El borrador concreta cómo aplicar el artículo 6 del Reglamento de IA y obliga a las organizaciones a revisar inventarios, finalidades de uso, responsabilidades y modelos de gobernanza.

 

La Comisión Europea ha abierto una consulta pública sobre el borrador de directrices para la clasificación de sistemas de inteligencia artificial de alto riesgo, conforme al artículo 6 del Reglamento (UE) 2024/1689 sobre inteligencia artificial. La iniciativa busca aclarar cuándo un sistema de IA debe quedar sujeto al régimen más exigente del AI Act y ofrece ejemplos prácticos para proveedores, responsables del despliegue, autoridades de vigilancia del mercado y demás actores implicados.

 

Para ISMS Forum, la consulta debe leerse como una señal operativa para las empresas. La clasificación de los sistemas de IA no puede abordarse únicamente desde el área legal o tecnológica. Exige inventario, trazabilidad de usos, definición de responsabilidades, evaluación de impacto, gobierno del dato, supervisión humana y controles de seguridad integrados en el ciclo de vida del sistema.

 

Qué sistemas pueden considerarse de alto riesgo

 

El Reglamento de IA identifica dos vías principales de clasificación. La primera afecta a sistemas de IA que sean productos regulados por legislación armonizada de la Unión o que funcionen como componentes de seguridad de esos productos, siempre que deban someterse a una evaluación de conformidad por terceros. La segunda alcanza a los sistemas incluidos en los casos de uso del Anexo III, cuando puedan afectar de forma significativa a la salud, la seguridad o los derechos fundamentales.

 

• Artículo 6.1: sistemas integrados en productos regulados o utilizados como componentes de seguridad, por ejemplo, en determinados productos sujetos a legislación sectorial de seguridad.

 

• Artículo 6.2 y Anexo III: sistemas autónomos utilizados en áreas sensibles como biometría, infraestructuras críticas, educación, empleo, acceso a servicios esenciales, aplicación de la ley, migración y control fronterizo, administración de justicia y procesos democráticos.

 

Las directrices recuerdan que no basta con observar la tecnología de forma aislada, debe analizarse para qué se diseña, cómo se presenta comercialmente, qué instrucciones de uso recibe el usuario y qué papel cumple en el proceso de decisión. La intervención humana tampoco excluye por sí sola la clasificación como alto riesgo; la supervisión humana es una obligación de cumplimiento, no una vía automática de exclusión.

 

Qué aportan las directrices de la Comisión

 

El objetivo del borrador es reducir incertidumbre interpretativa. La Comisión recoge criterios generales, desarrolla la aplicación del artículo 6.1 y del Anexo I, y analiza la clasificación conforme al artículo 6.2 y el Anexo III. Además, incorpora ejemplos de sistemas que deberían o no calificarse como de alto riesgo, sin que esos ejemplos tengan carácter exhaustivo.

 

La definición de “componente de seguridad” adquiere especial relevancia pues el borrador apunta a una interpretación autónoma en el marco del Reglamento de IA, que puede ser más amplia que la utilizada en determinados regímenes sectoriales de producto. Esta cuestión es especialmente relevante para fabricantes, integradores, proveedores de software, desarrolladores de soluciones industriales y organizaciones que incorporan IA en procesos críticos.

 

También son relevantes los sistemas complejos y agentivos. Cuando un sistema de IA forma parte de una arquitectura más amplia y sus resultados influyen materialmente en una decisión individual, la organización deberá analizar el conjunto del proceso y no solo cada componente de forma aislada. Esta lectura es especialmente importante en entornos donde varios modelos, agentes o herramientas automatizadas interactúan entre sí.

 

Impacto para empresas, desarrolladores y responsables de cumplimiento

 

La consulta llega en un momento crítico para la preparación del mercado, en este contexto, muchas organizaciones ya utilizan IA en selección de personal, ciberseguridad, scoring, atención a usuarios, gestión documental, procesos de negocio, monitorización, análisis de riesgos o servicios esenciales. La cuestión no es solo si la herramienta es avanzada, sino si su finalidad, contexto de uso e impacto potencial la sitúan en una categoría regulatoria más exigente.

 

• Inventario de IA: identificar qué sistemas se utilizan realmente, quién los provee, quién los opera y en qué procesos intervienen.

 

• Metodología de clasificación: documentar por qué un sistema entra o no en la categoría de alto riesgo y bajo qué supuesto del artículo 6.

 

• Gobernanza interna: asignar responsabilidades entre tecnología, seguridad, legal, privacidad, cumplimiento, negocio y dirección.

 

• Evidencias y trazabilidad: conservar documentación técnica, finalidad prevista, controles, supervisión humana, gestión de riesgos y criterios de revisión.

 

• Ciberseguridad y resiliencia: integrar controles de robustez, monitorización, gestión de incidentes y continuidad en el ciclo de vida de los sistemas de IA.

 

Desde una perspectiva empresarial, esperar a la versión final puede ser una estrategia insuficiente. Las directrices aún están en consulta, pero el proceso de clasificación exige conocimiento interno, coordinación transversal y capacidad de justificar decisiones ante clientes, autoridades, auditores o terceros. Para ISMS Forum, este es precisamente el punto donde la regulación de IA conecta con la ciberseguridad, la gestión del riesgo digital y la gobernanza corporativa.

 

Plazos de consulta y contexto regulatorio

 

La consulta está abierta desde el 19 de mayo hasta el 23 de junio de 2026, a las 22:00 CET. Las partes interesadas pueden remitir observaciones a través del cuestionario en línea. La Comisión tendrá en cuenta las aportaciones recibidas para la versión final de las directrices.

 

Las directrices no son jurídicamente vinculantes ya que la interpretación última del Reglamento corresponde al Tribunal de Justicia de la Unión Europea. No obstante, su relevancia práctica será elevada, porque orientarán la autoevaluación de los proveedores, el trabajo de los responsables del despliegue y la supervisión de las autoridades nacionales competentes.

 

Actualmente, el calendario de aplicación de las obligaciones para sistemas de IA de alto riesgo está en fase de revisión. Conforme al régimen vigente del Reglamento de IA, las obligaciones relativas a los sistemas de alto riesgo del artículo 6.2 (casos de uso del Anexo III) comenzarían a aplicarse el 2 de agosto de 2026, mientras que las relativas a los sistemas de alto riesgo del artículo 6.1 (sistemas integrados en productos regulados) lo harían el 2 de agosto de 2027.

 

No obstante, el Consejo de la UE y el Parlamento Europeo han alcanzado un acuerdo provisional para aplazar esas fechas. Si el texto se adopta formalmente, las nuevas fechas pasarían a ser el 2 de diciembre de 2027 para los sistemas autónomos de alto riesgo y el 2 de agosto de 2028 para los sistemas de IA integrados en productos.

 

Una oportunidad para anticiparse

 

La clasificación de la IA de alto riesgo no debe entenderse como una carga aislada de cumplimiento, sino como una herramienta de gobierno. Permite identificar usos críticos, reforzar controles, mejorar la trazabilidad y evitar que decisiones relevantes para personas, organizaciones o infraestructuras queden delegadas en sistemas sin una supervisión adecuada.

 

ISMS Forum seguirá acompañando a su comunidad en la lectura técnica y práctica del AI Act. La evolución de estas directrices será clave para que empresas, administraciones y profesionales de la ciberseguridad puedan adoptar IA de forma segura, responsable y alineada con las nuevas exigencias europeas.

 

*Fuentes oficiales de la Comisión Europea, Consejo de la UE y EUR-Lex.