El AI Risk Management Framework 1.0 del NIST, publicado en enero de 2023, es el marco voluntario más usado en EE. UU. para gestionar riesgos de IA. Aunque no es ley europea, su estructura se ha convertido en referencia de facto para empresas que operan a ambos lados del Atlántico. Su mapeo con la Ley de IA de la UE y la ISO/IEC 42001 es directo.
El AI RMF organiza la gestión en cuatro funciones. Govern: cultura, políticas, roles, recursos. Map: contexto, casos de uso, partes interesadas, riesgos. Measure: métricas, métodos, herramientas para evaluar el riesgo. Manage: priorizar, asignar recursos, responder, monitorizar. Cada función tiene categorías y subcategorías que detallan controles concretos.
El marco se complementa con un Generative AI Profile (julio 2024) que adapta las cuatro funciones a riesgos específicos de IA generativa: alucinación, fundamentación, infraestructura, propiedad intelectual, integridad informativa. Para empresas que despliegan IA generativa, el profile es lectura obligada.
Tres razones operativas. Primera, el AI RMF es un vocabulario común con clientes y proveedores estadounidenses, lo que reduce fricción en procurement. Segunda, la estructura Govern-Map-Measure-Manage encaja como capa de gestión sobre los procesos europeos (RGPD, Ley de IA, DORA), sin sustituirlos. Tercera, los crosswalks publicados por NIST con ISO 42001 facilitan que el mismo trabajo cuente en dos certificaciones.
El AI RMF no certifica. Sirve como guía interna, no como sello externo. Por eso conviene combinarlo: AI RMF como estructura de programa, ISO 42001 como certificación auditable, Ley de IA como marco regulatorio.
La función Govern del NIST cubre la cláusula 5 de ISO 42001 (liderazgo) y los artículos 17 (sistema de gestión de calidad) y 26 (obligaciones del desplegador) de la Ley de IA. La función Map cubre las cláusulas 4 y 6 de la 42001 (contexto y planificación) y los artículos 9 (gestión de riesgos) y 10 (datos) de la Ley.
La función Measure cubre la cláusula 9 de la 42001 (evaluación de desempeño) y el artículo 15 de la Ley (precisión, robustez). La función Manage cubre las cláusulas 8 (operación) y 10 (mejora) de la 42001 y los artículos 12 (registros), 14 (supervisión humana) y 72 (monitorización post-mercado) de la Ley.
Cinco pasos para una empresa mediana. Inventario de sistemas con clasificación inicial de riesgo. Mapping de controles existentes contra las cuatro funciones del AI RMF para identificar huecos. Sesiones cortas con dueños de procesos para completar el mapping. Plan de cierre de huecos priorizado por criticidad. Métricas de cumplimiento revisadas trimestralmente.
Para empresas con ISO 27001 ya operativa, el solapamiento facilita: gran parte de la función Govern y de la Manage está ya documentada. Para empresas sin marco previo, el AI RMF puede ser el punto de entrada más ligero antes de comprometerse con una certificación.
Ready to scope your project? Submit a short brief and we reply within one business day.
Cuéntanos qué quieres construir. Respondemos en un día hábil.