Cumplimiento normativo
Si tu organización usa o desarrolla inteligencia artificial, ISO 42001 es la norma que te ayuda a gobernarla con cabeza: transparencia, supervisión humana, gestión del riesgo y rendición de cuentas. Te implantamos el sistema de gestión de IA y te preparamos para la certificación.
Auditores jefe de ISO 42001 e ISO 27001 (CISA, CISSP, CISM), con experiencia en gobierno de la IA.
Qué es
ISO 42001 es la primera norma internacional certificable para sistemas de gestión de inteligencia artificial. Sigue la misma estructura que ISO 27001, así que define cómo gestionar la IA de forma responsable: con políticas, evaluación de riesgos, supervisión humana y mejora continua. No regula un sistema concreto, sino cómo tu organización gobierna toda su IA.
A diferencia de un código de buenas prácticas, ISO 42001 se certifica con un organismo acreditado mediante una auditoría de dos etapas, igual que la ISO 27001. El certificado demuestra ante terceros que gobiernas tu IA con rigor.
La gobernanza de la IA se está volviendo un requisito comercial: cada vez más clientes preguntan en sus procesos de compra si estás certificado en ISO 42001 o implementándola, igual que pasó con la ISO 27001.
El Reglamento Europeo de IA es de obligado cumplimiento; ISO 42001 no lo sustituye, pero cubre buena parte de su gobernanza y te deja gran parte del camino hecho para cumplirlo.
A quién le sirve
ISO 42001 sirve a cualquier organización que use, desarrolle o integre inteligencia artificial y quiera demostrar que lo hace de forma responsable. No importa si construyes modelos propios o si usas IA de terceros: lo que se gobierna es tu uso.
Construyes modelos, productos o servicios con inteligencia artificial y quieres demostrar que los diseñas con control y transparencia.
Integras IA de proveedores en tus procesos o decisiones y necesitas gobernar ese uso, sus riesgos y su supervisión.
Tus clientes o tu sector empiezan a exigir garantías de gobernanza de la IA, y quieres adelantarte con un certificado reconocido.
El marco
ISO 42001 se organiza en cláusulas de requisitos y un anexo de controles. Los controles abordan los puntos donde la IA necesita gobierno, y los adaptas a tu contexto en lugar de aplicarlos todos a ciegas.
Calidad, origen y protección de los datos con los que se entrena y opera la IA. Sin datos fiables no hay IA fiable.
Poder explicar qué hace cada sistema de IA y cómo llega a sus decisiones, para que no sea una caja negra.
Que una persona pueda intervenir, revisar y revertir lo que decide la IA cuando haga falta.
Roles y responsabilidades claros sobre cada sistema, con trazabilidad de quién decide qué.
La norma no te dice qué IA puedes usar, sino que te obliga a saber qué usas, para qué, con qué riesgos y quién responde. Ese cambio de cultura es la mayor parte del trabajo.
Servicio
Inventario de sistemas de IA: qué inteligencia artificial usas o desarrollas, propia o de terceros, y para qué.
Análisis de brechas frente a los requisitos de la norma y a los controles del Anexo A, para ver la distancia real.
Evaluación de riesgos e impactos de tus sistemas de IA, incluida la repercusión sobre las personas.
Sistema de gestión de IA: políticas, procesos, supervisión humana y los controles del Anexo A que apliquen.
Integración con tu ISO 27001: si ya tienes un SGSI, montamos la IA encima sin duplicar lo que ya funciona.
Acompañamiento en la certificación: te preparamos para la auditoría de dos etapas y el cierre de hallazgos.
Método
Identificamos tus sistemas de IA y medimos la distancia frente a la norma y sus controles.
Hoja de ruta priorizada por riesgo, aprovechando lo que ya tengas de ISO 27001.
Sistema de gestión, evaluación de riesgos e impactos, supervisión humana y controles del Anexo A.
Te acompañamos en la auditoría de dos etapas y en el cierre de hallazgos hasta el certificado.
Sinergias
Las tres encajan. ISO 42001 comparte estructura con ISO 27001, así que si ya tienes un SGSI gran parte del sistema de gestión está hecho y solo añades la capa de IA, sin duplicar. Y como el Reglamento Europeo de IA exige gobernanza, la norma te deja buena parte del camino preparado: no sustituye al AI Act, pero cubre sus puntos de gestión de riesgo, datos, transparencia y supervisión humana. Y para verificar que esos controles aguantan en la práctica, está nuestro pentest de IA y LLM, que pone el sistema a prueba de verdad.
Lo que nos diferencia: somos auditores jefe de ISO 42001 y de ISO 27001, así que entendemos las tres piezas a la vez y las montamos como un solo sistema coherente. Sabemos qué evidencia pedirá el auditor porque trabajamos con esa lógica cada día.
Dudas
Es la primera norma internacional certificable para sistemas de gestión de inteligencia artificial. Define cómo una organización gobierna su IA de forma responsable: políticas, evaluación de riesgos, supervisión humana, transparencia y mejora continua. Sigue la misma estructura que ISO 27001, así que no regula un sistema de IA concreto, sino la forma en que tu organización gestiona toda su inteligencia artificial.
No. El AI Act es una ley europea de obligado cumplimiento con sanciones; ISO 42001 es una norma voluntaria y certificable. No son lo mismo, pero se llevan muy bien: la norma cubre buena parte de la gobernanza que el AI Act exige, así que implantarla te deja gran parte del camino hecho. Eso sí, ISO 42001 no basta por sí sola para cumplir el AI Act en sistemas de alto riesgo, que tienen obligaciones propias.
Sí, y es un caso muy habitual. Lo que ISO 42001 gobierna es tu uso de la IA, no quién la fabrica. Si tomas decisiones con herramientas de inteligencia artificial de proveedores, integras modelos en tus procesos o usas asistentes de IA, la norma te ayuda a controlar esos usos, sus riesgos y su supervisión. No hace falta que construyas modelos propios.
Mucho. ISO 42001 comparte estructura con la ISO 27001, así que si ya tienes un sistema de gestión de seguridad gran parte del trabajo está hecho: la gobernanza, los roles, la evaluación de riesgos y la mejora continua se reaprovechan. Montamos la capa de IA encima sin duplicar, lo que reduce el esfuerzo y la carga de auditoría.
No, ISO 42001 es voluntaria y no tiene sanciones por sí misma. Pero se está convirtiendo en un requisito de mercado: cada vez más clientes la piden en sus procesos de compra como prueba de que gobiernas tu IA con rigor. Adelantarse es una ventaja competitiva, igual que lo fue con la ISO 27001.
Depende del tamaño de tu organización, de cuánta IA uses y de si ya tienes un sistema de gestión como la ISO 27001 sobre el que apoyarte. Lo que más influye en el plazo es el punto de partida: si ya gobiernas tu seguridad con rigor, la capa de IA se monta mucho antes. En la primera conversación miramos tu caso y te damos una estimación realista, sin sorpresas a mitad de camino.
Como en otras normas ISO, la concede un organismo acreditado mediante una auditoría de dos etapas: primero revisa el diseño de tu sistema de gestión y luego comprueba que está implantado y funciona. Si la superas, obtienes el certificado. Nosotros te dejamos preparado para ese proceso y te acompañamos en el cierre de hallazgos.
¿Hablamos?
Cuéntanos qué inteligencia artificial usas o desarrollas y en qué punto estás. En una primera conversación te decimos qué te separa del certificado y cómo encaja con el AI Act.
Ponte en contacto