Cómo certificar ISO 42001 en una pyme: guía paso a paso para 2026

·

Si tu empresa usa, desarrolla o integra sistemas de inteligencia artificial, probablemente ya hayas oído hablar de la ISO 42001:2023. Publicada en diciembre de 2023 por la Organización Internacional de Normalización (ISO), es la primera norma internacional que establece los requisitos para un sistema de gestión de IA (SGAI). Su llegada coincide con la entrada en vigor progresiva del AI Act europeo (Reglamento UE 2024/1689) y con una presión creciente de clientes, licitadores y aseguradoras que exigen demostrar un uso responsable de la IA. La pregunta que nos hacen cada semana en Summum Calidad es siempre la misma: «¿puede una pyme certificarse en ISO 42001, o es solo para grandes corporaciones?». La respuesta es sí, y en este artículo te explicamos exactamente cómo hacerlo.

Qué es la ISO 42001 y por qué importa en 2026

La ISO/IEC 42001:2023 («Information technology — Artificial intelligence — Management system») define los requisitos que debe cumplir un sistema de gestión diseñado para desarrollar, proveer o usar productos y servicios de IA de manera responsable. Su estructura sigue el Anexo SL de ISO (el mismo esquema de alto nivel que ISO 9001, ISO 27001 o ISO 14001), lo que facilita muchísimo la integración con sistemas de gestión ya existentes.

En 2026, la norma gana relevancia por tres razones concretas:

Estructura de la norma: qué exige realmente

La ISO 42001 tiene 10 cláusulas principales alineadas con el Anexo SL. Las cláusulas del 1 al 3 son introductorias; las del 4 al 10 son normativas (obligatorias para la certificación):

Cláusula Nombre Qué exige en la práctica
4 Contexto de la organización Identificar partes interesadas y el alcance del SGAI; distinguir si la organización es desarrolladora, proveedora o usuaria de IA.
5 Liderazgo Política de IA aprobada por la alta dirección; roles y responsabilidades definidos (puede ser un comité o un responsable de IA designado).
6 Planificación Evaluación de riesgos e impactos específicos de IA; objetivos medibles del SGAI y planes para alcanzarlos.
7 Soporte Recursos, competencias, concienciación, comunicación y documentación del sistema.
8 Operación Controles operativos sobre el ciclo de vida de la IA: diseño, datos, entrenamiento, despliegue, monitorización y retirada.
9 Evaluación del desempeño Auditoría interna del SGAI; revisión por la dirección con métricas de rendimiento.
10 Mejora Gestión de no conformidades, acciones correctivas y mejora continua del sistema.

La norma incluye también un Anexo A con 38 controles de referencia agrupados en 9 dominios (política de IA, organización interna, recursos, evaluación de impacto, ciclo de vida del sistema de IA, datos, información para las partes interesadas, uso responsable y relaciones con terceros). No todos los controles son obligatorios para todas las organizaciones; el SGAI debe justificar cuáles aplican y cuáles se excluyen mediante una Declaración de Aplicabilidad, igual que en ISO 27001.

ISO 42001 vs AI Act: dos marcos que se complementan

Un error frecuente es pensar que son intercambiables. No lo son. El AI Act (Reglamento UE 2024/1689) es legislación vinculante con clasificación de sistemas por nivel de riesgo (inaceptable, alto, limitado, mínimo) y obligaciones legales concretas. La ISO 42001 es una norma voluntaria de gestión que cualquier organización puede adoptar independientemente de si sus sistemas caen dentro del ámbito del AI Act.

La relación práctica entre ambos marcos es la siguiente: cumplir ISO 42001 no exime de las obligaciones del AI Act, pero un SGAI certificado proporciona evidencia documentada de que la organización dispone de procesos de gobernanza de IA, lo que facilita la auditoría de cumplimiento regulatorio. La Comisión Europea ha indicado que los estándares armonizados bajo el AI Act (aún en desarrollo por CEN/CENELEC) incorporarán elementos de ISO 42001.

Para la gestión del cumplimiento legal del AI Act propiamente dicho —clasificación de sistemas, registro en EUDB, documentación técnica obligatoria— el área de Summum Consultoría ofrece un servicio específico de adaptación al AI Act.

Pasos para certificar ISO 42001 en una pyme: proceso real

En Summum Calidad acompañamos a organizaciones de 15 a 250 empleados a través de un proceso estructurado que, partiendo de cero, suele completarse en entre 4 y 8 meses según el punto de partida y la complejidad del uso de IA en la empresa. La certificación la emite un organismo certificador acreditado por ENAC (AENOR, Bureau Veritas, SGS, Applus+, entre otros); nosotros preparamos a la organización hasta que esté lista para esa auditoría externa.

Fase 1 — Diagnóstico inicial (semanas 1-3)

El primer paso es un análisis de brecha (gap analysis) entre el estado actual de la organización y los requisitos de la norma. Identificamos qué sistemas de IA están en uso o desarrollo, quién los gestiona, qué documentación existe y qué controles del Anexo A ya están implantados de facto aunque no estén formalizados. En muchas pymes que ya tienen ISO 9001 o ISO 27001, el solapamiento es del 30-40 %, lo que reduce considerablemente el esfuerzo.

Fase 2 — Diseño del SGAI (semanas 4-10)

Con el diagnóstico en mano, diseñamos el sistema de gestión: política de IA, alcance, inventario de sistemas de IA, mapa de riesgos e impactos, Declaración de Aplicabilidad y plan de tratamiento de riesgos. Esta fase es la más intensiva en colaboración con el equipo directivo: la alta dirección debe aprobar la política y quedar convencida de que el SGAI no es burocracia, sino una herramienta de control real.

Fase 3 — Implantación y formación (semanas 11-22)

Implantamos los controles operativos, formamos al equipo responsable del SGAI y establecemos los mecanismos de monitorización y revisión. Una pyme no necesita un departamento de IA completo: con un responsable de IA designado (puede ser el mismo CTO o responsable de sistemas) y procedimientos claros es suficiente para cumplir los requisitos de la cláusula 5 y 7.

Fase 4 — Auditoría interna y revisión por la dirección

Antes de la auditoría de certificación, realizamos una auditoría interna completa del SGAI y una revisión formal por la dirección. El resultado es un informe que identifica no conformidades menores o áreas de mejora que se corrigen antes de la auditoría externa, maximizando las posibilidades de obtener el certificado en primera convocatoria.

Auditoría de certificación (organismo acreditado)

La auditoría externa la lleva a cabo el organismo certificador en dos fases: revisión documental (Fase I) y auditoría en sitio (Fase II). Si no hay no conformidades mayores, la organización obtiene el certificado ISO 42001, válido por 3 años con auditorías de seguimiento anuales.

Si quieres conocer en detalle nuestra metodología, visita el servicio de implantación y certificación ISO 42001 de Summum Calidad.

Coste orientativo: qué factores determinan el presupuesto

El coste total de un proyecto de certificación ISO 42001 en una pyme tiene tres componentes principales: la consultoría de implantación, la auditoría de certificación del organismo acreditado y los costes internos de dedicación de personal.

Componente Rango orientativo de mercado Variables que lo afectan
Consultoría de implantación 8.000 – 25.000 € Tamaño de la organización, número de sistemas de IA en alcance, existencia de otros sistemas ISO ya certificados.
Auditoría de certificación (organismo acreditado) 3.000 – 8.000 € Organismo elegido (AENOR, BV, SGS…), días de auditoría requeridos, número de sedes en alcance.
Auditorías de seguimiento (años 2 y 3) 1.500 – 3.500 € / año Organismo certificador, complejidad del mantenimiento del SGAI.

Estos rangos son datos de mercado orientativos basados en proyectos similares publicados por organismos del sector y en nuestra experiencia con ~200 certificaciones ISO acompañadas desde 2007. Summum no publica tarifas: cada proyecto recibe un presupuesto personalizado tras el diagnóstico inicial. Las pymes con ISO 9001 o ISO 27001 ya implantadas suelen estar en el tramo inferior de la horquilla de consultoría, al aprovechar documentación y controles compartidos.

Qué sectores se están certificando antes

A mediados de 2026, los sectores con mayor actividad en certificación ISO 42001 en España son:

Integración con otros sistemas de gestión ISO

Una de las ventajas más prácticas de ISO 42001 es su alineación con el Anexo SL. Si tu organización ya tiene certificada la ISO 9001 (calidad), la ISO 27001 (seguridad de la información) o la ISO 14001 (medio ambiente), el esfuerzo incremental para certificar la ISO 42001 es significativamente menor. Las cláusulas 4, 5, 6, 7, 9 y 10 son casi idénticas en estructura; lo específico de ISO 42001 está en la cláusula 8 (operación con el ciclo de vida de la IA) y el Anexo A (controles de IA).

Esta integración permite mantener un único manual de gestión, una política integrada, un único programa de auditoría interna y una única revisión por la dirección, reduciendo la carga administrativa total del sistema integrado.

Preguntas frecuentes

¿La ISO 42001 es obligatoria o voluntaria?

La ISO 42001 es una norma voluntaria: ninguna ley española o europea obliga a certificarse en ella. Sin embargo, el AI Act europeo (Reglamento UE 2024/1689) sí impone obligaciones legales directas a los operadores de sistemas de IA de alto riesgo, y tener un SGAI conforme a ISO 42001 facilita acreditar el cumplimiento ante la autoridad competente. Adicionalmente, clientes, licitadores públicos y aseguradoras pueden exigirla contractualmente como condición de acceso.

¿Cuánto tiempo se tarda en certificar ISO 42001 partiendo de cero?

El plazo habitual en una pyme que parte desde cero, sin ningún otro sistema de gestión ISO implantado, oscila entre 6 y 9 meses. Si ya existe ISO 27001 o ISO 9001, el plazo se reduce a 4-6 meses, al aprovechar documentación, controles y cultura de auditoría ya establecidos. El cuello de botella más frecuente no es técnico sino organizativo: conseguir que la alta dirección dedique tiempo a aprobar la política de IA y las responsabilidades del SGAI.

¿Cualquier empresa que use IA necesita certificar ISO 42001?

No. La norma es útil cuando la organización desarrolla, despliega o gestiona sistemas de IA en procesos que implican un riesgo real (decisiones sobre personas, procesos críticos, sistemas con aprendizaje automático continuo) o cuando existe una expectativa comercial o regulatoria de demostrar gobernanza. Una pyme que usa ChatGPT o Copilot para redactar emails probablemente no necesita un SGAI certificado. Una empresa que usa IA para evaluar solicitudes de crédito, seleccionar candidatos o controlar calidad en una línea de producción sí tiene argumentos sólidos para certificarse.

¿Summum Calidad emite el certificado ISO 42001?

No. Summum Calidad es una consultora, no un organismo certificador. Acompañamos a la organización en todo el proceso de diseño, implantación y preparación para la auditoría, pero la certificación la emite un organismo acreditado por ENAC (como AENOR, Bureau Veritas, SGS, Applus+ u otros). Esta separación es fundamental: el certificado tiene valor precisamente porque lo otorga una entidad independiente y acreditada, no quien ha implantado el sistema.