NIST AI RMF vs ISO 42001: cuál marco de gobernanza IA elegir
Comparativa neutral entre los 2 marcos más relevantes de gobernanza IA: NIST AI Risk Management Framework e ISO 42001. Qué exige cada uno, costos y decisión para empresa chilena.
En 2026 dos marcos dominan la conversación sobre gobernanza IA: NIST AI Risk Management Framework (AI RMF) e ISO/IEC 42001. Comparten muchos conceptos pero son sustancialmente distintos en naturaleza, alcance y consecuencias prácticas. Para una empresa chilena que decide invertir en programa de gobernanza, elegir cuál adoptar primero (o ambos) cambia 6-12 meses de trabajo y CLP 30-100M de inversión. Este artículo entrega la comparativa que aplicamos en Cognitiva con clientes.
Qué es NIST AI RMF en una frase
Marco voluntario del National Institute of Standards and Technology (USA) que orienta a las organizaciones para identificar, gestionar y comunicar riesgos asociados a sistemas de IA. NO se certifica. Es guía técnica + operativa.
Versión 1.0 publicada en enero 2023. Estructurado en 4 funciones: Govern, Map, Measure, Manage. Disponible públicamente y gratis en nist.gov.
Qué es ISO 42001 en una frase
Estándar internacional publicado por ISO/IEC en diciembre 2023. Define un sistema de gestión de IA (AIMS) certificable por auditor acreditado. Estructura ISO clásica (política, planificación, operación, evaluación, mejora).
Documento se compra en iso.org (~CHF 138). No es gratis.
Comparativa operativa
| Dimensión | NIST AI RMF | ISO 42001 |
|---|---|---|
| Naturaleza | Marco voluntario, orientativo | Estándar certificable |
| Origen | USA (gobierno federal) | ISO/IEC (internacional) |
| Costo de acceso | Gratuito | CHF 138 por copia legal |
| Certificación | No existe | Sí, auditor acreditado |
| Estructura | Govern, Map, Measure, Manage | High-Level Structure ISO (política → mejora) |
| Profundidad técnica | Alta en gestión de riesgos | Media en gestión, énfasis en sistema |
| Reconocimiento por reguladores | Creciente (USA federal, Colorado AI Act) | Creciente (UE, certificaciones B2B internacionales) |
| Tiempo a "compliance básico" | 3-6 meses | 6-12 meses + auditoría |
| Mantenimiento anual | Bajo (revisión interna) | Auditorías de seguimiento + recertificación trienal |
| Reconocido como safe harbor | Sí (Colorado AI Act) | Sí (varios contextos) |
Resumen: NIST es un punto de partida rápido y gratuito; ISO 42001 es la versión certificable y reconocida internacionalmente.
¿Son excluyentes?
No. Comparten más del 70% de los conceptos. Una organización que adopta NIST primero y luego ISO 42001 reutiliza buena parte del trabajo. El proceso típico:
- Año 1: adoptar NIST AI RMF como marco operativo interno. Documentar gobernanza, mapear riesgos, implementar mediciones, gestionar.
- Año 2: si el contexto comercial lo justifica (cliente regulado internacional, exportación, exigencia formal), migrar a ISO 42001 buscando certificación.
- Año 3 en adelante: mantener ambos. NIST como marco operativo continuo; ISO 42001 como certificación auditada periódicamente.
Decisión por perfil de empresa chilena
PyME chilena sin cliente regulado internacional
NIST AI RMF. Suficiente para cumplir Ley 21.719 + futura Ley IA chilena. No requiere certificación formal cara.
Empresa mediana que exporta servicios o vende a clientes regulados
NIST primero, ISO 42001 después. NIST en año 1 establece base operativa; ISO 42001 en año 2-3 entrega certificación para licitaciones internacionales.
Empresa con casos críticos (banca, salud, defensa)
Directo a ISO 42001 desde el día 1. La certificación es prácticamente exigida en su contexto.
Empresa con ISO 27001 ya certificada
ISO 42001 con descuento de tiempo y costo significativo. Buena parte de la infraestructura organizacional ya existe.
Costos referenciales en CLP
| Marco | Adopción inicial | Mantenimiento anual |
|---|---|---|
| NIST AI RMF (sin certificación) | CLP 15-30M | CLP 6-12M |
| ISO 42001 (con certificación) | CLP 46-105M | CLP 12-24M |
PyME chica: descontar 30-50% de las cifras de empresa mediana. Empresa grande: sumar 30-50%.
Errores típicos en la decisión
- Saltar directo a ISO 42001 sin entender NIST: termina siendo un proyecto de compliance documental sin gestión real de riesgos.
- Decidir solo por costo: NIST es gratis, pero el costo real está en la implementación, no en el documento.
- Esperar a que la regulación obligue: cuando obliga, ya es tarde para responder con calidad.
- Pensar que la certificación reemplaza la gestión: una empresa puede estar certificada y seguir mal gestionada si la auditoría no fue rigurosa.
Preguntas frecuentes
Da el siguiente paso
Hablemos
Cuéntanos sobre tu negocio. Respondemos en 24 horas.
Otros canales
Escríbenos por WhatsApp o agenda una llamada de 30 minutos.