APREX · EST. 2026
> TL;DR
> - La EU AI Act es la primera ley de IA vinculante del mundo. La fase que afecta a más empresas comienza el 2 de agosto de 2026.
> - Los sistemas de IA de alto riesgo —en contratación, educación, crédito, salud y más— requieren ahora documentación completa, gestión de riesgos y supervisión humana.
> - Las multas por infracciones graves pueden alcanzar 35 millones de euros o el 7% de la facturación global.
> - Noruega es país del EEE. Las empresas noruegas que sirven a clientes de la UE están directamente cubiertas, sin excepciones.
El reloj corre. Y las empresas no están listas.
Dos meses. Es todo el tiempo que queda antes de que entre en vigor la ronda de aplicación más severa de la EU AI Act. A partir del 2 de agosto de 2026, las empresas que utilizan los llamados sistemas de IA de alto riesgo —ya sea con sede en Oslo, Ámsterdam o San Francisco— deben documentar, auditar y controlar su tecnología. Las que no lo hagan arriesgan multas que podrían hundir incluso a grandes empresas tecnológicas. Sin embargo, análisis recientes muestran que la mayoría de las empresas europeas todavía no cumplen los requisitos (Sesamedisk, mayo de 2026).
¿Qué es exactamente la EU AI Act?
La EU AI Act (Reglamento UE 2024/1689) entró formalmente en vigor el 1 de agosto de 2024. No es una guía. No es una recomendación. Es ley — con sanciones económicas, alcance extraterritorial y una estructura de aplicación modelada según el RGPD.
La ley se basa en un principio de riesgo: cuanto mayor sea el riesgo que un sistema de IA supone para las personas, más estrictos serán los requisitos. Divide la IA en cuatro categorías: riesgo inaceptable (prohibido), alto riesgo (requisitos estrictos), riesgo limitado (requisitos de transparencia) y riesgo mínimo (sin requisitos específicos).
La aplicación se despliega en cuatro oleadas a lo largo de tres años.
> CUADRO DE DATOS: Cuatro oleadas de aplicación de la EU AI Act
>
> | Fecha | Qué entró en vigor |
> |---|---|
> | 2 de febrero de 2025 | Prácticas de IA prohibidas (Art. 5) + requisitos de alfabetización en IA (Art. 4) |
> | 2 de agosto de 2025 | Obligaciones GPAI (Art. 51-56). La Oficina de IA, el Consejo de IA y el Foro Consultivo se volvieron operativos. |
> | 2 de agosto de 2026 | Fase principal: sistemas de IA de alto riesgo (Anexo III), requisitos de transparencia (Art. 50), entornos de prueba |
> | 2 de agosto de 2027 | IA integrada en productos regulados: dispositivos médicos, maquinaria, juguetes, vehículos (Anexo I) |
> | 2 de diciembre de 2027 | Los modelos GPAI heredados lanzados antes de agosto de 2025 deben lograr plena conformidad |
Lo que ya está prohibido — ahora mismo
Desde el 2 de febrero de 2025, varias prácticas de IA están totalmente prohibidas en la UE. No se trata del futuro — es derecho vigente:
- Manipulación subliminal: IA que influye en el comportamiento sin que el usuario sea consciente.
- Explotación de grupos vulnerables: IA dirigida a niños, personas mayores o personas con discapacidad de forma manipuladora.
- Puntuación social: Clasificación de personas en función de su comportamiento por parte de autoridades públicas, al estilo del crédito social chino.
- Identificación biométrica en tiempo real en espacios públicos, con excepciones muy limitadas para delitos graves.
- Reconocimiento de emociones en lugares de trabajo y centros educativos.
Las infracciones de estas normas pueden desencadenar las multas más elevadas de la ley (Legalithm, mayo de 2026).
2 de agosto de 2026: qué ocurre exactamente
Esta es la fecha que la mayoría de empresas noruegas y europeas deberían tener marcada en rojo. El Anexo III enumera ocho categorías de IA de alto riesgo:
Para todos los sistemas de estas categorías se exigen ahora sistemas de gestión de riesgos, gobernanza de la calidad de los datos, documentación técnica, registro de actividad, transparencia hacia el usuario, supervisión humana y seguridad y robustez frente a ataques. Los requisitos se aplican tanto al que desarrolla el sistema («proveedor») como al que lo pone en uso en su empresa («desplegador»), según Sesamedisk (2026).
> CIFRA CLAVE
>
> 35 000 000 € — Multa máxima por infracciones de prácticas de IA prohibidas (o el 7% de la facturación global, lo que sea mayor)
>
> 15 000 000 € — Multa máxima por infracciones de los requisitos de alto riesgo (o el 3% de la facturación global)
>
> 7 500 000 € — Multa máxima por facilitar información falsa o engañosa a las autoridades (o el 1% de la facturación global)
El Ómnibus Digital cambió dos plazos clave
En abril de 2026 se alcanzó un acuerdo político sobre una modificación conocida como el «Ómnibus Digital». El acuerdo se confirmó formalmente el 7 de mayo de 2026 e introduce dos ajustes importantes (TechJack Solutions, mayo de 2026):
Vía 1 — Proveedores de GenAI: Los proveedores de modelos de IA generativa tienen de plazo hasta el 2 de diciembre de 2026 para cumplir con la marca de agua del contenido sintético y la prohibición del contenido íntimo generado por IA sin consentimiento.
Vía 2 — Desplegadores del Anexo III: Las empresas que despliegan sistemas de IA de alto riesgo (pero no los desarrollan) obtienen una prórroga hasta el 2 de diciembre de 2027, desde el plazo original del 2 de agosto de 2026.
Esto concede a los desplegadores más de un año adicional, pero ya están obligados a registrarse y comenzar a cartografiar su uso de IA.
> DESTACADO
>
> Noruega no está exenta. Como país del EEE, se espera que la EU AI Act se incorpore al ordenamiento jurídico noruego a través del proceso EEE. Hasta que eso ocurra, las empresas noruegas que ofrecen servicios o productos a clientes de la UE están directamente sujetas a la ley, igual que con el RGPD. No existe ninguna «pausa EEE» noruega que proporcione margen de maniobra.
Tres marcos dominan 2026 — y no son iguales
Junto a la EU AI Act, otros dos marcos prominentes configuran el mercado. Estas son las diferencias clave:
| Marco | Tipo | Enfoque geográfico | Multas | Certificable |
|---|---|---|---|---|
| EU AI Act | Ley vinculante | UE/EEE + extraterritorial | Sí, hasta el 7% | No (evaluación de conformidad) |
| NIST AI RMF 1.0 | Marco voluntario | EE. UU., pero de uso global | No | No |
| ISO/IEC 42001:2023 | Norma internacional | Global | No | Sí |
El NIST AI RMF es en la práctica esperado en el sector público estadounidense y se utiliza globalmente como marco de competencia. ISO/IEC 42001 proporciona certificación y es utilizado por empresas que desean documentar su madurez en IA ante clientes y reguladores. Muchas empresas noruegas optan por una combinación de los tres (Blissdrive, 2026; AgenticRail, 2026).
El resto del mundo: ¿caos o competencia?
La EU AI Act no existe en el vacío. La presión regulatoria global es intensa pero fragmentada:
- EE. UU.: La orden ejecutiva del presidente Trump de diciembre de 2025 bloquea la regulación de IA a nivel estatal. La política federal está orientada a la innovación, no a la seguridad (EO 14179, enero de 2025). California SB 1047 exige de todas formas auditorías anuales de terceros desde enero de 2026.
- China: La CAC exige aprobación antes de lanzar IA de cara al público. El Marco de Gobernanza de IA 2.0 incluye un mandato de Control Humano. Desde enero de 2026, una nueva ley de ciberseguridad añade revisión de seguridad de la IA y requisitos de localización de datos (ISACA, 2026).
- Corea del Sur: La Ley Marco de IA (enero de 2026) exige equidad y no discriminación. Multas de hasta aproximadamente 29 000 dólares.
- Japón: La Ley de Promoción de la IA (mayo de 2025) es de mano ligera — sin multas económicas, pero con nombramiento público de los infractores.
- Singapur: Marco voluntario.
- Reino Unido: Todavía sin legislación dedicada a la IA. Enfoque sectorial, y un proyecto de ley de IA de iniciativa privada avanza por la Cámara de los Lores.
Más de 60 países cuentan ya con políticas de IA (The AI Forest, 2026). La fragmentación es exigente para las empresas globales, pero el modelo de la UE está ganando terreno como referente internacional.
> CITA DESTACADA
>
> «La EU AI Act no es un problema de cumplimiento. Es una realidad estratégica. Las empresas que la traten como lo primero perderán ante las que la entiendan como lo segundo.»
> — Resumen del Centro de Conocimiento de ResponsibleAILabs, 2026
Qué deben hacer ahora las empresas noruegas
Lo siguiente se aplica a las empresas noruegas en junio de 2026, basado en orientación consolidada de ADMT.ai y Sesamedisk (2026):
CONCLUSIÓN FINAL
La EU AI Act no es regulación futura. Es presente. A partir del 2 de agosto de 2026, los requisitos más exigentes de la ley se aplican a los sistemas de IA de alto riesgo. Las empresas noruegas no están protegidas — la pertenencia al EEE y el alcance extraterritorial significan que las normas se aplican plenamente. Con multas de hasta 35 millones de euros y requisitos que afectan a todo, desde sistemas de recursos humanos hasta evaluaciones de crédito, esta es la legislación de IA más trascendente que el mundo ha visto. Las empresas que comiencen ahora aún tienen una oportunidad. Las que esperen están apostando algo más que dinero.
Verificado con 10 fuentes primarias abiertas.
Publicado: 7 de junio de 2026 | 24AI — El mejor sitio de noticias de IA de Noruega