30 días de prueba de riesgos de IA generativa -Empezar ahora
Solicitar una demo
ActiveUnited StatesFrameworkEn vigor: 2023-01-26

Marco de gestión de riesgos de IA del NIST

Un marco voluntario del National Institute of Standards and Technology de Estados Unidos para gestionar los riesgos a lo largo del ciclo de vida de los sistemas de IA.

Resumen

El NIST AI Risk Management Framework (AI RMF 1.0), publicado el 26 January 2023, es un documento de orientación voluntario elaborado por el National Institute of Standards and Technology para ayudar a las organizaciones a diseñar, desarrollar, implementar y utilizar sistemas de IA de manera fiable y responsable. Aunque no es jurídicamente vinculante, el NIST AI RMF se ha convertido en un estándar de facto para la gobernanza de la IA en Estados Unidos y se cita cada vez más en las orientaciones regulatorias de todo el mundo.

El marco se estructura en torno a cuatro funciones esenciales: Govern, Map, Measure y Manage. Estas funciones ofrecen un enfoque flexible y estructurado de la gestión de riesgos de IA que puede adaptarse al tamaño, el sector y la tolerancia al riesgo de cualquier organización.

La función GOVERN establece y mantiene las estructuras, políticas y procesos organizativos para la gestión de riesgos de IA. Hace hincapié en la responsabilidad de la dirección, la participación de las partes interesadas y la integración de la gestión de riesgos de IA en la gestión de riesgos más amplia de la empresa. Esta función reconoce que una gobernanza eficaz de la IA exige un cambio cultural, y no solo controles técnicos.

La función MAP consiste en comprender el contexto en el que operan los sistemas de IA. Implica identificar y categorizar los sistemas de IA, comprender sus finalidades previstas y sus posibles impactos, y reconocer el contexto social más amplio del despliegue de la IA. El mapeo también incluye la identificación de las partes interesadas pertinentes y la comprensión del panorama jurídico y regulatorio.

La función MEASURE se centra en emplear métodos cuantitativos y cualitativos para analizar, evaluar, comparar y supervisar los riesgos de IA y sus impactos relacionados. Esto incluye el desarrollo de métricas para las características de fiabilidad, tales como la exactitud, la equidad, la privacidad, la seguridad, la resiliencia, la transparencia, la explicabilidad y la responsabilidad.

La función MANAGE consiste en asignar recursos e implementar planes para responder a los riesgos de IA, recuperarse de ellos y comunicar sobre ellos. Incluye la priorización de los riesgos, la implementación de estrategias de mitigación y el establecimiento de procesos de supervisión y ajuste continuos.

El documento complementario, el NIST AI RMF Playbook, proporciona acciones sugeridas y referencias para cada subcategoría, lo que hace que el marco sea muy práctico para su implementación. El Playbook es un documento vivo que el NIST actualiza a medida que evolucionan las prácticas.

El NIST AI RMF se elaboró mediante un amplio proceso multilateral en el que participaron cientos de organizaciones de la industria, el mundo académico, la sociedad civil y el gobierno. Este proceso de elaboración colaborativo ha conferido al marco una amplia legitimidad y aceptación en todos los sectores.

En el contexto del panorama regulatorio de Estados Unidos, el NIST AI RMF sirve de referencia fundamental. La Executive Order on AI Safety de 2023 hace referencia explícita al NIST AI RMF, y varias agencias federales de Estados Unidos lo han incorporado a sus orientaciones sobre gobernanza de la IA. La legislación sobre IA a nivel estatal, como el Colorado AI Act, también hace referencia a los estándares del NIST.

Requisitos clave

1

GOVERN: Establecer estructuras de gobernanza de la IA con funciones, responsabilidades y rendición de cuentas claras

2

GOVERN: Desarrollar políticas y procesos organizativos de gestión de riesgos de IA

3

GOVERN: Fomentar una cultura de desarrollo y uso responsables de la IA

4

MAP: Inventariar y categorizar todos los sistemas de IA según el contexto, la finalidad y el riesgo

5

MAP: Identificar los impactos intencionados y no intencionados de los sistemas de IA en las personas y las comunidades

6

MAP: Comprender los requisitos jurídicos, regulatorios y éticos de cada sistema de IA

7

MEASURE: Desarrollar y aplicar métricas para las características de fiabilidad de la IA

8

MEASURE: Evaluar el rendimiento, la equidad, el sesgo y la fiabilidad de los sistemas de IA

9

MEASURE: Supervisar los sistemas de IA para detectar deriva, degradación y riesgos emergentes

10

MANAGE: Priorizar los riesgos de IA identificados en función del impacto y la probabilidad

11

MANAGE: Implementar estrategias de respuesta a los riesgos (mitigar, transferir, aceptar, evitar)

12

MANAGE: Establecer planes de respuesta a incidentes y de comunicación para los fallos de la IA

13

Implicar a diversas partes interesadas a lo largo de todo el ciclo de vida de la IA

14

Documentar y comunicar las actividades y decisiones de gestión de riesgos de IA

Fechas clave y cronograma

July 2021
El NIST publica una solicitud de información sobre el NIST AI RMF
March 2022
Publicación del borrador inicial del NIST AI RMF para consulta pública
August 2022
Publicación del segundo borrador
26 January 2023
Publicación oficial del AI RMF 1.0
January 2023
Publicación del AI RMF Playbook junto con el marco
October 2023
La Executive Order on AI de Estados Unidos hace referencia al NIST AI RMF
April 2024
El NIST publica el perfil complementario AI RMF Generative AI Profile
2025
Actualizaciones continuas del Playbook y de los perfiles
March 2025
El NIST publica una actualización ampliada de la taxonomía que aborda las vulnerabilidades de la IA generativa y de los LLM; integra el NIST AI RMF con otros marcos del NIST
January 2026
El NIST publica el GCR-26-069: A Possible Approach for Evaluating AI Standards Development
February 2026
El Tesoro de Estados Unidos publica el Financial Services AI Risk Management Framework, adaptando el NIST AI RMF a los requisitos del sector financiero

A quién afecta

  • Agencias federales de Estados Unidos (mencionadas en la Executive Order on AI)
  • Desarrolladores e implementadores de IA que buscan un marco de gobernanza
  • Organizaciones que responden a la legislación sobre IA a nivel estatal en Estados Unidos
  • Contratistas gubernamentales que desarrollan o adquieren sistemas de IA
  • Cualquier organización que busque demostrar prácticas de IA responsables
  • Organizaciones internacionales que buscan alinearse con las expectativas estadounidenses en materia de gobernanza de la IA

Preguntas frecuentes

¿Es el NIST AI RMF jurídicamente obligatorio?

El NIST AI RMF es un marco voluntario. No obstante, se menciona en la Executive Order on AI de Estados Unidos y se utiliza cada vez más como referencia en la contratación pública federal, la legislación estatal y los estándares del sector. Su adopción es señal de una práctica responsable de la IA.

¿En qué se diferencia el NIST AI RMF del EU AI Act?

El NIST AI RMF es un marco voluntario de gestión de riesgos, mientras que el EU AI Act es una ley vinculante. El RMF proporciona orientaciones flexibles para gestionar los riesgos de IA; el EU AI Act impone obligaciones jurídicas específicas con sanciones. Muchas organizaciones utilizan ambos: el RMF para la gobernanza y el EU AI Act para la conformidad jurídica.

¿Aborda el NIST AI RMF la IA generativa?

Sí. El NIST publicó el Generative AI Profile en April 2024, proporcionando orientaciones específicas para gestionar los riesgos asociados a los sistemas de IA generativa, incluidas la procedencia de los contenidos, la integridad de la información y riesgos novedosos como la alucinación y la información CBRN.

Regulation Updates

Stay Ahead of AI Regulations

Get notified when new AI regulations are introduced or updated. Join 500+ compliance professionals.