Cada evento en la cadena de custodia lleva referencia a los artículos normativos
que satisface. Cuando el auditor pregunta "demuéstrame el cumplimiento del Art. 12
del AI Act", la respuesta sale del sistema, no de un dossier en Word.
UE 2024/1689
Activa
AI Act
Reglamento europeo de inteligencia artificial. Clasificación de riesgo, transparencia, supervisión humana y trazabilidad obligatoria para sistemas de IA.
Artículos cubiertos
Art. 12 (registro de eventos) · Art. 13 (transparencia) · Art. 14 (supervisión humana) · Art. 50 (transparencia con usuarios)
UE 2016/679
Activa
GDPR
Reglamento general de protección de datos. Bases legítimas, minimización, derecho de acceso, supresión y portabilidad.
Artículos cubiertos
Art. 5 (principios) · Art. 22 (decisiones automatizadas) · Art. 30 (registro de actividades) · Art. 32 (seguridad)
ISO 27001
Activa
Seguridad de la información
Sistema de gestión de seguridad de la información (SGSI). Control de accesos, criptografía, gestión de incidentes y continuidad.
Controles cubiertos
A.5 (políticas) · A.8 (gestión de activos) · A.10 (criptografía) · A.12 (operaciones) · A.16 (incidentes)
ISO 42001
Activa
Gestión de IA
Sistema de gestión de inteligencia artificial. Primera norma internacional dedicada a la gobernanza, riesgos y ciclo de vida de sistemas IA.
Cláusulas cubiertas
Cl. 6 (planificación) · Cl. 7 (soporte) · Cl. 8 (operación) · Cl. 9 (evaluación del desempeño)
ISO 22301
Activa
Continuidad de negocio
Sistema de gestión de continuidad. Análisis de impacto, planes de recuperación, pruebas periódicas y resiliencia operativa.
Cláusulas cubiertas
Cl. 8.2 (BIA) · Cl. 8.4 (estrategias) · Cl. 8.5 (planes) · Cl. 9.1 (medición)
UE 2022/2555
Activa
NIS2
Directiva de ciberseguridad para entidades esenciales e importantes. Gestión de riesgos, notificación de incidentes y supervisión reforzada.
Artículos cubiertos
Art. 21 (medidas técnicas) · Art. 23 (notificación incidentes) · Art. 24 (uso esquemas certificación)
UE 2022/2554
Activa
DORA
Resiliencia operativa digital para sector financiero. Gestión de riesgos TIC, pruebas, gestión de terceros y reporte de incidentes graves.
Artículos cubiertos
Art. 5-15 (gestión riesgos TIC) · Art. 17-23 (incidentes) · Art. 24-27 (pruebas resiliencia)
RD 311/2022
Activa
ENS
Esquema Nacional de Seguridad. Marco español de seguridad para sector público y proveedores. Categorización por niveles BÁSICO/MEDIO/ALTO.
Medidas cubiertas
op.acc (control acceso) · op.exp (explotación) · op.mon (monitorización) · mp.info (protección información)
UE 2024/2847
Activa
Cyber Resilience Act (CRA)
Requisitos de ciberseguridad para productos con elementos digitales. Gestión de vulnerabilidades, actualizaciones y duty of care del fabricante.
Anexos cubiertos
Anexo I (requisitos esenciales) · Art. 13 (vulnerabilidades) · Art. 14 (notificación)
ISO 27018
Activa
PII en la nube
Protección de información personal identificable en servicios cloud actuando como procesador. Consentimiento, transparencia y minimización.
Controles cubiertos
A.1-A.18 (controles GDPR-aligned) + A.11 (criptografía PII) + extensiones cloud
ISO 27701
Activa
Gestión de privacidad
Sistema de gestión de privacidad de información (PIMS). Extensión de ISO 27001/27002 para tratar datos personales.
Cláusulas cubiertas
Cl. 5 (PIMS específico) · Cl. 6 (responsable) · Cl. 7 (procesador) · Anexo A (mapeo GDPR)
AEPD · CNIL
Activa
Guías de autoridades
Guías de la Agencia Española de Protección de Datos y de la Commission Nationale de l'Informatique et des Libertés sobre IA y datos personales.
Referencias cubiertas
AEPD: guía IA + decisiones automatizadas · CNIL: référentiel IA + analyse d'impact
AICPA TSC
Activa
SOC 2
Service Organization Controls Type 2. Criterios de servicios de confianza: seguridad, disponibilidad, integridad, confidencialidad y privacidad.
Trust Services Criteria
CC1-CC9 (security) · A1 (availability) · PI1 (integrity) · C1 (confidentiality) · P1-P8 (privacy)