Reglamento (UE) 2024/1689 · Aplicación: 2 de agosto de 2026
El cumplimiento de la Ley de IA de la UE comienza en la capa de acción
La mayoría de las organizaciones están protegiendo el modelo. La Ley de IA de la UE también exige proteger lo que el modelo hace con cada llamada a la API, cada conexión al servidor MCP, cada acción del agente. Esa es la brecha que Salt Security fue diseñada para cerrar.
Plazo de aplicación
2 de agosto de 2026
Multa máxima
35 millones de euros
o el 7% de la facturación global
Notificación de incidentes que comprometen la vida o la seguridad
24 horas
Plazo del Artículo 73
Otros incidentes graves
72 horas
Plazo del Artículo 73
Resumen de la Ley de IA de la UE
¿Qué es la Ley de IA de la UE?
El Reglamento (UE) 2024/1689, conocido como la Ley de IA de la UE, es el primer marco legal integral del mundo para la inteligencia artificial. Entró en vigor el 1 de agosto de 2024 y establece un sistema de clasificación de riesgos por niveles que impone obligaciones cada vez más estrictas a los sistemas de IA en función del daño potencial que puedan causar.
La Ley se aplica a los proveedores que introducen sistemas de IA en el mercado de la UE, a los implementadores que operan sistemas de IA de alto riesgo dentro de la UE y a las organizaciones de terceros países cuyas salidas de IA se utilizan en la UE. Las disposiciones del Artículo 5 sobre prácticas prohibidas son aplicables desde febrero de 2025. El conjunto completo de mandatos para sistemas de IA de alto riesgo será aplicable a partir del 2 de agosto de 2026.
Para los equipos de seguridad, el aspecto más trascendental es el Artículo 15: los sistemas de IA de alto riesgo deben ser resilientes frente a ataques adversarios en toda su capa de acción, no solo a nivel de salida del modelo. Esto significa que las API que sus agentes invocan están dentro del alcance.
Categorías de riesgo de la Ley de IA de la UE
Un marco escalonado para el riesgo de la IA
La Ley de IA de la UE clasifica los sistemas de IA en cuatro niveles de riesgo. Sus obligaciones de cumplimiento dependen enteramente de la posición de sus implementaciones de IA en esta jerarquía. Si utiliza agentes de IA en contratación, crédito, infraestructura o aplicación de la ley, es casi seguro que estará sujeto a las obligaciones más estrictas.
Riesgo inaceptable
Prácticas prohibidas
Aplicaciones de IA que suponen una amenaza inaceptable para los derechos fundamentales. Prohibidas directamente según el Artículo 5. En vigor desde febrero de 2025.
Alto riesgo
Cumplimiento total requerido
Sistemas de IA enumerados en el Anexo III. Sujetos a la gama completa de obligaciones: gestión de riesgos, gobernanza de datos, documentación técnica, registro, supervisión humana y resiliencia de ciberseguridad.
Riesgo limitado
Obligaciones de transparencia
Sistemas de IA con obligaciones de transparencia específicas, principalmente chatbots y herramientas de medios sintéticos. Los usuarios deben ser informados de que están interactuando con un sistema de IA.
Riesgo mínimo
Códigos de conducta voluntarios
Sistemas de IA sin obligaciones vinculantes según la Ley. Los proveedores pueden adoptar voluntariamente códigos de conducta alineados con los principios del reglamento.
Nota importante sobre el alcance
Si sus agentes de IA invocan API, incluidos servicios internos, plataformas de terceros o servidores MCP, esa capa de acción está dentro del alcance de los mandatos de ciberseguridad y registro de la Ley. Los considerandos 99 y 100 abordan explícitamente las arquitecturas multiagente: en una cadena de agentes de IA, el límite de cumplimiento se extiende a cada agente que realiza una función de alto riesgo.
Requisitos de cumplimiento de la Ley de IA de la UE 2026
Obligaciones artículo por artículo
Las disposiciones de alto riesgo aplicables a partir del 2 de agosto de 2026 abarcan la gestión de riesgos, la gobernanza de datos, el registro de actividades, la transparencia, la supervisión humana, la resiliencia de la ciberseguridad y la supervisión posterior a la comercialización. A continuación, se detalla lo que exige cada artículo y dónde el Agentic Security Graph de Salt Security ofrece cobertura.
Leyenda de cobertura
Control técnico directo
Soporte de auditoría y documentación
Compatible con un programa QMS más amplio
Artículo 9 Sistema de gestión de riesgos: continuo e iterativo a lo largo del ciclo de vida de la IA
Los sistemas de IA de alto riesgo deben contar con un sistema de gestión de riesgos documentado que funcione de forma continua durante todo el desarrollo y la operación, no una evaluación única en el momento del despliegue.
AG-SPM Continuous Discovery crea y mantiene automáticamente un inventario de riesgos en vivo de cada agente de IA, conexión de servidor MCP y API. Las nuevas conexiones y la desviación de la configuración se señalan como riesgos emergentes en tiempo real.
Artículo 10 · Destacado Ley de IA de la UE Artículo 10: gobernanza de datos: prevenir el acceso no autorizado y el envenenamiento de datos en el momento de la inferencia
El Artículo 10 exige que los sistemas de IA de alto riesgo implementen prácticas de gobernanza de datos que protejan contra el acceso no autorizado y garanticen la integridad de los datos a lo largo de todo el ciclo de vida del sistema, incluido el momento de la inferencia, cuando un agente de IA está llamando activamente a las API y procesando datos.
La visibilidad del flujo de datos de la API de Salt proporciona una profunda observabilidad de los datos que atraviesan la capa de acción en el momento de la inferencia. Los patrones anómalos de acceso a datos y las respuestas de API mal formadas que podrían introducir entradas comprometidas se detectan automáticamente.
Artículo 11 Documentación técnica: inventario completo de interfaces antes de la comercialización
Los proveedores deben elaborar y mantener documentación técnica que describa todos los componentes, interfaces y capacidades del sistema de IA antes de su comercialización.
El Agentic Security Graph produce un inventario continuo y exportable de cada agente de IA, servidor MCP y punto final de API dentro del alcance, aportación directa a los requisitos de documentación técnica del Artículo 11.
Artículo 12 · Destacado Ley de IA de la UE Artículo 12: mantenimiento de registros: registros a prueba de manipulaciones conservados durante un mínimo de 6 meses
El Artículo 12 exige el registro automático de todos los eventos relevantes para identificar riesgos y garantizar la trazabilidad. Los registros deben ser a prueba de manipulaciones y conservarse durante al menos 6 meses, o 24 meses para sistemas biométricos y de aplicación de la ley.
El registro de auditoría inmutable de Salt captura un registro completo y a prueba de manipulaciones de cada interacción de IA a API: cargas útiles de solicitud, datos de respuesta, tiempos, contexto de autenticación e indicadores de anomalías. Las políticas de retención son configurables según los mínimos del Artículo 12.
Artículo 14 Supervisión humana: capacidad de detener el sistema e intervenir en tiempo real
Los sistemas de IA de alto riesgo deben diseñarse para permitir que los operadores humanos supervisen eficazmente su funcionamiento e intervengan o detengan el sistema cuando se detecte un comportamiento anómalo.
Las Alertas en Tiempo Real de AG-DR detectan comportamientos anómalos de los agentes con todo el contexto. Los operadores de seguridad pueden ver exactamente qué API está llamando un agente y terminar o poner en cuarentena las sesiones que muestren un comportamiento no autorizado.
Artículo 15 · Destacado Artículo 15 de la Ley de IA de la UE: resiliencia de ciberseguridad: protección contra ataques adversarios, envenenamiento de datos y evasión de modelos
El Artículo 15(3) exige robustez técnica contra ataques adversarios de terceros no autorizados. El Artículo 15(5) enumera amenazas específicas: envenenamiento de datos, ejemplos adversarios, ataques de confidencialidad y evasión de modelos. La protección debe extenderse a las interfaces a través de las cuales los sistemas de IA interactúan con el mundo, en la práctica, las API y los servidores MCP.
La Protección contra Amenazas de Comportamiento construye líneas base impulsadas por IA para cada agente e interacción de API. El Análisis de Tráfico Este-Oeste monitoriza el tráfico lateral de API entre agentes y servidores MCP, identificando patrones de inyección de prompts y acceso no autorizado a datos.
Artículos 72 y 73 Monitorización post-comercialización y notificación obligatoria de incidentes en un plazo de 24 a 72 horas
El Artículo 72 exige un sistema de monitorización establecido y documentado desde el primer día de implementación. El Artículo 73 exige la notificación de incidentes: 24 horas para riesgos de vida/seguridad, 72 horas para otros incidentes graves, 15 días para fallos de funcionamiento.
La monitorización continua de Salt es una implementación directa del Artículo 72. Cada línea base de comportamiento y detección de anomalías es un punto de datos de monitorización post-comercialización. La detección de comportamiento identifica incidentes a medida que ocurren, la condición previa para cumplir con los requisitos de plazos del Artículo 73.
Artículo 17 Sistema de gestión de calidad que cubre la gobernanza de datos, el registro y la ciberseguridad
Los proveedores deben implementar un sistema de gestión de calidad documentado que cubra las prácticas de gobernanza de datos, la infraestructura de registro, la monitorización post-comercialización y los controles de ciberseguridad.
Salt proporciona la monitorización de ciberseguridad, el registro y la evidencia de postura que un SGC requiere. Salt es la capa de control técnico cuyos resultados alimentan la documentación del SGC del proveedor y los procesos de mejora continua.
La brecha de cumplimiento que la mayoría de las organizaciones están pasando por alto
Las herramientas tradicionales solo cubren la mitad del panorama
La inversión en seguridad de IA empresarial se concentra en la capa del modelo. Esos controles son necesarios. Pero el Artículo 15 es explícito: la protección debe extenderse a las acciones que realiza un sistema de IA, no solo a los resultados que genera.
Herramientas tradicionales de seguridad de IA
Barreras de seguridad de IA responsable, filtrado de resultados, red-teaming de LLM, gobernanza de modelos.
- Visibilidad de la salida del modelo
- Monitoreo de prompts/respuestas
- Sin visibilidad de acciones de API
- Sin monitoreo de servidor MCP
- Sin infraestructura de registro del Artículo 12
Herramientas tradicionales de seguridad de API
Monitoreo de pasarela de API, análisis de tráfico, aplicación de autenticación.
- Visibilidad del tráfico de API
- Contexto de autenticación
- Sin contexto de agente de IA
- Sin línea base de comportamiento por agente
- Sin postura de seguridad agéntica
Salt Security: diseñado específicamente para la brecha que expone la Ley de IA de la UE
El Gráfico de Seguridad Agéntica de Salt Security opera en las tres capas que abarca el ámbito de aplicación de la Ley: la capa de LLM/modelo, la capa de servidor MCP y la capa de API. Es la única plataforma que proporciona un plano de control unificado que combina el contexto de seguridad de API con la comprensión de los agentes de IA, cerrando la brecha de cumplimiento que las herramientas tradicionales dejan abierta.
AG-SPM
Postura y documentación. Descubre cada agente de IA, servidor MCP y punto final de API. Inventario continuo de interfaces para los Arts. 9, 11 y 13.
AG-DR
Detección y respuesta. Detección de comportamiento en tiempo real en la capa de acción. Permite la supervisión del Art. 14 y saca a la luz incidentes para los Arts. 20 y 73.
Gráfico de Seguridad Agéntica
Registro de cumplimiento continuo. El registro a prueba de manipulaciones de cada interacción de IA a API satisface el Art. 12. El monitoreo continuo es la evidencia del Art. 15 y Art. 72 que las autoridades de supervisión esperan.
Preguntas comunes
Ley de IA de la UE: preguntas frecuentes
¿Qué es la Ley de IA de la UE y se aplica a mi organización?
La Ley de IA de la UE (Reglamento (UE) 2024/1689) es la primera regulación integral de IA del mundo. Se aplica a cualquier organización que comercialice sistemas de IA en el mercado de la UE, opere sistemas de IA de alto riesgo dentro de la UE, o cuyos resultados de IA se utilicen en la UE, incluyendo empresas no pertenecientes a la UE. Si utiliza IA en contratación, crédito, infraestructura, biometría o aplicación de la ley, es casi seguro que está dentro del ámbito de aplicación.
¿Cuáles son los requisitos de cumplimiento de la Ley de IA de la UE para 2026?
Las principales obligaciones que entrarán en vigor el 2 de agosto de 2026 incluyen: un sistema de gestión de riesgos continuo (Art. 9), gobernanza de datos con protecciones en tiempo de inferencia (Art. 10), documentación técnica completa (Art. 11), registro a prueba de manipulaciones conservado durante un mínimo de 6 meses (Art. 12), transparencia para los implementadores (Art. 13), capacidad de supervisión humana (Art. 14), resiliencia en ciberseguridad (Art. 15), un sistema de gestión de calidad (Art. 17) y monitoreo post-comercialización desde el primer día de implementación (Art. 72).
¿Qué exige específicamente el Artículo 15 de la Ley de IA de la UE?
El Artículo 15 exige que los sistemas de IA de alto riesgo se diseñen y desarrollen para lograr un nivel adecuado de resiliencia en ciberseguridad. El Artículo 15(5) enumera tipos de ataques específicos contra los que se debe proteger: envenenamiento de datos, ejemplos adversarios que atacan el comportamiento del modelo, ataques de confidencialidad y evasión del modelo. Estas amenazas se dirigen principalmente a las interfaces a través de las cuales los sistemas de IA interactúan con fuentes de datos y servicios externos, en la práctica, APIs y servidores MCP.
¿Qué exige el Artículo 10 de la Ley de IA de la UE en cuanto a la gobernanza de datos?
El Artículo 10 establece requisitos de gobernanza de datos para sistemas de IA de alto riesgo, incluyendo prácticas para prevenir el acceso no autorizado, proteger la integridad de los datos y asegurar que los datos de entrenamiento, validación y prueba se gestionen adecuadamente. Las obligaciones de gobernanza de datos se extienden a lo largo del ciclo de vida de la IA, incluyendo en el momento de la inferencia, cuando los agentes de IA acceden y procesan activamente datos a través de llamadas a la API.
¿Qué exige el Artículo 12 de la Ley de IA de la UE en cuanto al mantenimiento de registros?
El Artículo 12 exige que los sistemas de IA de alto riesgo generen automáticamente registros que permitan la trazabilidad y la identificación de riesgos. Los registros deben ser a prueba de manipulaciones. La retención mínima es de 6 meses para la mayoría de los sistemas de alto riesgo, y de 24 meses para los sistemas de identificación biométrica y de aplicación de la ley. La obligación de registro cubre tanto los sistemas del proveedor como los registros operativos del implementador.
¿Están los agentes de IA que invocan APIs dentro del ámbito de aplicación de la Ley de IA de la UE?
Sí. Si un agente de IA invoca APIs, incluyendo microservicios internos, plataformas de terceros o servidores MCP, esa capa de acción está sujeta a los mandatos de ciberseguridad (Art. 15) y registro (Art. 12) de la Ley. En arquitecturas multiagente, los Considerandos 99 y 100 indican que cada agente en la cadena que realiza una función de alto riesgo está dentro del ámbito de aplicación. El límite de cumplimiento se extiende a toda la capa de acción, no solo al modelo en sí.
Cada mes que se retrase es un mes de datos de monitoreo que no tendrá
La fecha de entrada en vigor del 2 de agosto de 2026 es fija
El grafo de seguridad agéntico de Salt Security se puede implementar en días y comienza a construir su registro de cumplimiento continuo desde el primer día.
Aviso legal: El Reglamento (UE) 2024/1689 (Ley de IA de la UE) entró en vigor el 1 de agosto de 2024. Las disposiciones sobre sistemas de IA de alto riesgo se aplican a partir del 2 de agosto de 2026. Las disposiciones del modelo GPAI se aplicaron a partir del 2 de agosto de 2025. Esta página tiene fines informativos y no constituye asesoramiento legal. Las organizaciones deben consultar a un asesor legal cualificado de la UE en relación con sus obligaciones de cumplimiento específicas.