ISO 42001 vs NIST AI RMF: cómo elegir tu framework de AI Governance
Si pasas el día sentado frente a la decisión de "¿ISO 42001 o NIST AI RMF?", tengo una mala noticia y otra buena. La mala: la pregunta está mal planteada, son herramientas diferentes. La buena: cuando entiendes qué hace cada una, la elección se vuelve obvia, y muchas veces la respuesta es "ambas, pero por orden".
Qué es cada framework, en una línea
ISO/IEC 42001:2023 es un estándar internacional certificable que define los requisitos de un sistema de gestión de IA (AIMS, Artificial Intelligence Management System). Sigue el patrón clásico de Annex SL, igual que ISO 27001 o ISO 9001: contexto, liderazgo, planificación, soporte, operación, evaluación del desempeño y mejora.
NIST AI RMF (Risk Management Framework, publicado por el National Institute of Standards and Technology de Estados Unidos en 2023) es un marco voluntario, orientado a la gestión de riesgos del ciclo de vida de la IA. Se articula en cuatro funciones —Govern, Map, Measure, Manage— que son adaptables a la madurez y contexto de cada organización.
La diferencia esencial: ISO 42001 te dice cómo organizarte para gestionar IA de forma sistemática y auditable; NIST AI RMF te ayuda a identificar y tratar los riesgos de los sistemas concretos. Uno es de gobierno organizativo; el otro, de evaluación de riesgo.
Tabla comparativa rápida
| Dimensión | ISO/IEC 42001 | NIST AI RMF |
|---|---|---|
| Naturaleza | Estándar formal, certificable | Marco voluntario, no certificable |
| Origen | ISO/IEC (internacional) | NIST (Estados Unidos) |
| Estructura | Cláusulas 4–10 (Annex SL) + Anexo A controles | 4 funciones: Govern, Map, Measure, Manage |
| Foco | Gestión organizativa del ciclo de vida | Riesgos de sistemas concretos |
| Auditoría externa | Sí, bajo ISO/IEC 42006:2025 | No prevista |
| Esfuerzo de implementación | Alto (6–18 meses con certificación) | Adaptable (semanas a meses) |
| Uso para licitaciones / B2B | Muy alto | Bajo (referencia técnica) |
| Encaje con AI Act | Próximo a obligaciones del Reglamento | Compatible, complementario |
ISO/IEC 42001 al detalle
Publicado en diciembre de 2023, ISO 42001 es la primera norma internacional de sistemas de gestión específica para IA. La estructura sigue el patrón de Annex SL —el mismo que comparten ISO 27001, 9001 o 14001—, lo que facilita integrarla con sistemas de gestión preexistentes.
Además del cuerpo principal de cláusulas, incluye un Anexo A con un catálogo de controles aplicables al ciclo de vida de la IA: políticas de IA, recursos para sistemas de IA, evaluación de impacto en sistemas de IA, gestión del ciclo de vida, datos, información para los interesados, uso de IA y relación con terceros. Cada organización selecciona y justifica los controles en una Statement of Applicability, exactamente igual que en ISO 27001.
La certificación se realiza por organismos acreditados que cumplan con BS ISO/IEC 42006:2025, la norma que regula los requisitos de competencia de los auditores de AIMS. Esta es una pieza importante: hasta que 42006 estuvo lista, las certificaciones de 42001 eran de transición. Ahora ya hay un proceso reglado y comparable entre certificadoras.
¿Cuándo elegir ISO 42001 como prioridad?
- Tu organización ya tiene certificada ISO 27001 (o ISO 9001) y quieres extender la madurez de gobierno a IA.
- Vendes a clientes que exigirán pronto certificación de governance de IA en sus due diligence (banca, salud, sector público, gran corporación europea).
- Necesitas demostrar conformidad alineada con el AI Act ante reguladores europeos o socios comerciales.
- Tu equipo tiene madurez en sistemas de gestión y los procesos PDCA no son nuevos para ti.
NIST AI RMF al detalle
NIST AI RMF se estructura en cuatro funciones que el equipo aplica a cada sistema de IA:
- Govern: políticas, roles, accountability y cultura. Es la única función que es organizativa, no de sistema. Se hace una vez y se mantiene.
- Map: contextualizar el sistema. Caso de uso, partes interesadas, jurisdicciones, tipologías de datos, impactos potenciales. Aquí es donde más empresas descubren riesgos que no habían pensado.
- Measure: análisis cuantitativo y cualitativo de riesgos identificados. Métricas de fairness, robustez, explicabilidad, privacidad, seguridad. La parte más técnica.
- Manage: priorización, mitigación, monitorización continua y respuesta a incidentes. Cierra el bucle.
NIST publica además el NIST AI RMF Generative AI Profile (julio de 2024), que adapta el marco para los riesgos específicos de modelos generativos: alucinaciones, toxicidad, contenido sintético, infracciones de propiedad intelectual, leaks de datos sensibles, etc. Es un documento de referencia muy útil para equipos que están desplegando GenAI internamente.
¿Cuándo elegir NIST AI RMF como prioridad?
- Estás empezando a estructurar el programa de IA y necesitas un esquema flexible y rápido de aplicar.
- Trabajas con clientes en EE. UU. donde la referencia es NIST por defecto.
- Quieres una guía detallada para evaluar riesgos de sistemas concretos, no para certificar la organización.
- Tu organización es pequeña o mediana y la sobrecarga documental de un sistema de gestión ISO sería desproporcionada hoy.
El error frecuente: tratarlas como alternativas excluyentes
ISO 42001 y NIST AI RMF no compiten. Operan a distintos niveles:
ISO 42001 te da el chasis y los procedimientos. NIST AI RMF te da el método para evaluar cada sistema que metes en ese chasis.
De hecho, si lees con calma la cláusula 6.1 de ISO 42001 (acciones para abordar riesgos y oportunidades) y el Anexo A.6 (impact assessment), verás que el estándar te exige un proceso de evaluación de riesgos pero no te dice cómo hacerlo. NIST AI RMF rellena precisamente ese hueco.
El camino híbrido recomendado
Para una organización que parte de cero y quiere llegar a un programa de AI Governance maduro, el camino que mejor ratio esfuerzo/valor da es este:
Fase 1 — Arrancar con NIST AI RMF (3–6 meses)
Adopta NIST AI RMF como marco de evaluación de riesgos para los primeros sistemas críticos. Aplica las cuatro funciones a cada sistema y documenta los hallazgos. En paralelo, monta una gobernanza ligera: un comité o un AI lead, una política de uso aceptable de IA, y un canal para incidentes y consultas. En esta fase ya empiezas a generar artefactos (registros, métricas, informes) que después serán evidencia de cumplimiento.
Fase 2 — Formalizar como AIMS hacia ISO 42001 (6–12 meses adicionales)
Cuando ya tienes 5–10 sistemas evaluados, la organización tiene madurez para soportar un sistema de gestión formal. Aquí entra ISO 42001: tomas todos los artefactos de la fase 1 y los engarzas en la estructura Annex SL. La gap analysis suele revelar que ya cumples gran parte de los requisitos —especialmente si tienes ISO 27001—, y la mayor parte del esfuerzo queda en la documentación formal y en el ciclo de auditorías internas.
Fase 3 — Certificación (3–6 meses adicionales)
Auditoría de etapa 1 (revisión documental), etapa 2 (verificación operativa) y, si todo está en orden, certificación. Recertificación cada tres años, vigilancia anual.
Encaje con el AI Act y otras normativas
ISO 42001 no es lo mismo que cumplir el AI Act, pero los solapamientos son enormes. Los controles del Anexo A cubren obligaciones de los arts. 9 (gestión de riesgos), 10 (gobierno de datos), 11 (documentación técnica) y 14 (supervisión humana) del Reglamento. Por su parte, NIST AI RMF se alinea conceptualmente con la lógica de gestión de riesgos que el AI Act exige para sistemas de alto riesgo.
La estrategia inteligente es construir un único cuerpo documental que cubra los tres ejes: AI Act como obligación legal, ISO 42001 como sistema de gestión auditable y NIST AI RMF como metodología de evaluación de riesgos. Y conectarlo, donde aplique, con ISO 27001 (seguridad de la información), ISO 27701 (privacidad) y el RGPD.
Conclusión práctica
Si tu pregunta era "¿cuál implemento primero?", la respuesta depende de tu punto de partida. Si vienes de cero y quieres velocidad: NIST AI RMF. Si ya tienes ISO 27001 y vendes a empresas europeas: ISO 42001 directo. Si tienes recursos para ambas: las dos en cascada con el camino híbrido descrito arriba.
Lo que sí no funciona es elegir y olvidarse de la otra. En 2026, el mercado de AI Governance está convergiendo hacia un estándar híbrido donde ambas conviven. Mejor adoptarlas con intención que tropezarse con ellas en una due diligence.