El NIST AI Risk Management Framework (AI RMF 1.0), publicado por el instituto de estándares de EE. UU., es voluntario y no certificable — a diferencia de ISO 42001, que sí lo es. Su valor no está en el sello, sino en que ofrece un vocabulario común y un proceso operativo para gestionar riesgo de IA que se puede aplicar en paralelo a las obligaciones legales del AI Act, sin reinventar procesos desde cero.
Las 4 funciones del framework
1. Govern (Gobernar)
Es la función transversal: cultura organizativa, políticas, roles y responsabilidades sobre IA. Aquí se decide quién es responsable de qué — el mismo terreno que cubre un RACI de Data Governance bien hecho. Govern no es un paso puntual, es la base que sostiene las otras tres funciones.
2. Map (Mapear)
Consiste en identificar el contexto: qué sistemas de IA tiene la organización, para qué se usan, quién los usa y qué impacto podrían tener si fallan. Es conceptualmente el mismo ejercicio que exige el AI Act para clasificar sistemas como de alto riesgo — si ya hiciste ese inventario, gran parte del trabajo de Map ya está hecho.
3. Measure (Medir)
Aquí se evalúan los riesgos identificados con métricas concretas: precisión, sesgo, robustez, explicabilidad. Conecta directamente con todo lo que cubrimos en data quality management — sin datos de calidad medida, no hay manera fiable de medir el riesgo del sistema que los consume.
4. Manage (Gestionar)
La función de acción: priorizar riesgos, asignar recursos, mitigar y documentar. Es donde el marco se convierte en decisiones reales — qué sistema se pausa, cuál se corrige, cuál se despliega igualmente con controles adicionales.
NIST AI RMF vs AI Act: ¿hace falta elegir?
No. El AI Act es una obligación legal en la UE; el NIST AI RMF es un marco de gestión de riesgo voluntario. Muchas organizaciones europeas con presencia en EE. UU. usan el NIST AI RMF como capa operativa interna y el AI Act como el conjunto de requisitos legales mínimos que esa capa debe satisfacer. En la práctica, el trabajo de Govern y Map del NIST AI RMF se solapa en gran medida con la gobernanza de datos que ya exige el Art. 10 del AI Act.
Errores comunes al adoptarlo
- Tratarlo como checklist en vez de proceso continuo — las 4 funciones se repiten en ciclos, no se completan una vez.
- Empezar por Measure sin haber hecho Map: medir el riesgo de sistemas que ni siquiera están inventariados.
- Confundirlo con una certificación: no existe "certificación NIST AI RMF" — quien lo ofrece como tal está vendiendo humo.
Si dudas entre invertir tiempo en NIST AI RMF o en ISO 42001, la comparativa completa está en ISO 42001 vs NIST AI RMF: cómo elegir tu framework.