deberes del proveedor/responsable del despliegue — alcanza los 15 000 000 € o el 3 % (Artículo 99, apartado 4); facilitar información incorrecta o engañosa a los organismos notificados o a las autoridades alcanza los 7 500 000 € o el 1 % (Artículo 99, apartado 5). Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor del porcentaje o la suma fija.

¿Qué artículos de la Ley de IA de la UE se corresponden más estrechamente con el NIST AI RMF?

GOVERN se corresponde más estrechamente con el Artículo 17 (Sistema de Gestión de la Calidad) y el Artículo 4 (alfabetización en materia de IA). MAP se corresponde con el Artículo 6 más el Anexo III para la clasificación y con el Artículo 9 para la identificación de riesgos. MEASURE se corresponde con el Artículo 15 (exactitud, robustez, ciberseguridad) y las obligaciones de prueba dentro del Artículo 9. MANAGE se corresponde con la mitigación del Artículo 9, la supervisión humana del Artículo 14, la vigilancia poscomercialización del Artículo 72 y la notificación de incidentes graves del Artículo 73. La alineación es real pero parcial — el NIST no tiene equivalente para la evaluación de la conformidad (Artículo 43), el registro en la base de datos de la UE (Artículo 49) ni el formato de documentación del Anexo IV.

¿Quién debe cumplir la Ley de IA de la UE?

Todo proveedor que introduce un sistema de IA en el mercado de la UE o lo pone en servicio en la UE, con independencia de dónde esté constituido — una empresa estadounidense que vende un sistema del Anexo III a empleadores europeos es un proveedor sujeto a la Ley. Los responsables del despliegue — empresas que utilizan sistemas de IA de terceros en una capacidad profesional dentro de la UE — también asumen obligaciones en virtud del Artículo 26, incluidas la supervisión humana, la vigilancia, la conservación de registros durante al menos seis meses y (para los responsables del despliegue del sector público y determinados privados) una evaluación de impacto relativa a los derechos fundamentales en virtud del Artículo 27.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

EIPD y EIDF para sistemas de IA: dos evaluaciones, un flujo de trabajo

La EIPD del Artículo 35 del RGPD y la EIDF del Artículo 27 de la Ley de IA de la UE son deberes distintos. Conozca cuándo se exige cada una, qué responsables del despliegue la deben y cómo realizar ambas a la vez.

Complete Guide

Gobernanza de la IA para el cumplimiento de la Ley de IA de la UE: el modelo operativo para pymes

Cree un programa de gobernanza de la Ley de IA de la UE para su pyme. Mapa de artículos correcto (Art. 9, 14, 43, 72), plazo del 2 dic 2027, sanciones, RACI y un plan a 90 días.

Guide

La guía de cumplimiento de la Ley de IA de la UE para el CISO

Los CISO y la Ley de IA de la UE: inventario de IA, ciberseguridad del Artículo 15, notificación de incidentes del Artículo 73, solapamiento con NIS2, informes al consejo. Plazo de alto riesgo: dic 2027.