Un marco voluntario del National Institute of Standards and Technology de Estados Unidos para gestionar los riesgos a lo largo del ciclo de vida de los sistemas de IA.
El NIST AI Risk Management Framework (AI RMF 1.0), publicado el 26 January 2023, es un documento de orientación voluntario elaborado por el National Institute of Standards and Technology para ayudar a las organizaciones a diseñar, desarrollar, implementar y utilizar sistemas de IA de manera fiable y responsable. Aunque no es jurídicamente vinculante, el NIST AI RMF se ha convertido en un estándar de facto para la gobernanza de la IA en Estados Unidos y se cita cada vez más en las orientaciones regulatorias de todo el mundo.
El marco se estructura en torno a cuatro funciones esenciales: Govern, Map, Measure y Manage. Estas funciones ofrecen un enfoque flexible y estructurado de la gestión de riesgos de IA que puede adaptarse al tamaño, el sector y la tolerancia al riesgo de cualquier organización.
La función GOVERN establece y mantiene las estructuras, políticas y procesos organizativos para la gestión de riesgos de IA. Hace hincapié en la responsabilidad de la dirección, la participación de las partes interesadas y la integración de la gestión de riesgos de IA en la gestión de riesgos más amplia de la empresa. Esta función reconoce que una gobernanza eficaz de la IA exige un cambio cultural, y no solo controles técnicos.
La función MAP consiste en comprender el contexto en el que operan los sistemas de IA. Implica identificar y categorizar los sistemas de IA, comprender sus finalidades previstas y sus posibles impactos, y reconocer el contexto social más amplio del despliegue de la IA. El mapeo también incluye la identificación de las partes interesadas pertinentes y la comprensión del panorama jurídico y regulatorio.
La función MEASURE se centra en emplear métodos cuantitativos y cualitativos para analizar, evaluar, comparar y supervisar los riesgos de IA y sus impactos relacionados. Esto incluye el desarrollo de métricas para las características de fiabilidad, tales como la exactitud, la equidad, la privacidad, la seguridad, la resiliencia, la transparencia, la explicabilidad y la responsabilidad.
La función MANAGE consiste en asignar recursos e implementar planes para responder a los riesgos de IA, recuperarse de ellos y comunicar sobre ellos. Incluye la priorización de los riesgos, la implementación de estrategias de mitigación y el establecimiento de procesos de supervisión y ajuste continuos.
El documento complementario, el NIST AI RMF Playbook, proporciona acciones sugeridas y referencias para cada subcategoría, lo que hace que el marco sea muy práctico para su implementación. El Playbook es un documento vivo que el NIST actualiza a medida que evolucionan las prácticas.
El NIST AI RMF se elaboró mediante un amplio proceso multilateral en el que participaron cientos de organizaciones de la industria, el mundo académico, la sociedad civil y el gobierno. Este proceso de elaboración colaborativo ha conferido al marco una amplia legitimidad y aceptación en todos los sectores.
En el contexto del panorama regulatorio de Estados Unidos, el NIST AI RMF sirve de referencia fundamental. La Executive Order on AI Safety de 2023 hace referencia explícita al NIST AI RMF, y varias agencias federales de Estados Unidos lo han incorporado a sus orientaciones sobre gobernanza de la IA. La legislación sobre IA a nivel estatal, como el Colorado AI Act, también hace referencia a los estándares del NIST.
GOVERN: Establecer estructuras de gobernanza de la IA con funciones, responsabilidades y rendición de cuentas claras
GOVERN: Desarrollar políticas y procesos organizativos de gestión de riesgos de IA
GOVERN: Fomentar una cultura de desarrollo y uso responsables de la IA
MAP: Inventariar y categorizar todos los sistemas de IA según el contexto, la finalidad y el riesgo
MAP: Identificar los impactos intencionados y no intencionados de los sistemas de IA en las personas y las comunidades
MAP: Comprender los requisitos jurídicos, regulatorios y éticos de cada sistema de IA
MEASURE: Desarrollar y aplicar métricas para las características de fiabilidad de la IA
MEASURE: Evaluar el rendimiento, la equidad, el sesgo y la fiabilidad de los sistemas de IA
MEASURE: Supervisar los sistemas de IA para detectar deriva, degradación y riesgos emergentes
MANAGE: Priorizar los riesgos de IA identificados en función del impacto y la probabilidad
MANAGE: Implementar estrategias de respuesta a los riesgos (mitigar, transferir, aceptar, evitar)
MANAGE: Establecer planes de respuesta a incidentes y de comunicación para los fallos de la IA
Implicar a diversas partes interesadas a lo largo de todo el ciclo de vida de la IA
Documentar y comunicar las actividades y decisiones de gestión de riesgos de IA
El NIST AI RMF es un marco voluntario. No obstante, se menciona en la Executive Order on AI de Estados Unidos y se utiliza cada vez más como referencia en la contratación pública federal, la legislación estatal y los estándares del sector. Su adopción es señal de una práctica responsable de la IA.
El NIST AI RMF es un marco voluntario de gestión de riesgos, mientras que el EU AI Act es una ley vinculante. El RMF proporciona orientaciones flexibles para gestionar los riesgos de IA; el EU AI Act impone obligaciones jurídicas específicas con sanciones. Muchas organizaciones utilizan ambos: el RMF para la gobernanza y el EU AI Act para la conformidad jurídica.
Sí. El NIST publicó el Generative AI Profile en April 2024, proporcionando orientaciones específicas para gestionar los riesgos asociados a los sistemas de IA generativa, incluidas la procedencia de los contenidos, la integridad de la información y riesgos novedosos como la alucinación y la información CBRN.
Get notified when new AI regulations are introduced or updated. Join 500+ compliance professionals.