NIST AI RMF — el estándar de facto
Voluntario, pero esperado de los contratistas federales e incorporado a marcos sectoriales (p. ej., el conjunto de controles del Tesoro para finanzas).
ISO/IEC 42001 por región
No existe una única ley federal sobre IA. Las organizaciones estadounidenses navegan el NIST AI RMF voluntario como estándar de facto, un mosaico de leyes estatales que cambia con rapidez, la aplicación de la FTC contra las afirmaciones exageradas sobre IA y las exigencias de contratación. ISO/IEC 42001 es la capa internacional certificable que se mapea a NIST y viaja por todos los estados.
El panorama regulatorio
A fecha de 2026 no existe una ley federal integral sobre IA. La política federal se apoya en el voluntario NIST AI Risk Management Framework —hoy el estándar operativo de facto, e incorporado a las expectativas para contratistas federales y del Tesoro en servicios financieros—, mientras que los estados legislan por separado. California (SB 53, AB 2013, SB 942, desde enero de 2026), Texas (TRAIGA), la nueva ley de decisiones automatizadas de Colorado (desde enero de 2027, tras la derogación de la ley de IA original), la Local Law 144 de Nueva York y Utah imponen todos deberes que se solapan. La FTC persigue el "AI-washing" al amparo de la Sección 5 con independencia del gobierno de turno.
Qué lo impulsa
Voluntario, pero esperado de los contratistas federales e incorporado a marcos sectoriales (p. ej., el conjunto de controles del Tesoro para finanzas).
California, Texas, Colorado (ley de decisiones automatizadas, 2027), Illinois, la Local Law 144 de Nueva York y Utah: normas distintas, obligaciones que se solapan.
El "AI-washing" y las afirmaciones no fundamentadas sobre IA se persiguen al amparo de la Sección 5.
Los compradores y las agencias exigen cada vez más una gobernanza de IA demostrable y documentada.
Cómo encaja ISO/IEC 42001
El sistema de gestión de ISO/IEC 42001 operativiza las funciones govern–map–measure–manage de NIST con evidencia auditable y repetible.
Un único AIMS cubre los deberes estatales que se solapan —avisos al consumidor, revisión humana, documentación— en lugar de un esfuerzo estado por estado.
La validación y el seguimiento documentados respaldan las afirmaciones sobre IA que escrutina la FTC.
Una credencial que clientes, socios y equipos de contratación ya entienden, a nivel internacional.
Preguntas
Porque el NIST AI RMF ya es la expectativa de facto, los estados legislan activamente, la FTC actúa contra las afirmaciones exageradas y los compradores exigen pruebas. ISO/IEC 42001 es el sistema certificable que satisface todo esto y se mapea a NIST.
Son complementarios. NIST es un marco de riesgo voluntario; ISO/IEC 42001 es un sistema de gestión certificable que lo operativiza y evidencia. Muchas organizaciones estadounidenses usan ambos: NIST para el método de riesgo, ISO/IEC 42001 para el sistema auditable y el certificado.
Hay esfuerzos de preemption federal, pero las leyes estatales existentes siguen siendo exigibles salvo que se anulen en los tribunales. Un enfoque de sistema de gestión es la cobertura resiliente frente a un panorama cambiante.
Relacionado
El kit operativiza la gobernanza alineada con NIST en un sistema de gestión auditable y certificable, listo para adaptarse a tus sistemas de IA y estados de operación.