¿Cumple su IA con la normativa? Regístrese hoy

Reglamento (UE) 2024/1689 · Aplicación: 2 de agosto de 2026

El cumplimiento de la Ley de IA de la UE comienza en la capa de acción

La mayoría de las organizaciones están protegiendo el modelo. La Ley de IA de la UE también exige proteger lo que el modelo hace con cada llamada a la API, cada conexión al servidor MCP, cada acción del agente. Esa es la brecha que Salt Security fue diseñada para cerrar.

Plazo de aplicación

2 de agosto de 2026

Multa máxima

35 millones de euros

o el 7% de la facturación global

Notificación de incidentes que comprometen la vida o la seguridad

24 horas

Plazo del Artículo 73

Otros incidentes graves

72 horas

Plazo del Artículo 73

Resumen de la Ley de IA de la UE

¿Qué es la Ley de IA de la UE?

El Reglamento (UE) 2024/1689, conocido como la Ley de IA de la UE, es el primer marco legal integral del mundo para la inteligencia artificial. Entró en vigor el 1 de agosto de 2024 y establece un sistema de clasificación de riesgos por niveles que impone obligaciones cada vez más estrictas a los sistemas de IA en función del daño potencial que puedan causar.

La Ley se aplica a los proveedores que introducen sistemas de IA en el mercado de la UE, a los implementadores que operan sistemas de IA de alto riesgo dentro de la UE y a las organizaciones de terceros países cuyas salidas de IA se utilizan en la UE. Las disposiciones del Artículo 5 sobre prácticas prohibidas son aplicables desde febrero de 2025. El conjunto completo de mandatos para sistemas de IA de alto riesgo será aplicable a partir del 2 de agosto de 2026.

Para los equipos de seguridad, el aspecto más trascendental es el Artículo 15: los sistemas de IA de alto riesgo deben ser resilientes frente a ataques adversarios en toda su capa de acción, no solo a nivel de salida del modelo. Esto significa que las API que sus agentes invocan están dentro del alcance.

Categorías de riesgo de la Ley de IA de la UE

Un marco escalonado para el riesgo de la IA

La Ley de IA de la UE clasifica los sistemas de IA en cuatro niveles de riesgo. Sus obligaciones de cumplimiento dependen enteramente de la posición de sus implementaciones de IA en esta jerarquía. Si utiliza agentes de IA en contratación, crédito, infraestructura o aplicación de la ley, es casi seguro que estará sujeto a las obligaciones más estrictas.

Riesgo inaceptable

Prácticas prohibidas

Aplicaciones de IA que suponen una amenaza inaceptable para los derechos fundamentales. Prohibidas directamente según el Artículo 5. En vigor desde febrero de 2025.

Puntuación social
Manipulación subliminal
Vigilancia biométrica en tiempo real

Alto riesgo

Cumplimiento total requerido

Sistemas de IA enumerados en el Anexo III. Sujetos a la gama completa de obligaciones: gestión de riesgos, gobernanza de datos, documentación técnica, registro, supervisión humana y resiliencia de ciberseguridad.

Contratación y RRHH
Decisiones crediticias
Infraestructura crítica
Aplicación de la ley
Servicios esenciales

Riesgo limitado

Obligaciones de transparencia

Sistemas de IA con obligaciones de transparencia específicas, principalmente chatbots y herramientas de medios sintéticos. Los usuarios deben ser informados de que están interactuando con un sistema de IA.

Chatbots
Deepfakes
Contenido generado por IA

Riesgo mínimo

Códigos de conducta voluntarios

Sistemas de IA sin obligaciones vinculantes según la Ley. Los proveedores pueden adoptar voluntariamente códigos de conducta alineados con los principios del reglamento.

Filtros de spam
IA en videojuegos
Motores de recomendación

Nota importante sobre el alcance

Si sus agentes de IA invocan API, incluidos servicios internos, plataformas de terceros o servidores MCP, esa capa de acción está dentro del alcance de los mandatos de ciberseguridad y registro de la Ley. Los considerandos 99 y 100 abordan explícitamente las arquitecturas multiagente: en una cadena de agentes de IA, el límite de cumplimiento se extiende a cada agente que realiza una función de alto riesgo.

Requisitos de cumplimiento de la Ley de IA de la UE 2026

Obligaciones artículo por artículo

Las disposiciones de alto riesgo aplicables a partir del 2 de agosto de 2026 abarcan la gestión de riesgos, la gobernanza de datos, el registro de actividades, la transparencia, la supervisión humana, la resiliencia de la ciberseguridad y la supervisión posterior a la comercialización. A continuación, se detalla lo que exige cada artículo y dónde el Agentic Security Graph de Salt Security ofrece cobertura.

Leyenda de cobertura

Fuerte

Control técnico directo

Evidencia

Soporte de auditoría y documentación

Parcial

Compatible con un programa QMS más amplio

Artículo 9 Sistema de gestión de riesgos: continuo e iterativo a lo largo del ciclo de vida de la IA

Los sistemas de IA de alto riesgo deben contar con un sistema de gestión de riesgos documentado que funcione de forma continua durante todo el desarrollo y la operación, no una evaluación única en el momento del despliegue.


AG-SPM Continuous Discovery crea y mantiene automáticamente un inventario de riesgos en vivo de cada agente de IA, conexión de servidor MCP y API. Las nuevas conexiones y la desviación de la configuración se señalan como riesgos emergentes en tiempo real.

Fuerte

Artículo 10 · Destacado Ley de IA de la UE Artículo 10: gobernanza de datos: prevenir el acceso no autorizado y el envenenamiento de datos en el momento de la inferencia

El Artículo 10 exige que los sistemas de IA de alto riesgo implementen prácticas de gobernanza de datos que protejan contra el acceso no autorizado y garanticen la integridad de los datos a lo largo de todo el ciclo de vida del sistema, incluido el momento de la inferencia, cuando un agente de IA está llamando activamente a las API y procesando datos.


La visibilidad del flujo de datos de la API de Salt proporciona una profunda observabilidad de los datos que atraviesan la capa de acción en el momento de la inferencia. Los patrones anómalos de acceso a datos y las respuestas de API mal formadas que podrían introducir entradas comprometidas se detectan automáticamente.

Fuerte

Artículo 11 Documentación técnica: inventario completo de interfaces antes de la comercialización

Los proveedores deben elaborar y mantener documentación técnica que describa todos los componentes, interfaces y capacidades del sistema de IA antes de su comercialización.


El Agentic Security Graph produce un inventario continuo y exportable de cada agente de IA, servidor MCP y punto final de API dentro del alcance, aportación directa a los requisitos de documentación técnica del Artículo 11.

Evidencia

Artículo 12 · Destacado Ley de IA de la UE Artículo 12: mantenimiento de registros: registros a prueba de manipulaciones conservados durante un mínimo de 6 meses

El Artículo 12 exige el registro automático de todos los eventos relevantes para identificar riesgos y garantizar la trazabilidad. Los registros deben ser a prueba de manipulaciones y conservarse durante al menos 6 meses, o 24 meses para sistemas biométricos y de aplicación de la ley.


El registro de auditoría inmutable de Salt captura un registro completo y a prueba de manipulaciones de cada interacción de IA a API: cargas útiles de solicitud, datos de respuesta, tiempos, contexto de autenticación e indicadores de anomalías. Las políticas de retención son configurables según los mínimos del Artículo 12.

Fuerte

Artículo 14 Supervisión humana: capacidad de detener el sistema e intervenir en tiempo real

Los sistemas de IA de alto riesgo deben diseñarse para permitir que los operadores humanos supervisen eficazmente su funcionamiento e intervengan o detengan el sistema cuando se detecte un comportamiento anómalo.


Las Alertas en Tiempo Real de AG-DR detectan comportamientos anómalos de los agentes con todo el contexto. Los operadores de seguridad pueden ver exactamente qué API está llamando un agente y terminar o poner en cuarentena las sesiones que muestren un comportamiento no autorizado.

Fuerte

Artículo 15 · Destacado Artículo 15 de la Ley de IA de la UE: resiliencia de ciberseguridad: protección contra ataques adversarios, envenenamiento de datos y evasión de modelos

El Artículo 15(3) exige robustez técnica contra ataques adversarios de terceros no autorizados. El Artículo 15(5) enumera amenazas específicas: envenenamiento de datos, ejemplos adversarios, ataques de confidencialidad y evasión de modelos. La protección debe extenderse a las interfaces a través de las cuales los sistemas de IA interactúan con el mundo, en la práctica, las API y los servidores MCP.


La Protección contra Amenazas de Comportamiento construye líneas base impulsadas por IA para cada agente e interacción de API. El Análisis de Tráfico Este-Oeste monitoriza el tráfico lateral de API entre agentes y servidores MCP, identificando patrones de inyección de prompts y acceso no autorizado a datos.

Fuerte

Artículos 72 y 73 Monitorización post-comercialización y notificación obligatoria de incidentes en un plazo de 24 a 72 horas

El Artículo 72 exige un sistema de monitorización establecido y documentado desde el primer día de implementación. El Artículo 73 exige la notificación de incidentes: 24 horas para riesgos de vida/seguridad, 72 horas para otros incidentes graves, 15 días para fallos de funcionamiento.


La monitorización continua de Salt es una implementación directa del Artículo 72. Cada línea base de comportamiento y detección de anomalías es un punto de datos de monitorización post-comercialización. La detección de comportamiento identifica incidentes a medida que ocurren, la condición previa para cumplir con los requisitos de plazos del Artículo 73.

Fuerte

Artículo 17 Sistema de gestión de calidad que cubre la gobernanza de datos, el registro y la ciberseguridad

Los proveedores deben implementar un sistema de gestión de calidad documentado que cubra las prácticas de gobernanza de datos, la infraestructura de registro, la monitorización post-comercialización y los controles de ciberseguridad.


Salt proporciona la monitorización de ciberseguridad, el registro y la evidencia de postura que un SGC requiere. Salt es la capa de control técnico cuyos resultados alimentan la documentación del SGC del proveedor y los procesos de mejora continua.

Parcial

La brecha de cumplimiento que la mayoría de las organizaciones están pasando por alto

Las herramientas tradicionales solo cubren la mitad del panorama

La inversión en seguridad de IA empresarial se concentra en la capa del modelo. Esos controles son necesarios. Pero el Artículo 15 es explícito: la protección debe extenderse a las acciones que realiza un sistema de IA, no solo a los resultados que genera.

Herramientas tradicionales de seguridad de IA

Barreras de seguridad de IA responsable, filtrado de resultados, red-teaming de LLM, gobernanza de modelos.

  • Visibilidad de la salida del modelo
  • Monitoreo de prompts/respuestas
  • Sin visibilidad de acciones de API
  • Sin monitoreo de servidor MCP
  • Sin infraestructura de registro del Artículo 12

Herramientas tradicionales de seguridad de API

Monitoreo de pasarela de API, análisis de tráfico, aplicación de autenticación.

  • Visibilidad del tráfico de API
  • Contexto de autenticación
  • Sin contexto de agente de IA
  • Sin línea base de comportamiento por agente
  • Sin postura de seguridad agéntica

Salt Security: diseñado específicamente para la brecha que expone la Ley de IA de la UE

El Gráfico de Seguridad Agéntica de Salt Security opera en las tres capas que abarca el ámbito de aplicación de la Ley: la capa de LLM/modelo, la capa de servidor MCP y la capa de API. Es la única plataforma que proporciona un plano de control unificado que combina el contexto de seguridad de API con la comprensión de los agentes de IA, cerrando la brecha de cumplimiento que las herramientas tradicionales dejan abierta.

AG-SPM

Postura y documentación. Descubre cada agente de IA, servidor MCP y punto final de API. Inventario continuo de interfaces para los Arts. 9, 11 y 13.

AG-DR

Detección y respuesta. Detección de comportamiento en tiempo real en la capa de acción. Permite la supervisión del Art. 14 y saca a la luz incidentes para los Arts. 20 y 73.

Gráfico de Seguridad Agéntica

Registro de cumplimiento continuo. El registro a prueba de manipulaciones de cada interacción de IA a API satisface el Art. 12. El monitoreo continuo es la evidencia del Art. 15 y Art. 72 que las autoridades de supervisión esperan.

Preguntas comunes

Ley de IA de la UE: preguntas frecuentes

¿Qué es la Ley de IA de la UE y se aplica a mi organización?

La Ley de IA de la UE (Reglamento (UE) 2024/1689) es la primera regulación integral de IA del mundo. Se aplica a cualquier organización que comercialice sistemas de IA en el mercado de la UE, opere sistemas de IA de alto riesgo dentro de la UE, o cuyos resultados de IA se utilicen en la UE, incluyendo empresas no pertenecientes a la UE. Si utiliza IA en contratación, crédito, infraestructura, biometría o aplicación de la ley, es casi seguro que está dentro del ámbito de aplicación.

¿Cuáles son los requisitos de cumplimiento de la Ley de IA de la UE para 2026?

Las principales obligaciones que entrarán en vigor el 2 de agosto de 2026 incluyen: un sistema de gestión de riesgos continuo (Art. 9), gobernanza de datos con protecciones en tiempo de inferencia (Art. 10), documentación técnica completa (Art. 11), registro a prueba de manipulaciones conservado durante un mínimo de 6 meses (Art. 12), transparencia para los implementadores (Art. 13), capacidad de supervisión humana (Art. 14), resiliencia en ciberseguridad (Art. 15), un sistema de gestión de calidad (Art. 17) y monitoreo post-comercialización desde el primer día de implementación (Art. 72).

¿Qué exige específicamente el Artículo 15 de la Ley de IA de la UE?

El Artículo 15 exige que los sistemas de IA de alto riesgo se diseñen y desarrollen para lograr un nivel adecuado de resiliencia en ciberseguridad. El Artículo 15(5) enumera tipos de ataques específicos contra los que se debe proteger: envenenamiento de datos, ejemplos adversarios que atacan el comportamiento del modelo, ataques de confidencialidad y evasión del modelo. Estas amenazas se dirigen principalmente a las interfaces a través de las cuales los sistemas de IA interactúan con fuentes de datos y servicios externos, en la práctica, APIs y servidores MCP.

¿Qué exige el Artículo 10 de la Ley de IA de la UE en cuanto a la gobernanza de datos?

El Artículo 10 establece requisitos de gobernanza de datos para sistemas de IA de alto riesgo, incluyendo prácticas para prevenir el acceso no autorizado, proteger la integridad de los datos y asegurar que los datos de entrenamiento, validación y prueba se gestionen adecuadamente. Las obligaciones de gobernanza de datos se extienden a lo largo del ciclo de vida de la IA, incluyendo en el momento de la inferencia, cuando los agentes de IA acceden y procesan activamente datos a través de llamadas a la API.

¿Qué exige el Artículo 12 de la Ley de IA de la UE en cuanto al mantenimiento de registros?

El Artículo 12 exige que los sistemas de IA de alto riesgo generen automáticamente registros que permitan la trazabilidad y la identificación de riesgos. Los registros deben ser a prueba de manipulaciones. La retención mínima es de 6 meses para la mayoría de los sistemas de alto riesgo, y de 24 meses para los sistemas de identificación biométrica y de aplicación de la ley. La obligación de registro cubre tanto los sistemas del proveedor como los registros operativos del implementador.

¿Están los agentes de IA que invocan APIs dentro del ámbito de aplicación de la Ley de IA de la UE?

Sí. Si un agente de IA invoca APIs, incluyendo microservicios internos, plataformas de terceros o servidores MCP, esa capa de acción está sujeta a los mandatos de ciberseguridad (Art. 15) y registro (Art. 12) de la Ley. En arquitecturas multiagente, los Considerandos 99 y 100 indican que cada agente en la cadena que realiza una función de alto riesgo está dentro del ámbito de aplicación. El límite de cumplimiento se extiende a toda la capa de acción, no solo al modelo en sí.

Cada mes que se retrase es un mes de datos de monitoreo que no tendrá

La fecha de entrada en vigor del 2 de agosto de 2026 es fija

El grafo de seguridad agéntico de Salt Security se puede implementar en días y comienza a construir su registro de cumplimiento continuo desde el primer día.

Aviso legal: El Reglamento (UE) 2024/1689 (Ley de IA de la UE) entró en vigor el 1 de agosto de 2024. Las disposiciones sobre sistemas de IA de alto riesgo se aplican a partir del 2 de agosto de 2026. Las disposiciones del modelo GPAI se aplicaron a partir del 2 de agosto de 2025. Esta página tiene fines informativos y no constituye asesoramiento legal. Las organizaciones deben consultar a un asesor legal cualificado de la UE en relación con sus obligaciones de cumplimiento específicas.