En el mundo de la regulación de producto europea hay un mecanismo que lo engrasa todo: las normas armonizadas. Son normas técnicas que los organismos europeos de normalización elaboran por encargo de la Comisión y que, una vez citadas en el Diario Oficial de la UE, otorgan presunción de conformidad: quien las cumple se presume que cumple los requisitos legales que cubren. Es el puente entre el texto jurídico y la ingeniería. El AI Act tiene ese mecanismo previsto en su Artículo 40. Y a día de hoy, ese puente todavía no existe.
Dónde están las normas
El encargo está en marcha desde hace tiempo. El comité técnico conjunto CEN-CENELEC JTC 21 trabaja en la familia de normas que dará soporte a los requisitos de alto riesgo del Reglamento: sistemas de gestión de calidad, gestión de riesgos, fiabilidad, precisión y solidez, entre otras. La primera de la serie en avanzar —el proyecto de norma sobre sistemas de gestión de calidad, prEN 18286— pasó su fase de encuesta pública entre finales de 2025 y enero de 2026. Otras la siguen en distintas fases de elaboración.
Pero elaborar la norma es solo la primera mitad del camino. La segunda es que la Comisión Europea decida citarla en el Diario Oficial, que es el acto que activa la presunción de conformidad. Y ese paso es posterior, discrecional y, hoy, inexistente: ninguna norma armonizada en apoyo del Reglamento (UE) 2024/1689 ha sido citada en el DOUE.
Qué consecuencias tiene ese vacío
La ausencia de normas armonizadas citadas tiene tres consecuencias prácticas que conviene tener claras.
Primera: no existe hoy ninguna vía de presunción de conformidad con el AI Act. Ningún producto, ningún sistema, ningún proveedor puede acogerse a ella, porque el mecanismo que la crea no se ha activado. Cumplir un borrador de norma, o una norma internacional relacionada, puede ser una buena práctica valiosa — pero no otorga la presunción legal.
Segunda: desconfía de ciertos mensajes comerciales. Si un proveedor te dice que su sistema es "conforme a las normas armonizadas del AI Act", te está vendiendo algo que técnicamente no puede existir todavía. Lo honesto que un proveedor puede decir hoy es que trabaja alineado con los borradores en desarrollo o con estándares internacionales como ISO/IEC 42001 — que son buenas prácticas, no presunciones legales. La diferencia no es un matiz: es la diferencia entre un hecho jurídico y una aspiración.
Tercera: este retraso explica parte del aplazamiento del alto riesgo. El Digital Omnibus movió las obligaciones de alto riesgo precisamente porque la infraestructura que las hace operables —normas armonizadas incluidas— no ha llegado a tiempo. Las dos cosas son la misma historia contada desde dos sitios.
Y mientras tanto, ¿qué hace una empresa?
Para el desplegador de un sistema de alto riesgo —o para quien lo será cuando el calendario llegue—, el vacío de normas no es una excusa para no hacer nada. Es un argumento para hacer lo que no depende de ellas:
- Due diligence del proveedor con preguntas concretas: qué marco sigue, en qué estado están sus evaluaciones, qué documentación técnica puede enseñar. Un proveedor serio contesta con precisión; uno que contesta con etiquetas grandilocuentes se retrata.
- Evidencia propia del uso: la clasificación del sistema, la supervisión humana, los registros. Nada de eso espera a las normas armonizadas.
- Seguimiento del hito: la publicación de las primeras normas citadas en el DOUE será uno de los momentos regulatorios más importantes para el alto riesgo — cambiará qué se puede exigir a los proveedores y cómo se demuestra la conformidad. Es exactamente el tipo de evento que conviene tener vigilado, no descubrir meses tarde.
En Alethexis seguimos ese hito como parte de la vigilancia regulatoria continua que alimenta el módulo de alto riesgo. Cuando el puente se active, la diferencia la marcará —una vez más— quién llega con su parte del trabajo documentada.
Este artículo tiene carácter informativo y no constituye asesoramiento jurídico.