Imagen_corporativa_PangoStudio__3_-removebg-preview
¿Hablamos?

Consultoría de IA y compliance: EU AI Act, NIS2, DORA, ENS e ISO 27001

Consultoría de inteligencia artificial y compliance regulatorio — Pango Studio

Acompañamos a tu organización a usar inteligencia artificial generativa de forma legalmente defendible. Evaluamos el estado actual, diseñamos el marco de gobernanza, integramos la IA en tu SGSI y te dejamos listo para pasar auditorías de ISO 27001, ISO 42001, ENS, DORA o NIS2 sin desviaciones graves.

Este servicio no sustituye a tu asesoría legal. La complementa con una capa técnica que la mayoría de despachos no cubre: cómo se traduce la regulación en arquitectura, controles operativos y métricas reales. Pango Studio está certificada en ISO/IEC 27001 y aplica sus propios controles a los proyectos de IA que entrega.

Qué problema resolvemos

El marco regulatorio europeo de 2026 no se puede ignorar ni cumplir a medias.

  • EU AI Act: obligaciones escalonadas 2025-2027, multas hasta el 7 % de la facturación global.
  • NIS2: gestión de riesgos de ciberseguridad y cadena de suministro tecnológica para 18 sectores.
  • DORA: resiliencia operativa digital en banca, seguros e inversión desde enero 2025.
  • ENS: obligatorio para AAPP y sus proveedores, con tres categorías.
  • RGPD + LOPDGDD + opinion 28/2024 del EDPB: tratamientos con LLMs requieren base legal sólida y documentada.
  • ISO/IEC 27001 y 42001: estándares de referencia en gestión de seguridad e IA.

Ninguna de estas normas por sí sola define cómo desplegar un LLM en tu empresa. Todas juntas, combinadas con tu sector y tus datos, sí.

Si quieres entender el marco técnico completo antes de contratar consultoría, lee la página pilar: IA local en servidores privados.

Qué incluye la consultoría

Evaluación inicial

  • Inventario de usos de IA actuales (declarados e informales).
  • Clasificación de cada caso de uso bajo el EU AI Act (prohibido, alto, limitado, mínimo).
  • Análisis de tratamientos bajo RGPD: base legal, finalidad, minimización, transferencias internacionales.
  • Mapa de obligaciones que aplican a tu organización combinando sector, tamaño y tipo de cliente.
  • Diagnóstico del gap entre estado actual y estado objetivo.

Diseño de gobernanza

  • Política de uso de IA: qué se permite, qué no, con qué datos y bajo qué condiciones.
  • Comité de IA: composición, frecuencia, decisiones reservadas.
  • Proceso formal de aprobación de nuevos casos de uso.
  • Rol del DPO y del responsable de seguridad en el ciclo de vida de cada sistema de IA.
  • Plan de formación para negocio y para TI.

Integración en el SGSI existente

  • Mapeo de controles IA al Anexo A de ISO/IEC 27001.
  • Incorporación de los controles de ISO/IEC 42001 si procede certificar.
  • Actualización del registro de tratamientos RGPD.
  • Evaluación de impacto (EIPD) específica para los sistemas de IA en alcance.
  • Revisión de la declaración de aplicabilidad (SoA).

Alineación con ENS

  • Categorización del sistema bajo ENS (Básica, Media, Alta).
  • Selección y mapeo de medidas del Anexo II.
  • Integración con el sistema de gestión ENS existente.
  • Preparación de evidencias para auditoría.

Cumplimiento DORA para entidades financieras

  • Inventario de proveedores de IA críticos.
  • Revisión de contratos bajo el artículo 30 DORA.
  • Plan de pruebas de resiliencia que incluya sistemas de IA.
  • Gestión de incidentes aplicada a IA: notificaciones, plazos, autoridad competente.

Preparación de auditoría

  • Documentación técnica y de gobernanza lista para revisión externa.
  • Ensayo de auditoría con equipo propio o certificador.
  • Plan de cierre de no conformidades previstas.
  • Acompañamiento durante la auditoría oficial.

Cómo es el servicio, por fases

Fase Duración Entregable principal
1. Diagnóstico 3-5 semanas Mapa de obligaciones, inventario de casos de uso, informe de gap y plan de remediación
2. Diseño del marco 4-6 semanas Política de IA, gobernanza, procesos, plantillas de evaluación, plan formativo
3. Integración en SGSI / ENS 6-10 semanas Controles mapeados, SoA actualizada, registro de tratamientos, EIPD, runbooks
4. Auditoría y mejora continua según acuerdo Acompañamiento, revisión anual, gestión de cambios regulatorios

La secuencia se ajusta a lo que ya tiene el cliente. Si ya hay SGSI 27001 maduro, la fase 3 se reduce a integración. Si no existe, se construye en paralelo con la ayuda de un partner de certificación.

A quién está dirigido

  • Entidades financieras sujetas a DORA y NIS2 que quieren introducir IA generativa sin abrir hallazgos de auditoría.
  • Aseguradoras con procesos de suscripción o siniestros susceptibles de automatizarse con IA.
  • Organizaciones sanitarias que tratan datos de categoría especial y necesitan EIPD sólidas.
  • Administraciones públicas y sus proveedores, obligados por ENS.
  • Empresas industriales y de gran consumo con propiedad intelectual sensible o exigencias contractuales de clientes corporativos.
  • Proveedores SaaS que incorporan IA y deben certificarse o responder cuestionarios de seguridad cada vez más duros.

Rangos de inversión

Orientativos. El precio se cierra en el diagnóstico, cuando conocemos el alcance real y el punto de partida.

  • Diagnóstico y plan de remediación (fase 1): 8.000 – 15.000 €.
  • Diseño de gobernanza e integración en SGSI: 20.000 – 45.000 €.
  • Proyecto completo con acompañamiento hasta certificación / auditoría: 45.000 – 120.000 €.
  • Acompañamiento continuo post-auditoría: desde 1.800 € / mes.

Cuando el cliente contrata también nuestro servicio de despliegue de LLM privado, parte del trabajo se integra y los rangos se revisan a la baja.

Qué NO es este servicio

  • No es asesoría jurídica. No redactamos dictámenes legales ni sustituimos al despacho del cliente.
  • No es una auditoría oficial. Preparamos y acompañamos, pero el certificado lo emite una entidad acreditada.
  • No es formación genérica de «IA para negocio». Trabajamos sobre tus casos reales.
  • No es únicamente documentación. Si los controles no se pueden aplicar en tu stack real, el marco no sirve.

Por qué funciona con Pango Studio

  • Visión técnica y regulatoria combinada: sabemos cómo es por dentro un despliegue de LLM, y sabemos qué exige cada norma.
  • Certificación propia ISO 27001: aplicamos en casa los mismos estándares que recomendamos fuera.
  • Compatibilidad con tu despacho y tu auditor: trabajamos en equipo con tus asesores legales y con la entidad certificadora que elijas.
  • Entregables útiles: políticas, procesos y documentación que se pueden usar el día siguiente, no marcos genéricos copiados de plantilla.
  • Sin lock-in: te dejamos el SGSI en un estado mantenible por tu equipo interno, no dependiente de consultoría permanente.

Preguntas frecuentes

¿Cuánto tiempo lleva preparar la certificación ISO 27001 incluyendo IA?

Si la organización ya tiene ISO 27001 vigente, integrar IA suele llevar 3-6 meses. Si se parte de cero, el ciclo completo hasta certificación es de 9-14 meses.

¿Hace falta certificar ISO 42001?

No siempre. ISO 42001 es un estándar voluntario y solo tiene sentido certificar cuando el cliente final lo exige o cuando la IA es parte central del negocio. Lo evaluamos en el diagnóstico.

¿Podéis trabajar con nuestra entidad certificadora actual?

Sí. Trabajamos con la que ya tengas o, si no hay ninguna, proponemos entidades acreditadas por ENAC.

¿Cubrís la Ley 15/2022 de igualdad de trato y no discriminación aplicada a IA?

Sí, forma parte del análisis de sistemas de alto riesgo bajo el EU AI Act y de las evaluaciones de impacto que preparamos.

¿Trabajáis solo en España?

La sede está en Madrid y la mayoría de nuestros clientes son españoles y latinoamericanos. Para organizaciones de España, Portugal y Latinoamérica, trabajamos en remoto y con visitas presenciales cuando lo requiere el proyecto.

¿Cómo empezamos si aún no tenemos ni inventario de casos de uso?

Perfecto. El inventario lo construimos en la fase 1. Lo habitual es encontrar más IA «en la sombra» de la que la organización pensaba.

Siguiente paso

La conversación inicial son 45 minutos sin compromiso. Salimos con un diagnóstico preliminar y una propuesta de alcance para la fase 1.

Escríbenos a hola@pangostudio.com o reserva en pangostudio.com/contacto.

Si tu necesidad combina consultoría regulatoria con despliegue técnico, el punto de entrada es la página pilar: IA local en servidores privados.