La pregunta que recibo más en estos meses: "¿Mi organización necesita ISO 42001 o NIST AI RMF?" La respuesta corta es: los dos sirven, pero responden preguntas diferentes. Conviene entender qué hace cada uno.
ISO 42001:2023 · norma certificable
ISO/IEC 42001:2023 es una norma de sistema de gestión. Sigue la estructura HLS común a 9001, 14001, 27001 · cláusulas 4-10 con contexto, liderazgo, planificación, soporte, operación, evaluación, mejora. Es certificable por terceros.
Lo que ISO 42001 establece: una organización que adopta IA debe gestionar ese sistema con política, roles, evaluación de riesgo, controles documentados, monitoreo continuo, auditoría interna, mejora. Es marco organizacional.
NIST AI RMF · marco voluntario operativo
NIST AI Risk Management Framework (versión 1.0 publicada en enero 2023) es un marco voluntario. No es certificable. Da guidance técnica detallada sobre cómo identificar, evaluar, monitorear y comunicar riesgos de sistemas de IA durante su ciclo de vida.
Lo que NIST AI RMF aporta: 4 funciones core (Govern, Map, Measure, Manage) con 19 categorías y 72 subcategorías de acciones específicas. Es marco operativo.
Comparativa práctica
| Dimensión | ISO 42001 | NIST AI RMF |
|---|---|---|
| Tipo | Norma de sistema gestión | Marco voluntario |
| Certificable | Sí (esquema en desarrollo) | No (uso voluntario) |
| Origen | ISO/IEC internacional | NIST · USA |
| Granularidad | Alta (organizacional) | Muy alta (operativa) |
| Auditoría | Por OEC tercero | Self-assessment |
| Demanda | Compradores globales | Compradores USA · regulatorio |
La estrategia recomendada
En las organizaciones que asesoramos vemos que la combinación funciona mejor:
- ISO 42001 como columna vertebral · marco organizacional certificable que da estructura de gobernanza y permite mostrar a clientes y compradores que hay un sistema gestionado.
- NIST AI RMF como detalle operativo · usar las 4 funciones (Govern, Map, Measure, Manage) para llenar las cláusulas operativas de 42001 con metodología técnica robusta.
- EU AI Act como filtro regulatorio · si la organización vende a Europa, los requisitos del AI Act se mapean sobre los controles de ISO 42001.
"42001 te da la forma del sistema. NIST te dice cómo medir lo que el sistema produce. EU AI Act te dice qué no podés hacer. Los tres juntos son una arquitectura completa · uno solo es media casa."
Implicaciones para auditores
El auditor que se forme solo en ISO 42001 va a poder auditar la estructura del sistema. El que se forme en ambos va a poder auditar también la calidad técnica de los controles. La diferencia entre uno y otro es exactamente la diferencia entre auditor interno y auditor líder en este dominio.
Por eso en el Diplomado F-DE Especialista ISO 42001 cubrimos ambos marcos integradamente · no como temas separados sino como capas de la misma arquitectura.
Hacia 2028
Mi expectativa: ISO 42001 se consolida como norma de mercado en los próximos 24 meses. NIST AI RMF se vuelve la metodología operativa estándar que las consultoras adoptan. EU AI Act marca el piso regulatorio mínimo en mercados europeos. Quien hoy invierta en formación seria en esta intersección estará posicionado en el segmento técnico más demandado de la auditoría 2026-2030.