KabeenKabeenIT Playbook
Découvrir Kabeen
Glossaire
IGlossaire

ISO 42001

Norma internacional que define los requisitos de un sistema de gestión de la inteligencia artificial (AIMS), publicada en diciembre de 2023.

La norma ISO/IEC 42001:2023, publicada en diciembre de 2023, define los requisitos de un sistema de gestión de la inteligencia artificial (AI Management System, AIMS). Es la primera norma certificable en el mundo dedicada a la gobernanza de la IA — el equivalente para la IA de lo que ISO 27001 es para la seguridad de la información o ISO 9001 para la calidad.

El desafío es doble: responder a las exigencias regulatorias emergentes (notablemente el AI Act europeo, en vigor desde 2024) y dar a las organizaciones un marco auditable para gobernar sus sistemas IA.

¿Para quién?

ISO 42001 se dirige a toda organización que desarrolle, despliegue o use sistemas IA:

  • Los editores SaaS que integran IA en sus productos.
  • Las grandes empresas que industrializan la IA generativa y los agentes IA.
  • Los organismos sometidos al AI Act (banca, salud, RH, educación, justicia).
  • Las ESN y consultorías que intervienen en proyectos IA.

Estructura de la norma

ISO 42001 retoma la estructura alta común a las normas ISO de gestión:

  • Contexto de la organización: .
  • Liderazgo: política IA, roles y responsabilidades.
  • Planificación: objetivos IA, evaluación de los riesgos y oportunidades.
  • Soporte: recursos, competencias, comunicación, documentación.
  • Realización operativa: diseño, desarrollo, despliegue, retiro de los sistemas IA.
  • Evaluación del rendimiento: .
  • Mejora: .

El anexo A detalla 38 controles organizados en 9 dominios.

ISO 42001 vs. AI Act

Los dos textos son complementarios:

  • El AI Act es un reglamento europeo vinculante que clasifica los sistemas IA por nivel de riesgo.
  • ISO 42001: es una norma voluntaria que proporciona el sistema de gestión.

Una organización certificada ISO 42001 dispone de una prueba estructurada de conformidad movilizable frente a las autoridades de control europeas.

Los beneficios de un proceso ISO 42001

  • Conformidad regulatoria: pruebas estructuradas para el AI Act, el RGPD, NIS2, DORA.
  • Confianza de los clientes: .
  • Control del riesgo: identificación sistemática de los riesgos IA (sesgos, alucinaciones, seguridad, derechos humanos).
  • Gobernanza interna: .
  • Lucha contra el [Shadow IA](/es/glossary/shadow-ai): .
  • Compatibilidad con otras normas: alineación con ISO 27001, ISO 9001, ISO 27701.

Implementar ISO 42001

El proceso se desarrolla en 6 a 12 meses para una organización de tamaño medio:

  1. Diagnóstico inicial: cartografiar los sistemas IA existentes (incluido Shadow IA).
  2. Política IA.
  3. Evaluación de los riesgos.
  4. Diseño de los controles.
  5. Documentación y formación.
  6. Auditorías internas.
  7. Certificación: auditoría por un organismo acreditado (Bureau Veritas, AFNOR, BSI, LRQA).

Inventario IA: requisito previo indispensable

Ningún proceso ISO 42001 es posible sin un inventario actualizado de los sistemas IA en uso en la organización — incluidos los usos no declarados. Kabeen revela automáticamente los usos GenAI, LLM y agentes IA en el SI.

Questions fréquentes

¿Qué es ISO 42001?

ISO/IEC 42001:2023 es la primera norma internacional certificable dedicada a la gobernanza de la inteligencia artificial. Publicada en diciembre de 2023, define los requisitos de un sistema de gestión de la IA (AIMS) que cubre estrategia, riesgo, conformidad, transparencia, despliegue y mejora continua. Es el equivalente IA de ISO 27001 para la seguridad o ISO 9001 para la calidad.

¿Diferencia entre ISO 42001 y el AI Act?

El AI Act es un reglamento europeo vinculante que clasifica los sistemas IA por nivel de riesgo (prohibido, alto riesgo, limitado, mínimo) e impone obligaciones específicas. ISO 42001 es una norma voluntaria que proporciona el sistema de gestión que permite responder a estas obligaciones. Los dos son complementarios: la certificación ISO 42001 es una prueba estructurada de conformidad movilizable frente a las autoridades europeas.

¿Quién está afectado por ISO 42001?

Toda organización que desarrolle, despliegue o use sistemas IA: editores SaaS integrando IA en sus productos, grandes empresas industrializando la GenAI y los agentes IA, organismos sometidos al AI Act (banca, salud, RH, educación, justicia), ESN y consultorías. Más ampliamente, toda organización que desee demostrar una gobernanza IA madura a sus clientes o reguladores.

¿Cómo prepararse a una certificación ISO 42001?

En seis etapas en 6 a 12 meses: (1) diagnóstico inicial con cartografía de los sistemas IA, incluido Shadow IA, (2) política IA y compromiso de la dirección, (3) evaluación de los riesgos por sistema, (4) despliegue de los 38 controles del anexo A, (5) documentación y formación, (6) auditorías internas luego certificación por un organismo acreditado. Un inventario IA actualizado es el requisito previo no negociable.