El borrador de directrices de la Comisión Europea para la clasificación de sistemas de IA de alto riesgo marca ahora la pauta para uno de los procesos regulatorios más exigentes a los que se ha enfrentado la industria europea en el campo de la tecnología. Para las empresas noruegas que desarrollan o utilizan IA que entra dentro del Reglamento de IA de la UE, es un tema que urge abordar.

¿Qué es «alto riesgo» y por qué es tan difícil de determinar?

El núcleo de las directrices consiste en aclarar cuándo un sistema de IA es realmente de alto riesgo. Según la revisión del proceso de consulta, a la que se refiere Arthur Cox LLP, esto está lejos de ser sencillo en la práctica. El «propósito previsto» del sistema es central en la evaluación, y esto depende en gran medida del contexto de uso específico.

Un punto particularmente importante es que si varios sistemas de IA forman parte de una solución conjunta más grande, toda la configuración se trata como un único sistema de alto riesgo. Esto significa que una posible estrategia de elusión —dividir los sistemas para evitar la clasificación— ahora está explícitamente cerrada.

Otras ambigüedades señaladas por la industria incluyen qué califica realmente como «supervisión humana suficiente», qué umbrales de rendimiento se aplican y si los requisitos de precisión deben cumplirse por igual en diferentes grupos de usuarios.

Toda la configuración se trata como un único sistema de alto riesgo; una posible estrategia de elusión ahora está explícitamente cerrada.
El 71% de la IA de alto riesgo carece de documentación: la UE aprieta las tuercas - Bilde 1

Controles piloto: Siete de cada diez sistemas fallan

Las cifras de los primeros controles piloto son graves. Según la fuente de investigación, las auditorías realizadas durante los controles piloto del Reglamento de IA mostraron que el 71 por ciento de los sistemas de IA de alto riesgo evaluados carecían de documentación o controles de riesgo adecuados. Es una cifra alta que sugiere que muchas empresas aún no están cerca de cumplir con la normativa.

71 %
Sistemas de IA de alto riesgo que carecían de documentación en los controles piloto
2 de agosto de 2026
Primera gran fecha límite de cumplimiento

Cronología: Plazos que las empresas noruegas deben tener en cuenta

2 de agosto de 2026
Los requisitos principales (artículos 9-49) entran en vigor para todos los sistemas de IA de alto riesgo.
2 de agosto de 2027
La IA de alto riesgo integrada en productos regulados debe cumplir con la normativa.
2 de diciembre de 2027
Las normas para biometría, infraestructura crítica, educación y empleo se aplican plenamente.
2 de agosto de 2028
Se incluyen los sistemas integrados en productos como ascensores y juguetes.

Se avecina un gran esfuerzo de implementación

La industria señala que pasar de la comprensión legal al cumplimiento práctico es un enorme desafío operativo. Los requisitos de documentación técnica detallada y trazabilidad a lo largo de todo el ciclo de vida del sistema de IA —desde el diseño hasta la supervisión posterior a la introducción en el mercado— chocan con la forma rápida e iterativa en que se suele desarrollar la IA.

Se espera que el trabajo de cumplimiento aumente los costos operativos, prolongue el tiempo de comercialización y, potencialmente, eleve los precios de las soluciones de IA que cumplan con la normativa. La industria ha solicitado al menos doce meses para implementar los estándares técnicos, pero el plazo parece ofrecer mucho menos tiempo.

Las empresas noruegas que utilizan IA en RRHH, crédito, salud o infraestructura crítica deberían empezar a evaluar si sus sistemas entran en la categoría de alto riesgo.

Gran presión de la industria europea

En julio de 2025, más de 45 destacadas empresas europeas —entre ellas Airbus, ASML, Lufthansa, Mercedes-Benz y Siemens Energy— se unieron para instar a la UE a suspender los requisitos más estrictos durante al menos dos años. La justificación fue la incertidumbre persistente, la sobrecarga regulatoria y el temor a una menor competitividad. La Comisión Europea no ha concedido hasta ahora ninguna prórroga general, según la revisión de Arthur Cox LLP.

Además, la industria advierte sobre la superposición con regulaciones existentes como el GDPR y la Ley de Servicios Digitales (DSA), especialmente en relación con la IA generativa. Dentro del sector de la salud, los actores temen que los requisitos contradictorios de la regulación de dispositivos médicos puedan retrasar la introducción de soluciones médicas basadas en IA.

Qué deben hacer ahora las empresas noruegas

Con el 2 de agosto de 2026 como primera fecha límite crítica, el margen de acción es limitado. Las empresas que desarrollan o utilizan IA en áreas como biometría, empleo, crédito, educación, infraestructura crítica o atención médica, deben evaluar de inmediato si sus sistemas califican como de alto riesgo según el reglamento.

Las medidas concretas incluyen establecer sistemas de gestión de riesgos para todo el ciclo de vida de la IA, asegurar la documentación técnica y la trazabilidad, y establecer rutinas para la supervisión humana y la notificación de incidentes. Las multas por incumplimiento son significativas, lo que significa que el costo de esperar puede ser mucho mayor que el costo de actuar ahora.