norppa.io
Guías

Guía del Reglamento de IA · 11 min

El Reglamento de IA de la UE: niveles de riesgo, calendario y qué deben hacer los responsables del despliegue (artículo 26)

El Reglamento de IA de la UE es la primera ley integral del mundo sobre inteligencia artificial. Clasifica los sistemas de IA por riesgo y sitúa la mayoría de las obligaciones pesadas en los sistemas de alto riesgo, pero también impone obligaciones concretas a las organizaciones que usan IA, no solo a las que la construyen. Ya está en vigor y se aplica por fases hasta 2027. Esta guía explica los niveles de riesgo, las fechas que importan, las obligaciones del responsable del despliegue del artículo 26 y qué significa cuando usted adquiere o despliega IA en su cadena de suministro.

Puntos clave

  • El Reglamento de IA (Reglamento (UE) 2024/1689) clasifica la IA por riesgo: prohibido, alto riesgo, limitado (transparencia) y mínimo.
  • Fechas escalonadas: en vigor el 1 de agosto de 2024; prácticas prohibidas desde el 2 de febrero de 2025; IA de uso general desde el 2 de agosto de 2025; alto riesgo y la mayoría de las obligaciones desde el 2 de agosto de 2026.
  • Si usa un sistema de IA de alto riesgo, es un «responsable del despliegue» con sus propias obligaciones del artículo 26 (supervisión humana, monitorización, registros y más) aunque el proveedor cargue con la mayoría de las obligaciones del lado de la construcción.

Qué es el Reglamento de IA

El Reglamento de IA (Reglamento (UE) 2024/1689) es un reglamento basado en el riesgo, de tipo producto, para los sistemas de IA introducidos en el mercado de la UE o cuya salida se utiliza en la UE. Al ser un reglamento, se aplica directamente en todos los Estados miembros. Reparte obligaciones a lo largo de la cadena de valor: principalmente a los proveedores (que desarrollan IA) y a los responsables del despliegue (que la usan bajo su propia autoridad), con papeles más ligeros para importadores y distribuidores.

En lugar de regular «la IA» de forma uniforme, clasifica los sistemas en niveles de riesgo y escala las obligaciones en consecuencia: un puñado de prácticas están prohibidas de plano, un conjunto definido de usos de alto riesgo conllevan requisitos pesados, algunos sistemas solo necesitan transparencia, y la gran mayoría (la IA de riesgo mínimo) no conlleva prácticamente ninguna.

Dónde están las obligaciones

Prácticas prohibidas (vetadas), sistemas de alto riesgo (las obligaciones pesadas: p. ej. IA usada en empleo, crédito, infraestructuras críticas o biometría) y sistemas de riesgo limitado que exigen transparencia (p. ej. avisar a los usuarios de que interactúan con una IA o de que un contenido está generado por IA).

Riesgo mínimo (la mayoría de la IA)

La gran mayoría de los sistemas de IA (filtros antispam, motores de recomendación, la mayoría de las herramientas de productividad) caen en el riesgo mínimo y no conllevan obligaciones específicas conforme al Reglamento, más allá de códigos voluntarios y una expectativa general de alfabetización en IA.

El calendario

El Reglamento se aplica por fases. Las fechas que guían la planificación:

1 ago 2024

Entró en vigor. El reloj empieza a correr; las obligaciones entran en vigor por fases a partir de aquí.

2 feb 2025

Las prácticas prohibidas se aplican: la IA de «riesgo inaceptable» (p. ej. puntuación social, ciertos usos manipuladores o de categorización biométrica) queda vetada. También empiezan las obligaciones de alfabetización en IA.

2 ago 2025

Comienzan las obligaciones para los modelos de IA de uso general (GPAI), junto con las estructuras de gobernanza y las autoridades nacionales competentes.

2 ago 2026

El evento principal: las obligaciones para los sistemas de alto riesgo (incluidas las del responsable del despliegue del artículo 26) se aplican.

2 ago 2027

Plazo ampliado para la IA de alto riesgo que es un componente de seguridad de productos ya regulados por otra normativa de la UE (anexo I).

Qué deben hacer los responsables del despliegue (artículo 26)

Si usa un sistema de IA de alto riesgo bajo su propia autoridad, el artículo 26 le impone obligaciones operativas. En resumen, un responsable del despliegue debe:

  • Usar el sistema conforme a las instrucciones de uso del proveedor.
  • Asignar la supervisión humana a personas competentes, formadas y con recursos adecuados que puedan intervenir o anular su funcionamiento.
  • Vigilar el funcionamiento del sistema, y suspender el uso e informar al proveedor y a las autoridades cuando presente un riesgo o se produzca un incidente grave.
  • Conservar los registros generados automáticamente durante un período adecuado: al menos seis meses, salvo que otra norma exija más.
  • Velar por que los datos de entrada sean pertinentes y suficientemente representativos para la finalidad, en la medida en que los controle.
  • Informar a los trabajadores y a sus representantes antes de poner en servicio un sistema de alto riesgo en el lugar de trabajo, e informar a las personas sujetas a sus decisiones.
  • Realizar una evaluación de impacto sobre los derechos fundamentales cuando se exija (art. 27), y cooperar con las autoridades competentes.

Cómo encaja con NIS2 y el RGPD

El Reglamento de IA no sustituye sus otras obligaciones. Se suma a ellas. Un sistema de IA que trata datos personales sigue regido por el RGPD (y puede necesitar una evaluación de impacto relativa a la protección de datos junto a la de derechos fundamentales del Reglamento de IA). Un sistema de IA que forma parte de la operación de sus servicios esenciales sigue sujeto a las obligaciones de seguridad y notificación de NIS2. Los tres se solapan en lugar de sustituirse.

Para la contratación, esa convergencia es el punto práctico. Cuando incorpora un sistema de IA a su cadena de suministro, hereda obligaciones de responsable del despliegue (art. 26) y necesita conocer la postura de cumplimiento del proveedor: conformidad, instrucciones de uso, registro, clase de riesgo del sistema. Es el mismo músculo de diligencia de proveedores que NIS2 ya le pide desarrollar, orientado a la IA.

La clasificación de los sistemas de IA (en especial la frontera del alto riesgo y las reglas de GPAI) es detallada y específica de cada caso, y aún están llegando actos de ejecución y normas. Confirme la clase de un sistema concreto y su papel con asesoramiento cualificado y el texto oficial.

Qué significa para usted

Sus obligaciones dependen de su papel respecto al sistema:

Un proveedor (desarrolla o modifica sustancialmente un sistema de IA)

Carga con las obligaciones del lado de la construcción: gestión de riesgos, gobernanza de datos, documentación técnica, evaluación de la conformidad y marcado CE para sistemas de alto riesgo. En gran medida desde el 2 de agosto de 2026.

Un responsable del despliegue (usa IA bajo su propia autoridad)

El artículo 26 aplica a los sistemas de alto riesgo: supervisión humana, monitorización, registros, información a los trabajadores y una evaluación de derechos fundamentales cuando se exija. Constrúyalo ya para la fecha del 2 de agosto de 2026.

Un importador o distribuidor

Solo puede comercializar sistemas de alto riesgo conformes, debe verificar la conformidad y el marcado CE del proveedor, y debe actuar cuando sepa que un sistema no es conforme.

Un comprador que adquiere IA para su cadena de suministro

Normalmente es el responsable del despliegue. Exija las instrucciones del proveedor, la clase de riesgo, el estado de conformidad y la capacidad de registro, y trate a los proveedores de IA como parte de su diligencia de proveedores NIS2.

Fuentes: Reglamento (UE) 2024/1689 (Reglamento de IA) y las páginas de la Comisión Europea sobre el Reglamento de IA. Las fechas, los niveles y los papeles reflejan el reglamento publicado; confirme la clasificación de un sistema concreto con asesoramiento cualificado.

Cómo ayuda norppa.io

norppa.io no hará que un sistema de IA cumpla el Reglamento de IA (eso corresponde al proveedor y al responsable del despliegue) pero le da visibilidad sobre la exposición a la IA en su cadena de suministro, que es donde empieza la diligencia del responsable del despliegue. Su escaneo saca a la luz endpoints de servicios de IA, API de modelos e inferencia expuestas e interfaces relacionadas con IA (incluidos endpoints de Model Context Protocol) en la superficie de ataque de sus proveedores.

Los cuestionarios de autoevaluación captan lo que ningún escaneo externo ve (qué sistemas de IA despliega un proveedor, su clase de riesgo, su estado de conformidad y sus arreglos de supervisión humana) y cada respuesta se coteja con el perfil técnico en vivo, lista para su expediente de proveedores. Es el mismo enfoque continuo y respaldado por evidencia que espera NIS2, extendido a la IA que ejecutan sus proveedores.

Vea la exposición a la IA de sus proveedores

Vea un informe de proveedor de ejemplo (hallazgos, evidencia y correspondencia de artículos) en unos dos minutos.

Ver informe de ejemplo
Ver el panel de ejemplo

Guías relacionadas

Cómo cumplir NIS2: una hoja de ruta paso a paso

Los pasos hacia el cumplimiento de NIS2 en orden: confirmar el ámbito, registrarse, responsabilidad de la dirección (art. 20), las medidas del art. 21.2, seguridad de la cadena de suministro, notificación de incidentes (art. 23) y garantía continua y evidenciada.

¿Quién está sujeto a NIS2? Entidades esenciales e importantes, sectores y umbrales de tamaño

Determina si NIS2 te aplica: los dos niveles, los sectores de los anexos I/II, los umbrales de tamaño, las excepciones independientes del tamaño y cómo la cadena de suministro te involucra aunque no estés designado.

NIS2 y el requisito de la cadena de suministro: qué significa en la práctica

NIS2 obliga a las entidades esenciales e importantes a evaluar los ciberriesgos de su cadena de suministro. Clasificación de proveedores, riesgo de cuarta parte, notificación Art. 23 y lo que buscan los auditores.

Evaluación del ciberriesgo del proveedor: qué comprueba el monitoreo NIS2 automatizado

Todas las categorías de comprobación explicadas: ransomware, filtraciones dark web, TLS/DNSSEC, seguridad de cookies, CVE/EPSS, sanciones, listas negras MX y SAQ. Ciclo de vida de hallazgos y mapeo de artículos NIS2.

NIS2 Art. 21(2): lista de verificación de seguridad para proveedores

Lista de verificación para equipos de adquisiciones y seguridad: qué preguntar, qué evidencias recopilar y cómo responder cuando un proveedor no cumple. Incluye documentos de evidencia sugeridos.

Cuestionario de proveedores NIS2 (SAQ): qué preguntar, cómo puntuarlo y una plantilla gratuita

Qué preguntar a los proveedores bajo el art. 21.2.d, cómo puntuar respuestas y responder a brechas, por qué la autodeclaración necesita verificación, y una plantilla gratuita.

Notificación de incidentes NIS2: los plazos de 24 y 72 horas explicados

Qué es un incidente significativo, el calendario del artículo 23 (alerta a 24 h, notificación a 72 h, informe final a un mes) y cuándo el incidente de un proveedor se convierte en su obligación.

NIS2 y la responsabilidad de la dirección: lo que el consejo y la alta dirección deben saber

Qué espera NIS2 del órgano de dirección: deberes de aprobación y supervisión, responsabilidad personal (art. 20), formación, KPI de reporte al consejo y sanciones del art. 34.

ISO 27001 y NIS2: lo que su SGSI ya cubre, y las brechas que no

Si tiene ISO 27001: qué se traslada a NIS2 y qué no (notificación legal, responsabilidad de la dirección, registro y garantía continua de la cadena de suministro) y cómo cerrar la brecha.

NIS2 vs DORA: en qué se diferencian, dónde se solapan y cuál te aplica

En qué se diferencian y solapan los dos regímenes de la UE, por qué DORA es lex specialis para entidades financieras, cuál te aplica, y qué significan ambos para el riesgo de terceros.

RGPD vs NIS2: solapamiento, diferencias y cuándo un incidente activa ambos

En qué se diferencian y solapan RGPD y NIS2, cuándo un incidente activa ambos (RGPD art. 33 72 h a la autoridad de control vs NIS2 art. 23 24 h/72 h/un mes al CSIRT), la cooperación del art. 35 y la prohibición de doble multa, y qué significan ambos para la diligencia de proveedores.

El Reglamento de Ciberresiliencia de la UE (CRA): ámbito, calendario y qué significa para su cadena de suministro

Qué exige el CRA, sus fechas escalonadas (en vigor 2024, notificación sept 2026, plena conformidad dic 2027), a quién se aplica y por qué el SaaS puro a menudo no, cómo complementa a NIS2 y qué significa para la contratación y la diligencia de proveedores.