NIST AI RMF — o padrão de facto
Voluntário, mas esperado dos contratantes federais e integrado em frameworks setoriais (por exemplo, o conjunto de controlos do Tesouro para as finanças).
ISO/IEC 42001 por região
Não existe uma lei federal de IA única. As organizações dos EUA navegam pelo NIST AI RMF voluntário como padrão de facto, por um mosaico de leis estaduais em rápida evolução, pela fiscalização da FTC contra alegações de IA exageradas e por exigências de contratação. A ISO/IEC 42001 é a camada internacional certificável que se mapeia no NIST e viaja por todos os estados.
O panorama regulatório
Em 2026 não existe uma lei federal de IA abrangente. A política federal apoia-se no NIST AI Risk Management Framework voluntário — agora o padrão operacional de facto, e integrado nas expectativas para contratantes federais e nos serviços financeiros do Tesouro — enquanto os estados legislam separadamente. A Califórnia (SB 53, AB 2013, SB 942, a partir de janeiro de 2026), o Texas (TRAIGA), a nova lei de decisões automatizadas do Colorado (a partir de janeiro de 2027, depois de o AI Act original ter sido revogado), a Local Law 144 da cidade de Nova Iorque e Utah impõem, todos, deveres sobrepostos. A FTC persegue o "AI-washing" ao abrigo da Section 5 independentemente da administração.
O que está a impulsionar
Voluntário, mas esperado dos contratantes federais e integrado em frameworks setoriais (por exemplo, o conjunto de controlos do Tesouro para as finanças).
Califórnia, Texas, Colorado (lei de decisões automatizadas, 2027), Illinois, Local Law 144 de Nova Iorque e Utah — regras diferentes, obrigações sobrepostas.
O "AI-washing" e as alegações de IA não fundamentadas são perseguidos ao abrigo da autoridade da Section 5.
Compradores e agências exigem cada vez mais uma governança de IA demonstrável e documentada.
Como a ISO/IEC 42001 se encaixa
O sistema de gestão da ISO/IEC 42001 operacionaliza as funções govern–map–measure–manage do NIST com evidência auditável e repetível.
Um único AIMS cobre deveres estaduais sobrepostos — avisos ao consumidor, revisão humana, documentação — em vez de uma correria estado a estado.
A validação e a monitorização documentadas sustentam as alegações de IA que a FTC escrutina.
Uma credencial que clientes, parceiros e equipas de contratação já compreendem — internacionalmente.
Perguntas
Porque o NIST AI RMF já é a expectativa de facto, os estados estão a legislar ativamente, a FTC fiscaliza alegações exageradas e os compradores exigem prova. A ISO/IEC 42001 é o sistema certificável que satisfaz todos estes e se mapeia no NIST.
São complementares. O NIST é um framework de risco voluntário; a ISO/IEC 42001 é um sistema de gestão certificável que o operacionaliza e o evidencia. Muitas organizações dos EUA usam ambos — o NIST para o método de risco, a ISO/IEC 42001 para o sistema auditável e o certificado.
Existem esforços de preempção federal, mas as leis estaduais existentes permanecem aplicáveis a menos que sejam derrubadas em tribunal. Uma abordagem de sistema de gestão é a proteção resiliente contra um panorama em mudança.
Relacionado
O kit operacionaliza a governança alinhada com o NIST num sistema de gestão auditável e certificável — pronto a adaptar aos seus sistemas de IA e estados de operação.