Qué es cada uno
Sistema de Gestión de IA — certificable
Estándar internacional que establece requisitos para que las organizaciones gestionen la IA responsablemente. Aplica a quien desarrolla, provee o usa sistemas de IA en cualquier país. Certificable por tercera parte acreditada.
Marco de gestión de riesgos de IA — voluntario
Marco publicado por el Instituto Nacional de Estándares y Tecnología (NIST) del Departamento de Comercio de EEUU. Es voluntario, no certificable, y orientado a organizaciones que operan en el mercado estadounidense o trabajan con el gobierno federal de EEUU.
Las 4 funciones del NIST AI RMF
El núcleo del NIST AI RMF se organiza en cuatro funciones que cubren el ciclo completo de gestión de riesgos de IA. GOVERN es transversal a las demás — sin gobernanza, las otras tres funciones no tienen estructura.
Cultiva una cultura de gestión de riesgos. Define políticas, roles, responsabilidades y procesos organizacionales para la IA.
Establece el contexto y categoriza los sistemas de IA. Identifica riesgos, impactos y beneficios potenciales antes de desplegar.
Analiza y evalúa los riesgos identificados en MAP. Incluye métricas de confiabilidad, sesgo, seguridad, privacidad y explicabilidad.
Prioriza y responde a los riesgos medidos. Define planes de tratamiento, respuesta a incidentes y mejora continua.
ISO 42001
NIST AI RMF
confiable — compartidas
Comparativa punto a punto
| Dimensión | ISO/IEC 42001:2023 | NIST AI RMF 1.0 |
|---|---|---|
| Naturaleza | Estándar internacional normativo — tiene requisitos obligatorios (shall) que deben cumplirse para la certificación | Marco voluntario de orientación — proporciona outcomes y acciones recomendadas, no requisitos obligatorios |
| Certificación | Sí — certificable por organismo acreditado (BSI, Bureau Veritas, SGS, etc.). La certificación es reconocida globalmente | No — no existe certificación oficial del NIST AI RMF. Algunas organizaciones hacen autoevaluaciones o evaluaciones de terceros informales |
| Ámbito geográfico | Global — publicado por ISO, adoptado internacionalmente. Colombia lo adoptó como NTC-ISO/IEC 42001:2023 | Principalmente EEUU — aunque el NIST lo diseñó para ser compatible con estándares internacionales y es adoptado voluntariamente fuera de EEUU |
| Estructura | High Level Structure (HLS) — Cláusulas 4–10 + Anexos A, B, C, D. Compatible con ISO 27001, ISO 9001 | Core de 4 funciones (GOVERN, MAP, MEASURE, MANAGE) + categorías y subcategorías + Perfiles + Playbook |
| Enfoque principal | Sistema de gestión organizacional: gobernanza, políticas, evaluación de riesgos e impactos, ciclo de vida del AIMS | Gestión práctica de riesgos técnicos y organizacionales del sistema de IA — más orientado a equipos de desarrollo y operaciones |
| Evaluación de impacto | Requiere evaluación de impacto del sistema de IA en personas y sociedad (Cláusula 6.1.4) — requisito normativo | MAP 5 aborda impactos en individuos, grupos y sociedad — como outcome recomendado, no como requisito obligatorio |
| Supervisión humana | Control organizacional explícito (Anexo A.6.1.5) — requiere mecanismos documentados de supervisión | MAP 3.5 y GOVERN 3.2 abordan supervisión humana — como categoría de buenas prácticas |
| Gestión de terceros | Cláusula 8.4 + Anexo A.10 — requisitos para proveedores externos de IA | MAP 4 y MANAGE 3 — categorías para mapear y gestionar riesgos de componentes y modelos de terceros |
| Diversidad e inclusión | Mencionado en contexto de impacto en grupos vulnerables y evaluación de sesgos | GOVERN 3 dedicado exclusivamente a diversidad, equidad e inclusión en la gestión de riesgos — más desarrollado que en ISO 42001 |
| Actualización | Versión 2023 — ciclo de revisión ISO (típicamente cada 5 años) | Versión 1.0 (enero 2023) — diseñado como "documento vivo" con actualizaciones frecuentes vía NIST y comunidad |
| Relación con EU AI Act | Mencionado explícitamente como herramienta de conformidad con regulaciones de IA | Diseñado para ser agnóstico a regulaciones — compatible pero no vinculado explícitamente al EU AI Act |
Correspondencia entre los dos marcos
El NIST reconoce explícitamente en el AI RMF 1.0 que sus funciones se alinean con estándares internacionales, incluyendo ISO 42001. Esta tabla muestra las correspondencias principales.
| ISO 42001 | NIST AI RMF equivalente | Diferencia clave |
|---|---|---|
| Cláusula 5 — Liderazgo y política de IA | GOVERN 1, GOVERN 2, GOVERN 4 — cultura de riesgo, responsabilidades, liderazgo ejecutivo | ISO 42001 exige política documentada y aprobada; NIST lo recomienda |
| Cláusula 6.1 — Evaluación de riesgos e impactos | MAP 1, MAP 5 — contexto, impactos en individuos y sociedad | ISO 42001 requiere evaluación formal documentada; NIST la orienta como outcome |
| Cláusula 8 — Operación y ciclo de vida del AIMS | MAP 2, MAP 3 — categorización del sistema, capacidades y beneficios | ISO 42001 integra el ciclo de vida en el sistema de gestión; NIST lo aborda como mapping contextual |
| Cláusula 9.1 — Seguimiento y medición | MEASURE 1–4 — métricas de confiabilidad, sesgo, seguridad, privacidad, explicabilidad | NIST AI RMF es más detallado en métricas técnicas de medición; ISO 42001 define el proceso de seguimiento |
| Cláusula 10 — Mejora continua y NC | MANAGE 1–4 — priorización, respuesta, recuperación y mejora | ISO 42001 requiere gestión formal de No Conformidades con acciones correctivas documentadas |
| Anexo A.7 — Datos para sistemas de IA | MAP 2.3, MEASURE 2.10–2.11 — integridad científica, privacidad, sesgo | Ambos abordan calidad de datos; ISO 42001 requiere documentación de procedencia y preparación |
Por qué implementar los dos tiene sentido
ISO 42001 y el NIST AI RMF no son excluyentes — se diseñaron para ser compatibles. Una organización que implementa ISO 42001 ya cubre la mayoría de los outcomes del NIST AI RMF como efecto secundario. La diferencia es que ISO 42001 produce evidencia auditable y certificable; el NIST AI RMF produce un lenguaje común con socios y clientes del mercado estadounidense.
Para empresas colombianas con clientes en EEUU, la combinación práctica es: certificarse en ISO 42001 (credencial global) y mapear esa implementación contra el NIST AI RMF para comunicarla en el lenguaje que el mercado norteamericano entiende. No es doble trabajo — es la misma gobernanza presentada en dos idiomas regulatorios.
¿Aplica el NIST AI RMF a empresas colombianas?
Cuándo importa en Colombia y LATAM
El NIST AI RMF no es obligatorio para ninguna empresa fuera de EEUU. Pero hay tres escenarios donde sí importa directamente para una organización colombiana:
1. Clientes o contratos con el gobierno federal de EEUU. Varias agencias federales están adoptando el NIST AI RMF como estándar de referencia para evaluar a sus proveedores de tecnología. Si su empresa provee software o servicios de IA a entidades del gobierno de EEUU, familiarizarse con el marco es relevante.
2. Socios o casa matriz en EEUU. Empresas norteamericanas que exigen a sus subsidiarias o proveedores demostrar gobernanza de IA pueden referenciar el NIST AI RMF. Una implementación ISO 42001 documentada es la respuesta más sólida — y mapeable contra el RMF.
3. Expansión al mercado estadounidense. Si su empresa planea operar en EEUU, conocer el NIST AI RMF acelera la conversación con clientes institucionales, fondos de inversión y reguladores sectoriales norteamericanos.
Preguntas frecuentes
- ¿El NIST AI RMF va a convertirse en ley en EEUU?
- No en el corto plazo. A diferencia de la UE — que adoptó el EU AI Act como regulación obligatoria — EEUU ha optado históricamente por marcos voluntarios para tecnología. Sin embargo, algunas agencias federales lo están incorporando en sus requisitos de contratación, y varios estados están desarrollando legislación que referencia el RMF. El escenario más probable es que se convierta en estándar de facto en sectores regulados como salud, finanzas y defensa.
- ¿ISO 42001 es suficiente para operar en el mercado de EEUU?
- Para la mayoría de los casos, sí. ISO 42001 cubre los mismos principios y outcomes del NIST AI RMF con la ventaja adicional de ser certificable. La certificación ISO 42001 es reconocida internacionalmente y comunica un nivel de madurez en gobernanza de IA que cualquier cliente o socio norteamericano puede entender. En sectores altamente regulados (defensa, gobierno federal), puede ser útil complementarla con un mapeo explícito contra el RMF.
- ¿Qué diferencia hay entre el NIST AI RMF y el NIST Cybersecurity Framework?
- Son marcos distintos para riesgos distintos. El NIST Cybersecurity Framework (CSF) gestiona riesgos de ciberseguridad — ataques, vulnerabilidades, protección de sistemas. El NIST AI RMF gestiona riesgos específicos de la IA — sesgos, explicabilidad, impacto en personas, uso indebido, falta de supervisión humana. Una organización que ya implementó el CSF no tiene cubiertos los riesgos de IA — para eso necesita el AI RMF o, mejor aún, ISO 42001.
- ¿Hay un "Playbook" del NIST AI RMF y qué contiene?
- Sí. El NIST AI RMF Playbook es un recurso online complementario al marco principal. Detalla acciones tácticas sugeridas para cada subcategoría de las cuatro funciones. Las organizaciones pueden seleccionar las acciones relevantes para su contexto y contribuir sus propias prácticas. Es más práctico que el documento principal del RMF, pero sigue siendo orientativo — no prescriptivo ni auditable como ISO 42001.
¿Su organización necesita hablar el lenguaje del mercado estadounidense?
Iconoi implementa ISO 42001 y mapea la gobernanza contra el NIST AI RMF para que su empresa sea legible para clientes, socios e inversores en EEUU — sin duplicar el trabajo.
Hablar con un especialista Diagnóstico gratuito