En septiembre de 2025, la Comisión Europea ha dado un paso relevante hacia la regulación del uso de la inteligencia artificial con alto impacto: publicó un borrador de guía de orientación junto con una plantilla de informe para la notificación de «incidentes graves» (serious incidents) vinculados a sistemas de IA de alto riesgo, conforme al artículo 73 de la AI Act.
Aunque las obligaciones no serán plenamente exigibles hasta agosto de 2026, este anuncio marca un hito clave para empresas que desarrollan o emplean IA avanzada —y por supuesto para organizaciones como la nuestra que asesoran en estrategia, cumplimiento normativo y ciberseguridad—.
¿Qué se entiende por “incidente grave” y qué exige la norma?
La guía clarifica que un «incidente grave» se refiere a una interrupción, mal funcionamiento o uso indebido de un sistema de IA de alto riesgo que, directa o indirectamente, provoca alguno de los siguientes efectos:
- Muerte de una persona o perjuicio serio para su salud.
- Alteración grave e irreversible de infraestructuras críticas.
- Infracción de obligaciones relativas a derechos fundamentales conforme al Derecho UE.
- Daños graves al medio ambiente o a bienes materiales.
La norma subraya que no es necesario que el vínculo entre el sistema de IA y el impacto sea directo; basta que haya una relación causal razonablemente previsible («indirecta» incluida).
Plazos y obligaciones para los proveedores
La AI Act establece un sistema escalonado de plazos para la notificación, en función de la gravedad del evento:
- En un caso normal, el proveedor debe realizar la notificación a la autoridad competente del Estado miembro donde ocurrió el incidente en un plazo máximo de 15 días tras tener conocimiento de la relación causal o riesgo razonable.
- Si el incidente es muy grave o de carácter extendido: notificación en 2 días.
- En caso de muerte de una persona, el plazo es 10 días tras conocimiento del incidente.
Tras la notificación, el proveedor debe investigar sin demora, cooperar con las autoridades y abstenerse de modificar el sistema de IA en una forma que impida análisis ulterior sin comunicarlo.
Se abre ahora un periodo de consulta pública sobre la guía y plantilla hasta el 7 de noviembre de 2025.
¿Por qué es relevante para empresas medias y tecnológicas?
Para organizaciones como las que atendemos (empresas de ~50‑100 trabajadores, con uso intensivo de tecnología e IA), este desarrollo tiene varias implicaciones estratégicas:
- La madurez en gestión de incidentes de IA ya no es opcional: Este nuevo marco exige no sólo que se anticipen riesgos, sino que se tenga una capacidad formal de detección, escalado, notificación y corrección de incidentes asociados a sistemas de IA de alto riesgo.
- Debe integrarse con los procesos de ciberseguridad y cumplimiento normativo: Si ya tienes protocolos para ciberincidentes, brechas de datos o continuidad de negocio, este nuevo requerimiento debe integrarse en ellos (no se trata de un “añadido” sino de un componente estratégico del gobierno de IA).
- Transparencia y trazabilidad en sistemas de IA: Las empresas proveedoras o desarrolladoras de sistemas de IA deben documentar claramente los sistemas, supervisar su comportamiento en producción, y estar preparadas para “reportar” con evidencia si ocurre un incidente. Eso implica políticas, roles, herramientas y cultura.
- Ventaja competitiva y de confianza: Una empresa capaz de demostrar que gestiona sus sistemas de IA conforme a los estándares de la legislación europea (y lo que viene) gana credibilidad ante clientes, inversores y reguladores.
- Preparación ante la entrada en vigor: Aunque algunas obligaciones se activan en agosto de 2026, los plazos actuales de consulta implican que los requisitos de hecho están próximos. Por ello, anticiparse permite evitar sorpresas, optimizar costes y evitar sanciones o perjuicios reputacionales.
Cómo puede acompañarte Qubit CyberDefence
Desde Qubit CyberDefence S.L. ofrecemos acompañamiento para que tu organización se prepare ante estas nuevas obligaciones de la AI Act:
- Realizamos diagnósticos de madurez en gestión de IA y en protocolos de incidentes tecnológicos: identificamos gaps en roles, procesos, datos, registros, reporting y gobernanza.
- Diseñamos frameworks de reporte de incidentes de IA adaptados a la empresa: plantillas, flujos internos, integración con sistemas de ciberseguridad, roles de comunicación y escalado, y enlace con cumplimiento normativo.
- Acompañamos la integración de IA & seguridad: adaptamos políticas de IA, revisamos trazabilidad de modelos, establecemos métricas de monitorización, reforzamos roles de supervisión y auditoría.
- Ofrecemos formación y sensibilización del equipo directivo, técnico y de cumplimiento en los requisitos de la AI Act, para que el marco se comprenda y se asuma como parte del negocio.
La publicación de esta guía y plantilla por la Comisión Europea marca una evolución significativa: la IA de alto riesgo ya no es solo una cuestión de diseño ético o técnica, sino también de responsabilidad regulatoria estructurada. Para medianas empresas tecnológicas con vocación de innovación, esto representa tanto un reto como una oportunidad. Prepararse hoy es posicionarse mejor mañana.
Si quieres que hablemos sobre cómo adaptar estos nuevos requisitos a tu empresa —sector, tamaño, uso de IA— quedo a tu disposición para agendar una llamada.
