I
Impetora

ISO/IEC 42001 vs ISO/IEC 27001: qué cambia y qué se solapa

By Impetora -

ISO/IEC 42001:2023 es la norma del sistema de gestión de inteligencia artificial, publicada en diciembre de 2023 [1]. ISO/IEC 27001:2022 es la norma del sistema de gestión de seguridad de la información, columna vertebral de la certificación de seguridad empresarial desde 2005 [2]. Ambas comparten la estructura armonizada Annex SL e integran limpiamente, pero cubren alcances diferentes. Muchas organizaciones que despliegan IA en 2026 necesitan las dos: la 27001 para datos e infraestructura, la 42001 para el ciclo de vida de la IA, equidad y rendición de cuentas.

93 controles
Anexo A de ISO 27001:2022 en 4 temas
ISO
38 controles
Anexo A de ISO 42001:2023 específicos de IA
ISO
Ago 2026
Obligaciones de alto riesgo del Reglamento de IA de la UE
EUR-Lex

¿Qué cubre ISO/IEC 27001?

ISO/IEC 27001:2022 especifica un sistema de gestión de seguridad de la información (SGSI). Su alcance abarca la confidencialidad, integridad y disponibilidad de los activos de información, ya sean expedientes en papel, bases de datos, código fuente, cargas de trabajo en la nube o modelos entrenados. La norma define un núcleo de gestión en las cláusulas 4 a 10 y un catálogo de controles en el Anexo A con 93 controles agrupados en cuatro temas: organizativos (37), de personas (8), físicos (14) y tecnológicos (34) [2].

El ecosistema de certificación es maduro. ISO 27001 ha sido la referencia mundial de seguridad empresarial desde la revisión de 2005 (anteriormente BS 7799 e ISO/IEC 17799). Todos los grandes organismos de certificación, incluidos BSI, DNV, TUV, Bureau Veritas, AENOR y SGS, operan un esquema 27001 activo con cuadros de auditores públicos y honorarios conocidos.

La 27001 es neutral respecto a la tecnología. Indica a la organización identificar activos de información, evaluar riesgos, seleccionar e implantar controles y operar un ciclo de gestión que mantenga la garantía a lo largo del tiempo. No prescribe herramientas ni proveedores concretos, lo que explica su buena composición con extensiones sectoriales como ISO 27017, ISO 27018, ISO 27701 y ahora ISO/IEC 42001.

¿Qué cubre ISO/IEC 42001?

ISO/IEC 42001:2023 especifica un sistema de gestión de IA (AIMS). Su alcance es el ciclo de vida de los sistemas de inteligencia artificial dentro de una organización, incluido el uso ético, la transparencia, la rendición de cuentas, la equidad, la calidad de los datos y la supervisión humana. La norma replica la estructura Annex SL utilizada por la 27001 y la 9001, y añade 38 controles del Anexo A específicos de IA, una guía de implementación en el Anexo B y un catálogo de objetivos organizativos y fuentes de riesgo de IA en el Anexo C [1].

El ecosistema de certificación aún está madurando. ISO publicó la 42001 en diciembre de 2023, y el IAF publicó su documento obligatorio sobre certificación de sistemas de gestión de IA en 2024 [3]. BSI, DNV, TUV Nord, Bureau Veritas y AENOR han anunciado esquemas 42001, pero el cuadro de auditores es reducido y la capacidad global está tensionada hasta 2026.

La 42001 cubre lo que la 27001 deja deliberadamente fuera: gobernanza del ciclo de vida del modelo, calidad de los datos de entrenamiento, sesgo algorítmico, transparencia específica de IA y diseño de la supervisión humana. Hace referencia explícita a fuentes de riesgo de IA sin equivalente en las normas de seguridad, incluidos los comportamientos emergentes, el desplazamiento de distribución y el impacto social de las decisiones automatizadas.

Comparativa directa

La siguiente tabla resume las diferencias prácticas con las que se encuentran los compradores al planificar un programa.

Dimensión ISO/IEC 27001:2022 ISO/IEC 42001:2023
AlcanceActivos de información (tríada CID)Ciclo de vida y gobernanza de sistemas de IA
Controles del Anexo A93 en 4 temas38 específicos de IA
Ciclo de auditoríaEtapa 1 + Etapa 2, vigilancia anual, recertificación en el año 3Mismo ciclo Annex SL; auditoría integrada posible
Foco principalConfidencialidad, integridad, disponibilidadConfianza, equidad, rendición de cuentas
MadurezMadura, desde 2005Reciente, diciembre de 2023
CompatibilidadEstructura armonizada Annex SLEstructura armonizada Annex SL (diseñada para integrarse)

¿Dónde se solapan las dos normas?

Ambas adoptan la estructura armonizada Annex SL, por lo que las cláusulas 4 a 10 (contexto de la organización, liderazgo, planificación, soporte, operación, evaluación del desempeño, mejora) se leen casi de forma idéntica. Una organización puede operar un único sistema de gestión integrado que cubra ambas, con un solo registro de riesgos, un solo programa de auditoría interna, una sola revisión por la dirección y un único proceso de no conformidades.

Los solapamientos de controles concretos son nítidos. El control A.5.34 de ISO 27001 (privacidad y protección de datos personales) alimenta directamente la gobernanza de datos del AIMS bajo la 42001. Los controles de gestión de activos de la 27001 sustentan el inventario de modelos y conjuntos de datos bajo la 42001. Los controles de relaciones con proveedores cubren a los subencargados en ambos regímenes. La gestión de incidentes, la continuidad de negocio y el control de accesos se trasladan con duplicación mínima de evidencias.

Implicación práctica: una organización con un SGSI 27001 limpio ya ha realizado en torno al 40 a 60 por ciento del trabajo documental que exige la 42001, según lo madura que estuviera su gobernanza de IA antes del cierre del alcance de certificación.

¿Dónde divergen?

ISO 27001 no aborda el sesgo algorítmico, el ciclo de vida del modelo, la calidad de los datos de entrenamiento ni la transparencia específica de IA. Sus controles guardan silencio sobre si un modelo trata por igual a grupos protegidos, si los datos de entrenamiento son representativos, si el rendimiento del modelo ha derivado, o si los usuarios finales están informados de que interactúan con un sistema de IA. Esas son precisamente las brechas que cubre la 42001.

A la inversa, ISO 42001 no cubre en profundidad la seguridad de redes, la criptografía, el control de acceso físico ni la gestión de vulnerabilidades. Asume que la infraestructura de información subyacente está gobernada por un SGSI separado o un dispositivo equivalente. Operar la 42001 sola, sin la 27001 ni una garantía de seguridad comparable, está técnicamente permitido pero produce una postura general débil y suele no superar la diligencia de compras corporativas.

Por eso la mayoría de analistas y organismos de certificación recomiendan ambas normas como complementarias y no como alternativas.

¿Cuál certificar primero?

La respuesta depende de la madurez en IA. Una organización de IA de nueva creación, o cualquier organización sin un SGSI previo, debe certificar primero ISO 27001. Es el cimiento, el cuadro de auditores es amplio y aproximadamente la mitad de la documentación del sistema de gestión se reutilizará después para la 42001. Intentar operar la 42001 sobre una base de seguridad inestable genera retrabajo cuando la 27001 se añade más tarde.

Una organización ya certificada en 27001 que ahora despliega IA puede ir directamente a la 42001. La estructura Annex SL implica que las cláusulas 4 a 10 del SGSI existente se trasladan con cambios menores de alcance, y el trabajo se concentra en los 38 controles específicos de IA del Anexo A, más gobernanza de datos, ciclo de vida del modelo y supervisión humana.

Una organización regulada que opere bajo marcos sectoriales (DORA en servicios financieros, NIS2 en infraestructuras críticas, MDR en productos sanitarios) debe secuenciar según el plazo regulatorio que muerda primero, con la 27001 normalmente como prerrequisito y la 42001 como capa de IA.

¿Cómo se alinea ISO 42001 con el Reglamento de IA de la UE?

Los controles del Anexo A de ISO 42001 se alinean con varios artículos clave del Reglamento de IA de la UE para sistemas de alto riesgo: artículo 9 (gestión de riesgos), artículo 10 (datos y gobernanza de datos), artículo 11 (documentación técnica), artículo 12 (registros), artículo 13 (transparencia y suministro de información a los responsables del despliegue), artículo 14 (supervisión humana), artículo 15 (precisión, robustez y ciberseguridad) y artículo 17 (sistema de gestión de la calidad) [4].

El alineamiento es evidencia útil pero no equivale a conformidad automática. El Reglamento distingue las normas armonizadas (que otorgan presunción de conformidad una vez citadas en el Diario Oficial) de las normas no armonizadas como la 42001 hoy. Un certificado ISO 42001 es un dossier de evidencia robusto para el procedimiento de evaluación de la conformidad bajo el Reglamento, pero no sustituye dicho procedimiento.

La Oficina de IA de la Comisión Europea y el CEN-CENELEC JTC 21 trabajan en normas armonizadas que terminarán por referenciar la 42001. Hasta entonces, trate el certificado como un multiplicador de credibilidad en compras y auditoría, no como un atajo regulatorio.

¿Cómo se alinea ISO 42001 con el NIST AI RMF?

ISO 42001 y el NIST AI Risk Management Framework (AI RMF 1.0, con el perfil de IA generativa NIST.AI.600-1 publicado en 2024) están profundamente alineados, especialmente entre el Anexo A de la 42001 y la función GOVERN del NIST [5]. Las organizaciones que han implantado las funciones GOVERN, MAP, MEASURE y MANAGE del NIST encuentran manejable el salto documental hacia la 42001.

Las dos son complementarias, no redundantes. NIST AI RMF es voluntario y se utiliza mejor como herramienta interna de gestión. ISO 42001 es un sistema de gestión certificable. Un patrón habitual en 2026 consiste en usar el NIST AI RMF como modelo operativo interno y la 42001 como envoltorio externo de aseguramiento.

Coste y calendario

Para ISO 27001, una certificación típica de mid-market lleva de 9 a 15 meses desde la evaluación de preparación Etapa 0 hasta la emisión del certificado. El coste indicativo de consultoría es de 15 a 50 mil euros, con honorarios de auditor de 8 a 25 mil euros para el ciclo inicial, según alcance, plantilla y número de centros físicos.

Para ISO 42001, una organización ya certificada en 27001 suele alcanzar la certificación 42001 en 6 a 12 meses, con coste de consultoría en el rango de 20 a 60 mil euros. El rango más amplio refleja la escasez de consultores cualificados en 2026 y la necesidad de madurar prácticas de gobernanza de IA que antes podían no existir.

Llevar ambas certificaciones en un programa integrado (en lugar de secuencial) resulta más eficiente partiendo de cero, pero requiere una dirección integrada competente y una arquitectura documental única. La mayoría de las organizaciones encuentra el camino secuencial más fácil de gestionar y solo marginalmente más caro.

Ejemplo de mapeo de la Declaración de Aplicabilidad

A continuación, un extracto ilustrativo de cómo una organización con un SGSI ISO 27001 limpio mapea controles existentes a los nuevos requisitos 42001 sin duplicar evidencias.

  • 27001 A.5.9 (inventario de información y otros activos asociados) cubre el inventario de modelos y conjuntos de datos 42001. Un único registro de activos; añadir campos de tipo de modelo, trazabilidad de datos de entrenamiento y finalidad prevista.
  • 27001 A.5.34 (privacidad y protección de datos personales) cubre la gobernanza de datos 42001. Reutilizar el control con un anexo específico de IA sobre representatividad y consentimiento para uso en entrenamiento.
  • 27001 A.5.19 a A.5.23 (relaciones con proveedores) cubren las cláusulas de subencargados y proveedores de modelos fundacionales 42001. Reutilizar contratos con un anexo específico de IA sobre datos de entrenamiento, derechos de fine-tuning y notificación de incidentes.
  • 27001 A.8.16 (actividades de monitorización) cubre parte de la monitorización post-despliegue 42001, ampliando con métricas de rendimiento del modelo, detección de deriva e indicadores de equidad.
  • 27001 A.5.25 a A.5.27 (gestión de incidentes) cubre la notificación de incidentes de IA 42001. Reutilizar el proceso; añadir categorías de salida dañina, incidente de sesgo y queja de explicabilidad.

Los controles 42001 restantes sin equivalente en 27001 (evaluación de impacto de sistemas de IA, diseño de supervisión humana, obligaciones de transparencia, recursos y competencias específicos de IA) requieren documentación nueva, pero suelen reutilizar los procesos existentes del sistema de gestión.

Preguntas frecuentes

¿Puede un mismo auditor certificar ISO 27001 e ISO 42001?
Sí, en la práctica. La mayoría de los grandes organismos de certificación (BSI, DNV, TUV, Bureau Veritas, AENOR) forman a sus auditores en ambos esquemas y ofrecen auditorías integradas en las que las cláusulas del sistema de gestión se prueban una sola vez y los controles del Anexo A por separado para cada norma. Esto suele ahorrar entre el 20 y el 30 por ciento de los días de auditoría frente a dos certificaciones independientes. El documento obligatorio del IAF sobre certificación de sistemas de gestión de IA, publicado en 2024, formaliza los requisitos de competencia para auditores 42001.
¿Qué organismos ofrecen ISO 42001 en 2026?
BSI, DNV, TUV Nord, TUV Rheinland, TUV SUD, Bureau Veritas, AENOR, SGS y un puñado de organismos regionales han anunciado esquemas ISO 42001. El cuadro de auditores aún es reducido frente a la 27001, y la capacidad global está tensionada hasta 2026. Programe la auditoría Etapa 2 al inicio del programa, ya que las fechas pueden retrasarse varios meses.
¿ISO 42001 da conformidad automática con el Reglamento de IA de la UE?
No. ISO 42001 es actualmente una norma no armonizada, lo que significa que la certificación no genera presunción de conformidad bajo el artículo 40 del Reglamento. No obstante, es la base de evidencia más fuerte disponible para el procedimiento de evaluación de la conformidad de sistemas de alto riesgo bajo el Anexo VI (control interno) o el Anexo VII (terceros). El CEN-CENELEC JTC 21 trabaja en normas armonizadas que podrán referenciar la 42001 en el futuro.
Si el presupuesto solo permite una certificación, ¿cuál elegir?
Elija ISO 27001, salvo que su negocio sea fundamentalmente proveedor de IA cuyos clientes exijan explícitamente la 42001 en sus compras. La 27001 es la garantía más amplia y abre muchas más conversaciones comerciales. Las empresas que despliegan IA cuyo perfil de riesgo está dominado por cuestiones de datos e infraestructura obtienen más palanca de compra de la 27001. Las empresas de productos puramente de IA con clientes sensibles a la gobernanza específica de IA (banca regulada, sanidad, sector público) deberían priorizar la 42001.
¿Qué implicaciones tiene para los subencargados?
Ambas normas exigen controles formales de relaciones con proveedores. Bajo la 27001, el foco está en cláusulas de seguridad de la información en contratos y en evaluación del riesgo de proveedor. Bajo la 42001, el foco se amplía a subencargados específicos de IA, incluidos proveedores de modelos fundacionales, intermediarios de datos de entrenamiento y proveedores de fine-tuning, con cláusulas contractuales explícitas sobre origen de los datos de entrenamiento, retención, notificación de actualizaciones de modelo y notificación de incidentes de IA. Espere renegociar contratos con proveedores de IA durante un despliegue 42001.
¿Cuánto cuesta la vigilancia anual para cada norma?
Las auditorías de vigilancia anual cuestan típicamente entre el 30 y el 50 por ciento de los honorarios iniciales de Etapa 1 más Etapa 2. Para una organización mid-market eso supone aproximadamente entre 4 y 12 mil euros por norma y año, con la recertificación en el año tres más cerca del coste original de Etapa 2. Las auditorías integradas sobre ambas normas reducen el coste de vigilancia combinado entre un 15 y un 25 por ciento.
¿Vale la pena buscar ISO 42001 antes de que se publiquen las normas armonizadas?
Sí, para la mayoría de las organizaciones reguladas que despliegan IA. El certificado ya es creíble en compras corporativas, es la base de evidencia más defendible para la evaluación de conformidad con el Reglamento de IA bajo el Anexo VI, y el trabajo documental posiciona a la organización para las normas armonizadas cuando aparezcan. Esperar conlleva el riesgo de que la capacidad de auditoría se estreche aún más cuando lleguen las referencias armonizadas.
¿La 42001 sustituye a los marcos de privacidad o seguridad?
No. ISO 42001 se sitúa encima, no en lugar de, ISO 27001, ISO 27701 (privacidad) y los marcos sectoriales. Asume un SGSI funcional debajo. Las organizaciones que intentan usar la 42001 como sustituto de la garantía de seguridad y privacidad producen evidencia débil y suelen no superar la diligencia de compras corporativas.
Impetora

¿Listo para definir su proyecto? Envíe un resumen breve - respondemos en un día hábil.

Fuentes citadas

Fuentes citadas (8) - mostrar
  1. ISO/IEC 42001:2023 Tecnología de la información. Inteligencia artificial. Sistema de gestión. Organización Internacional de Normalización, 2023-12. https://www.iso.org/standard/81230.html
  2. ISO/IEC 27001:2022 Sistemas de gestión de seguridad de la información. Requisitos. Organización Internacional de Normalización, 2022-10. https://www.iso.org/standard/27001
  3. IAF MD 22:2023 Aplicación de ISO/IEC 17021-1 para la certificación de sistemas de gestión de IA. International Accreditation Forum, 2024-04. https://iaf.nu/iaf_system/uploads/documents/IAF_MD_22_AIMS.pdf
  4. Reglamento (UE) 2024/1689 (Reglamento de Inteligencia Artificial). Unión Europea, Diario Oficial, 2024-07-12. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
  5. Marco de gestión de riesgos de IA: perfil de IA generativa (NIST.AI.600-1). National Institute of Standards and Technology, 2024-07. https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.600-1.pdf
  6. BSI lanza la certificación ISO/IEC 42001 para sistemas de gestión de IA. BSI Group, 2024-02. https://www.bsigroup.com/en-GB/iso-42001-ai-management-system/
  7. DNV anuncia servicios de certificación ISO/IEC 42001. DNV, 2024-05. https://www.dnv.com/services/iso-iec-42001-ai-management-system-certification/
  8. Marco de gestión de riesgos de IA (AI RMF 1.0). National Institute of Standards and Technology, 2023-01. https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.100-1.pdf
Sobre Impetora
Impetora diseña, construye y despliega sistemas de inteligencia artificial a medida para empresas en sectores regulados. Operamos desde Vilnius y trabajamos en cinco idiomas.
Llamada de descubrimiento

Reserva una llamada de descubrimiento

Cuéntanos qué quieres construir. Respondemos en un día hábil.

Llamada de 30 minutos. Gratis. Sin compromiso.