Las normas que nadie terminó
El Reglamento Europeo de IA exige que las empresas cumplan con normas armonizadas. Las normas armonizadas no existen.
Esto no es una simplificación. Es la situación. La Comisión Europea pidió al CEN-CENELEC que redactara las normas. CEN-CENELEC incumplió el plazo. Después incumplió el plazo revisado. Las normas se esperan ahora para el cuarto trimestre de 2026. La fecha de conformidad para sistemas de IA de alto riesgo es el 2 de agosto de 2026. Las normas están programadas para llegar después del examen.
Una pyme no puede construir un programa de conformidad sobre una norma que no se ha escrito. Pero el reglamento no espera al organismo de normalización. El artículo 9 sigue exigiendo un sistema de gestión de riesgos. El artículo 11 sigue exigiendo documentación técnica. El artículo 13 sigue exigiendo transparencia. Estos artículos son específicos. Dicen qué construir. Las normas dirían cómo demostrarlo. El “qué” existe. El “cómo” falta.
Esta es la brecha. Y es más amplia de lo que la mayoría de las empresas perciben.
La solicitud de normalización
En mayo de 2023, la Comisión Europea emitió una solicitud de normalización a las organizaciones europeas de normalización CEN y CENELEC. La solicitud les pedía desarrollar normas armonizadas que cubrieran los requisitos para proveedores de sistemas de IA de alto riesgo — las especificaciones técnicas que, una vez publicadas en el Diario Oficial de la Unión Europea, otorgarían a las empresas una presunción de conformidad con los requisitos del Reglamento de IA.
El mecanismo es práctica regulatoria europea establecida. El reglamento define los requisitos. Los organismos de normalización traducen esos requisitos en especificaciones técnicas. Las empresas que cumplen las especificaciones se presumen conformes al reglamento. Es la misma arquitectura que sustenta el Reglamento de Máquinas, el Reglamento de Dispositivos Médicos y decenas de otros marcos de seguridad de productos de la UE.
El plazo original para la entrega de las normas era el 30 de abril de 2025. CEN-CENELEC no lo cumplió. El presidente del JTC 21 — el comité técnico conjunto responsable del trabajo — indicó a principios de 2025 que las normas probablemente se completarían a finales de 2025. El 23 de junio de 2025, la Comisión revisó formalmente el plazo al 31 de agosto de 2025. CEN-CENELEC tampoco cumplió ese plazo.
La solicitud de normalización se modificó en junio de 2025 para alinearse con el texto final del Reglamento de IA. El programa de trabajo del JTC 21 cubre aproximadamente treinta y cinco elementos de trabajo en cinco grupos de trabajo: aspectos fundamentales, aspectos operativos, fiabilidad, ingeniería y dominios de aplicación específicos. Trescientos expertos de más de veinte países participan. El alcance es enorme. El calendario no lo era.
Lo que existe
En marzo de 2026, una norma ha entrado en consulta pública. Una.
La prEN 18286 — Inteligencia Artificial: Sistema de Gestión de la Calidad para Fines Regulatorios del Reglamento Europeo de IA — se convirtió en la primera norma armonizada del Reglamento de IA en entrar en consulta pública el 30 de octubre de 2025. La consulta se extendió hasta el 27 de diciembre de 2025. Los organismos nacionales de normalización presentaron comentarios. El CEN está compilando respuestas y resolviendo comentarios antes de que la norma pueda ser adoptada.
La prEN 18286 cubre el artículo 17 del Reglamento de IA: el requisito del sistema de gestión de la calidad. Traduce las obligaciones del artículo 17 en controles concretos de gobernanza, documentación, ciclo de vida y evidencia. Indica a un proveedor cómo estructurar el sistema de gestión de la calidad que el reglamento exige. Es específica, detallada y operativamente útil.
Tampoco es aún una Norma Europea. Es un borrador. Está sujeta a cambios. No puede citarse como norma armonizada hasta que se finalice y su referencia se publique en el Diario Oficial. La presunción de conformidad — el beneficio legal que hace valiosas las normas armonizadas — no se aplica hasta esa publicación. A día de hoy, la prEN 18286 proporciona orientación. No proporciona certeza jurídica.
Su norma acompañante, la prEN 18228, cubre la gestión de riesgos en virtud del artículo 9. Entró en votación interna del comité a mediados de 2025. No ha alcanzado la consulta pública. La norma de gestión de riesgos — posiblemente la norma operativamente más crítica para cualquier empresa que despliegue un sistema de IA de alto riesgo — lleva meses de retraso respecto a la norma de gestión de la calidad, que a su vez está a meses de la finalización.
Más allá de estas dos, los elementos de trabajo restantes abarcan gobernanza de datos, sesgo, ciberseguridad, robustez, registro, transparencia, visión por computador y procesamiento de lenguaje natural. La mayoría están en fase de borrador de trabajo o en fases anteriores. La cadena de producción está llena. El resultado no.
Por qué las normas llegan tarde
Los organismos de normalización no son rápidos. Esto es por diseño, no por fallo. La legitimidad de las normas armonizadas depende de un proceso de consenso que incluye industria, academia, sociedad civil, reguladores y expertos en normalización de toda Europa. Acelerar ese proceso produce normas que carecen de adhesión, que omiten casos particulares, que fallan a las empresas a las que deberían servir. El proceso de consenso es lento porque es riguroso.
Pero el Reglamento de IA creó un problema de calendario estructural que ninguna optimización de proceso puede resolver. El reglamento se publicó en el Diario Oficial el 12 de julio de 2024. Las disposiciones de alto riesgo entran en vigor el 2 de agosto de 2026. La solicitud de normalización se emitió en mayo de 2023 — antes de que el reglamento fuera finalizado. Cuando se publicó el texto final, la solicitud tuvo que modificarse para alinearse con la ley real. El trabajo que había comenzado sobre un reglamento en borrador tuvo que revisarse frente al texto final. El reloj siguió corriendo. El alcance se amplió.
El resultado es una brecha entre el calendario regulatorio y el calendario de normalización que estaba inscrita en la arquitectura desde el principio. El reglamento avanza en un calendario político. Las normas avanzan en un calendario de consenso técnico. Los dos calendarios son estructuralmente incompatibles.
CEN-CENELEC reconoció el problema. En octubre de 2025, los Consejos Técnicos conjuntos del CEN y CENELEC adoptaron un paquete excepcional de medidas para acelerar la entrega. La más significativa: permitir la publicación directa de normas tras un voto de consulta positivo, saltando el voto formal separado que normalmente sigue. Esto es extraordinario. El voto formal es un paso fundamental en el proceso de normalización europeo. Evitarlo es un reconocimiento de que el proceso normal no puede entregar dentro del calendario regulatorio.
Incluso con esta aceleración, el objetivo para la primera oleada de normas es el cuarto trimestre de 2026 — después de la fecha de conformidad del 2 de agosto de 2026. Las medidas de aceleración están diseñadas para tener normas publicadas antes de finales de 2026. No para tenerlas publicadas antes de agosto.
La brecha de la presunción de conformidad
Entender por qué esto importa exige entender qué hacen las normas armonizadas en la arquitectura regulatoria europea.
El artículo 40 del Reglamento de IA establece la presunción de conformidad: los sistemas de IA de alto riesgo que estén en conformidad con normas armonizadas — o partes de ellas — cuyas referencias hayan sido publicadas en el Diario Oficial se presumen conformes a los requisitos cubiertos por esas normas. Esto no es conformidad por defecto. Es un atajo jurídico. Si una norma armonizada cubre los requisitos de gestión de riesgos del artículo 9, y tu sistema es conforme a esa norma, se presume que has cumplido el artículo 9. Un regulador que cuestione tu conformidad debe refutar esa presunción.
Sin la norma armonizada, no hay presunción. Sigues debiendo cumplir el artículo 9. Pero debes demostrar la conformidad en tus propios términos, usando tu propia metodología, sin el respaldo de una norma que un regulador ha preaprobado. La carga de la prueba es mayor. La certeza jurídica es menor.
Esta es la consecuencia práctica de la brecha de normalización. La ley se aplica. Los requisitos son claros. Pero la herramienta que hace la conformidad demostrable — la norma armonizada — no está disponible. Las empresas deben cumplir sin la hoja de ruta que la arquitectura regulatoria fue diseñada para proporcionar.
La analogía es arquitectónica. El reglamento dice: construye una casa que cumpla estos requisitos estructurales. La norma armonizada es el código de construcción que especifica cómo cumplir esos requisitos — los materiales, los métodos, las mediciones. Sin el código de construcción, sigues debiendo construir una casa estructuralmente sólida. Pero debes probar que es estructuralmente sólida sin referencia al código según el cual el inspector fue formado para evaluar. Estás construyendo según requisitos, no según especificaciones. Los requisitos son los mismos. La prueba es más difícil.
El recurso a las especificaciones comunes
El Reglamento de IA anticipó este problema. El artículo 41 faculta a la Comisión para adoptar especificaciones comunes — actos de ejecución que sirven como vía alternativa de conformidad cuando las normas armonizadas no están disponibles.
Las condiciones son explícitas. La Comisión puede adoptar especificaciones comunes cuando: ha solicitado normas armonizadas y la solicitud no ha sido aceptada, las normas no se entregan dentro del plazo, o no se ha publicado ninguna referencia a normas armonizadas en el Diario Oficial y no se espera ninguna referencia en un período razonable.
Las tres condiciones se cumplen. La solicitud fue aceptada pero el plazo se incumplió — dos veces. Ninguna referencia se ha publicado en el Diario Oficial. Ninguna se espera antes del 2 de agosto de 2026.
La Comisión tiene autoridad legal para adoptar especificaciones comunes hoy. No lo ha hecho. La razón es política, no jurídica. Las especificaciones comunes son actos de ejecución redactados por la Comisión — eluden el proceso de normalización basado en consenso. La comunidad de normalización las percibe como una intrusión en su dominio. Los grupos industriales prefieren normas desarrolladas por consenso a especificaciones impuestas por regulación. La Comisión ha sido históricamente reacia a usar el mecanismo de especificaciones comunes, prefiriendo esperar a las normas armonizadas.
El resultado: la vía principal de conformidad (normas armonizadas) no está disponible. La vía alternativa (especificaciones comunes) no ha sido activada. Las empresas quedan con el texto del reglamento y lo que puedan construir a partir de él.
El Ómnibus Digital y el plazo en movimiento
La brecha de normalización es un motor principal del Ómnibus Digital — la propuesta legislativa que la Comisión publicó el 19 de noviembre de 2025 para modificar el calendario de aplicación del Reglamento de IA.
La lógica política es directa. El reglamento exige conformidad. La conformidad se facilita mediante normas armonizadas. Las normas armonizadas no están listas. Por tanto, aplazar el plazo de conformidad hasta que las normas estén listas. El Ómnibus Digital propone reemplazar el plazo del 2 de agosto de 2026 para las disposiciones de alto riesgo por un mecanismo vinculado a la disponibilidad de normas armonizadas — en la práctica, desplazando la fecha efectiva al 2 de diciembre de 2027 para sistemas de IA de alto riesgo autónomos (Anexo III) y al 2 de agosto de 2028 para sistemas de IA integrados en productos (Anexo I).
El Consejo adoptó su posición el 13 de marzo de 2026. Las comisiones IMCO y LIBE del Parlamento Europeo adoptaron su informe conjunto el 18 de marzo de 2026 — 101 votos a favor, 9 en contra, 8 abstenciones. Ambas instituciones apoyan el aplazamiento. La votación en pleno del Parlamento estaba prevista para el 26 de marzo. Seguirán negociaciones de trílogo entre el Parlamento, el Consejo y la Comisión.
El impulso político es claro. Ambos colegisladores apoyan el aplazamiento. El trílogo negociará detalles, no el principio.
Pero — y ya he hecho este punto antes y lo haré de nuevo — el Ómnibus Digital no ha sido adoptado. No se ha publicado en el Diario Oficial. No ha entrado en vigor. A 7 de abril de 2026, el 2 de agosto de 2026 es la ley. Planificar para diciembre de 2027 es racional. Contar con diciembre de 2027 es imprudente. La diferencia entre planificar y contar es si has empezado a prepararte para agosto.
Una empresa que no ha iniciado el trabajo de conformidad porque espera que el plazo se mueva está haciendo una apuesta. Las probabilidades favorecen el aplazamiento. La desventaja de equivocarse no es abstracta — es operativa. Es la carrera para construir un sistema de gestión de riesgos, documentación técnica, infraestructura de registro y mecanismos de supervisión humana en las semanas entre un trílogo fallido y el 2 de agosto. La probabilidad es baja. El impacto es catastrófico.
Lo que una empresa puede hacer hoy
La ausencia de normas armonizadas no significa ausencia de requisitos. Las disposiciones sustantivas del Reglamento de IA son autosuficientes. Dicen qué construir. Las normas habrían proporcionado una metodología de consenso para construirlo. Sin las normas, debes construir la metodología tú mismo — pero el destino es el mismo.
Esto es lo que existe y lo que puedes hacer con ello.
Artículo 9 — Gestión de riesgos. El reglamento especifica los requisitos para un sistema de gestión de riesgos en detalle. Debe ser un proceso iterativo continuo. Debe identificar y analizar riesgos conocidos y razonablemente previsibles. Debe evaluar los riesgos que emergen cuando el sistema se usa de acuerdo con su finalidad prevista y en condiciones de uso indebido razonablemente previsible. Debe adoptar medidas de gestión de riesgos adecuadas. El artículo es prescriptivo. No necesitas la prEN 18228 para construir un sistema de gestión de riesgos. Necesitas el artículo 9, la documentación técnica de tu sistema y alguien con competencia en el dominio de aplicación de tu sistema de IA. La norma, cuando llegue, proporcionará una metodología estructurada. El artículo proporciona los requisitos que esa metodología debe satisfacer.
Artículo 10 — Gobernanza de datos. Los conjuntos de datos de entrenamiento, validación y prueba deben cumplir criterios de calidad: relevantes, suficientemente representativos, libres de errores en la medida de lo posible y completos en vista de la finalidad prevista. El artículo especifica prácticas de gobernanza de datos — incluyendo examen de sesgos, identificación de carencias y medidas adecuadas para abordarlas. Documenta tus datos. Documenta sus fuentes. Documenta tus controles de calidad. Documenta cómo trataste el sesgo. La norma proporcionará un marco para hacer esto. El artículo te dice lo que el marco debe cubrir.
Artículo 11 — Documentación técnica. El Anexo IV lista el contenido de la documentación técnica en detalle. Descripción general, proceso de desarrollo, monitorización y control, sistema de gestión de riesgos, cambios a lo largo del ciclo de vida, normas armonizadas aplicadas y medidas de conformidad. El último punto — normas armonizadas aplicadas — estará vacío por ahora. El Anexo IV acomoda explícitamente esto: cuando no se han aplicado normas armonizadas, la documentación debe incluir “una lista de otras normas y especificaciones técnicas pertinentes aplicadas.” ISO/IEC 42001, ISO/IEC 23894, ISO/IEC 38507 — no son normas armonizadas bajo el Reglamento de IA, pero son especificaciones técnicas pertinentes que demuestran una metodología de conformidad. Úsalas. Documenta su aplicación. La documentación técnica no exige normas armonizadas. Exige documentación de cualquier norma que hayas aplicado.
Artículo 12 — Registro. El sistema debe registrar automáticamente eventos. El artículo especifica cuáles: período de uso, bases de datos de referencia, datos de entrada que produjeron coincidencias, identificación de las personas implicadas en la verificación. Este es un requisito de ingeniería. No depende de una norma armonizada. Construye la infraestructura de registro. La norma no cambiará lo que registras. Puede cambiar cómo lo estructuras y almacenas. Construye ahora, refina después.
Artículo 13 — Transparencia. El sistema debe diseñarse para ser suficientemente transparente para permitir que los implementadores interpreten el resultado y lo utilicen adecuadamente. Las instrucciones de uso deben incluir: identidad del proveedor, características del sistema, capacidades y limitaciones, finalidad prevista, nivel de precisión y métricas de precisión pertinentes. Escribe las instrucciones de uso. El contenido está especificado en el artículo. Una norma armonizada podría especificar el formato. El contenido ya está definido.
Artículo 14 — Supervisión humana. He escrito sobre esto extensamente en “El error de 500.000 euros.” El requisito es claro: las personas físicas deben ser capaces de comprender plenamente las capacidades y limitaciones del sistema, de monitorizar su funcionamiento, de poder decidir no usar el sistema o ignorar su resultado, y de poder intervenir o interrumpir el sistema. Construye la interfaz de supervisión. Forma a los supervisores. La norma no cambiará el requisito. Proporcionará una metodología para demostrarlo.
prEN 18286 — Sistema de gestión de la calidad. El borrador de la norma está públicamente disponible a través de los organismos nacionales de normalización. No está finalizado. Puede cambiar. Pero es la orientación más detallada disponible para la conformidad con el artículo 17. Léelo. Úsalo como referencia para estructurar tu sistema de gestión de la calidad. Cuando la norma final se publique, alinéate con ella. El coste de alinear un sistema construido contra el borrador a la norma final es ajuste. El coste de no construir nada mientras esperas la norma final es partir de cero.
El puente ISO
La ausencia de normas armonizadas específicas del Reglamento de IA no significa ausencia de normas. El panorama internacional de normalización ofrece marcos pertinentes que, si bien no confieren la presunción de conformidad en virtud del artículo 40, proporcionan metodologías estructuradas para abordar los requisitos del Reglamento de IA.
ISO/IEC 42001 — Sistema de Gestión de Inteligencia Artificial — proporciona una norma de sistema de gestión para organizaciones que usan o proporcionan IA. Cubre evaluación de riesgos, gobernanza y gestión del ciclo de vida. No se corresponde directamente con los requisitos del Reglamento de IA, pero aborda las mismas preocupaciones estructurales. Una empresa con un sistema de gestión certificado ISO 42001 tiene un marco que se traduce en conformidad con el Reglamento de IA mediante adaptación, no reinvención.
ISO/IEC 23894 — Inteligencia Artificial: Orientación sobre Gestión de Riesgos — proporciona un marco de gestión de riesgos específico para sistemas de IA. Se alinea conceptualmente con el artículo 9 pero fue desarrollada independientemente del Reglamento de IA. Una empresa que implementa la ISO 23894 tiene un sistema de gestión de riesgos que aborda la mayor parte de lo que el artículo 9 exige — con carencias que pueden cubrirse leyendo el propio artículo 9.
Estas normas no son sustitutos de las normas armonizadas. No confieren la presunción de conformidad. Pero proporcionan algo que las normas armonizadas que faltan no pueden: estructura. Un sistema de gestión de riesgos construido sobre la ISO 23894 y adaptado al artículo 9 es demostrablemente más robusto que un sistema de gestión de riesgos construido desde cero sin ningún marco metodológico. Cuando un regulador evalúa la conformidad en ausencia de normas armonizadas, la empresa que aplicó una norma internacional reconocida — y documentó su aplicación — está en una posición más fuerte que la empresa que no aplicó nada.
La realidad de la aplicación
La cuestión práctica es qué ocurre cuando la aplicación comienza sin normas armonizadas. La respuesta depende del ejecutor.
Las autoridades nacionales competentes que llevan meses operativas — Traficom en Finlandia, AESIA en España, Bundesnetzagentur en Alemania — han tenido tiempo para desarrollar metodologías de aplicación. Estas autoridades comprenden la brecha de normalización. Saben que ninguna empresa puede demostrar conformidad con una norma que no existe. Su enfoque de aplicación tendrá necesariamente en cuenta la ausencia de normas armonizadas — evaluando la conformidad frente a los requisitos del reglamento en lugar de frente a especificaciones técnicas.
Esto no es licencia para la complacencia. La ausencia de normas armonizadas no reduce los requisitos. Cambia el marco probatorio. Una empresa debe seguir cumpliendo los artículos 9 a 15. Debe seguir teniendo un sistema de gestión de riesgos, documentación técnica, registro, transparencia y supervisión humana. Lo que no puede tener es una norma armonizada a la que señalar como prueba. La prueba debe venir de la sustancia de lo que la empresa construyó, documentó e implementó.
Las empresas que mejor les irá en un entorno de aplicación sin normas armonizadas son las que hicieron el trabajo. No las que esperaron a la norma. No las que contrataron una consultora para producir un análisis de brechas. Las que leyeron el artículo 9, construyeron un sistema de gestión de riesgos, lo documentaron y lo mantuvieron. Las que leyeron el artículo 11 y el Anexo IV, produjeron la documentación técnica y la mantuvieron actualizada. Las que trataron el texto del reglamento como la especificación — porque, en ausencia de normas armonizadas, lo es.
La posición
La brecha de normalización es real, estructural y no se cerrará antes del 2 de agosto de 2026. El Ómnibus Digital puede empujar la fecha de conformidad a diciembre de 2027. Las normas armonizadas pueden llegar en el cuarto trimestre de 2026. Ambas cosas pueden ocurrir. Ninguna ha ocurrido.
La brecha no justifica la inacción. Justifica un tipo diferente de acción. Construye sobre el texto del reglamento, no sobre una norma que no existe. Usa los borradores de normas como orientación, no como vía de conformidad. Aplica normas internacionales donde aborden las mismas preocupaciones. Documéntalo todo — la metodología, las normas aplicadas, las carencias identificadas, las decisiones tomadas.
Las empresas que naveguen con éxito la brecha de normalización serán las que trataron la ausencia de normas como una restricción de construcción, no como una excusa de construcción. Leonardo da Vinci trabajó sin software CAD. Las restricciones no detuvieron el trabajo. Lo moldearon.
Las normas llegarán. Siempre llegan. La cuestión es si construiste algo que merezca ser alineado con ellas — o si te quedaste en la mesa de dibujo esperando planos que nunca llegaron.
Los planos llegan tarde. La construcción no es opcional.