Normas y control de ejecución de la IA

Normas y control de ejecución de la IA: una perspectiva infraestructural.

Una lectura técnica de las relaciones entre AI Act, NIS2, ISO/IEC 27001, ISO/IEC 42001 y NIST AI RMF, y del papel que un sistema de control de ejecución a nivel de sistema puede asumir respecto a los requisitos que estos plantean.

§ 01 · Premisa

Planos distintos, mismo problema.

El AI Act, la NIS2 y los estándares ISO y NIST operan en planos diferentes: jurídico, organizativo, de gestión del riesgo. Aun siendo heterogéneos, convergen en un conjunto restringido de requisitos clave.

Leídos por principios y no por artículos, estos requisitos se reducen a cuatro propiedades recurrentes: control preventivo de la invocación de la IA, trazabilidad documentada y verificable de las decisiones, auditabilidad técnica y responsabilidad atribuible a sujetos identificables.

El plano jurídico define obligaciones; el plano organizativo define procesos; el plano de la gestión del riesgo define métodos. Falta, en esta estratificación, una definición explícita de los mecanismos técnicos mediante los cuales tales requisitos pueden hacerse observables en los sistemas que ejecutan efectivamente la IA.

§ 02 · Marcos de referencia

Qué piden normas y marcos, por principios.

La tabla que sigue resume, en forma conceptual y no legalista, los principios que cada marco normativo o framework de referencia hace explícitos. No constituye un análisis de conformidad ni una interpretación vinculante de los textos.

Marco	Plano	Principios relevantes
AI ActRegl. (UE) 2024/1689	Jurídico	Control ex-ante del uso de los sistemas de IA; supervisión humana sobre las decisiones de impacto relevante; auditabilidad de los sistemas a lo largo del ciclo de vida.
NIS2Dir. (UE) 2022/2555	Seguridad sistémica	Gestión del riesgo de las capabilities críticas, continuidad y seguridad de los servicios esenciales, seguimiento y notificación de incidentes.
ISO/IEC 27001Sistemas de gestión para la seguridad de la información	Organizativo	Control de accesos y de los recursos críticos, separación de privilegios, registro y revisión de las actividades.
ISO/IEC 42001Sistemas de gestión para la inteligencia artificial	Organizativo	Sistema de gestión para los sistemas de IA: trazabilidad de las decisiones, roles y responsabilidades, revisión periódica.
NIST AI RMF 1.0AI Risk Management Framework	Gestión del riesgo	Funciones Govern, Map, Measure, Manage: dirección, identificación del contexto de uso, medición y tratamiento del riesgo.

Requisitos recurrentes

Control preventivo del uso.
Trazabilidad explícita.
Auditabilidad verificable.
Responsabilidad atribuible.

§ 03 · Denominador faltante

El denominador común que falta.

Los requisitos enumerados en los marcos de referencia se expresan en términos de qué debe garantizarse. Su traducción operativa se delega hoy a instrumentos heterogéneos — reglas textuales, documentación, controles aplicativos, registros posteriores — pocas veces reconducidos a un mismo plano arquitectónico.

En particular, falta un punto de control técnico que presente, conjuntamente, las cuatro propiedades siguientes.

No eludible La autorización del uso de la IA no puede ser ignorada, reescrita ni omitida por el código que la solicita.
Independiente El punto de control está desacoplado de las aplicaciones: no depende de su cooperación ni de su correcta configuración.
Sub-aplicativo Reside por debajo del nivel aplicativo, en una posición que las aplicaciones no pueden modificar.
Evidencias técnicas Produce, como efecto de su propio funcionamiento, registros verificables de las decisiones adoptadas.

La ausencia de tal punto de control no es una laguna de las normas: es una laguna de la arquitectura de los sistemas. Es, en otros términos, un problema arquitectónico.

§ 04 · Posición

Dónde se sitúa AIKNOCK.

AIKNOCK explora un posible punto de control técnico ex-ante, a nivel de sistema, coherente con los requisitos de control de ejecución, auditabilidad y gestión del riesgo planteados por normas y marcos, sin sustituirlos ni interpretarlos.

Las normas y los estándares definen obligaciones. AIKNOCK opera en el plano de los mecanismos técnicos. El sistema opera de manera independiente de los marcos normativos o de estándar externos y mantiene un comportamiento técnico coherente a nivel de la ejecución. Los dos planos son complementarios: lo que el derecho y los estándares prescriben como propiedades del sistema, un mecanismo como el descrito puede contribuir a hacerlo observable y verificable.

§ 05 · Exclusiones

Qué no hace AIKNOCK respecto a las normas.

Para evitar la confusión entre planos distintos, conviene enunciar explícitamente el ámbito que AIKNOCK no ocupa.

NO HACE no interpreta la ley,
NO HACE no garantiza el cumplimiento,
NO HACE no sustituye procesos organizativos o legales,
NO HACE no elimina las responsabilidades de los deployers,
NO HACE no gobierna conjuntos de datos ni procesos de training.

La observancia de las normas sigue siendo responsabilidad de los operadores, los implementadores y las autoridades competentes. AIKNOCK no traslada esa responsabilidad: describe un plano técnico distinto.

§ 06 · Conclusión

Conclusión.

Las normas definen qué debe garantizarse.

AIKNOCK se sitúa en el plano de cómo una parte de tales garantías puede convertirse en propiedad técnica del sistema.

La distancia entre los dos planos es una característica estructural, no una oposición: los dos niveles se presuponen mutuamente.