EU AI Act Compliance
The EU AI Act requires high-risk AI systems to be accurate, robust and secure. Learn how ImmuniWeb supports its Article 15 cybersecurity obligations by securing the systems and apps around your AI.
Cumplimiento de la Ley de Inteligencia Artificial (IA) de la UE
¿Qué es la Ley de IA de la UE?
La AI Act adopta un enfoque basado en el riesgo, clasificando los sistemas de IA como prohibidos, de alto riesgo, de riesgo limitado o de riesgo mínimo. Los proveedores de sistemas de IA de alto riesgo deben cumplir un conjunto de requisitos (artículos 8-15) que cubren la gestión de riesgos, la gobernanza de datos, la documentación técnica, el logging, la supervisión humana, y la precisión, robustez y cybersecurity, y deben completar una evaluación de conformidad.
Cybersecurity is a binding requirement for high-risk AI. Importantly, where a high-risk AI system also falls within the Cyber Resilience Act and meets its conditions, it may be deemed to comply with the AI Act's Article 15 cybersecurity requirement.
See how ImmuniWeb supports AI Act Article 15 - securing the web apps, APIs and infrastructure through which your AI systems are exposed. Request a demo · or run a free Community Edition test.
Who Must Comply with EU AI Act?
La Ley de IA se aplica a:
- Proveedores que desarrollan o ponen sistemas de IA en el mercado de la UE, incluidos los sistemas de alto riesgo.
- Implementadores que utilizan sistemas de IA en la UE.
- Organizations outside the EU whose AI systems or outputs are used in the EU (extraterritorial reach).
Las aplicaciones web, las API y la infraestructura a través de las cuales se accede a los sistemas de IA forman parte de la superficie de ataque que debe protegerse.
Key AI Act Requirements for Application Security
La seguridad de las aplicaciones se rige por el artículo 15:
- Artículo 15 - Ciberseguridad: los sistemas de IA de alto riesgo deben ser resilientes frente a los intentos de terceros no autorizados de explotar vulnerabilidades y de alterar su uso, comportamiento o rendimiento.
- Artículo 15 — Robustez: los sistemas deben funcionar de forma coherente y ser resistentes a errores, fallos e incoherencias.
- Sistemas de apoyo: las aplicaciones, las APIs y la infraestructura que soportan los sistemas de IA deben ser, a su vez, seguras.
AI Act Cybersecurity Requirements in Depth
Article 15 - Cybersecurity of High-Risk AI
El Artículo 15 exige que los sistemas de IA de alto riesgo sean resilientes frente a los intentos de explotar sus vulnerabilidades. En la práctica, gran parte de la superficie de ataque real se encuentra en las aplicaciones web, APIs e infraestructura a través de las cuales se despliegan y acceden a los sistemas de IA; estas deben ser probadas y aseguradas.
Segurización de las aplicaciones del entorno de IA
AI systems rarely operate in isolation; they are exposed through web and mobile applications and APIs. Penetration testing and vulnerability scanning of those applications and APIs reduce the attack surface that Article 15 expects providers to defend.
Riesgos comunes en aplicaciones web y móviles a abordar
Las vulnerabilidades en las aplicaciones y APIs asociadas a los sistemas de IA se alinean estrechamente con el OWASP Top 10:
- Broken Access Control — users reaching data or actions they should not.
- Fallos criptográficos — cifrado débil o ausente que expone datos confidenciales.
- Inyección — SQL, inyección de comandos u otros tipos a través de entrada no validada.
- Insecure Design — falta de controles de seguridad por diseño, no solo por errores.
- Security Misconfiguration: configuración predeterminada, incompleta o insegura.
- Componentes vulnerables y obsoletos: bibliotecas y frameworks sin parches.
- Fallos de identificación y autenticación — gestión deficiente de inicios de sesión, sesiones o credenciales.
- Software & Data Integrity Failures — untrusted updates, insecure CI/CD pipelines.
- Security Logging & Monitoring Failures — ataques que pasan desapercibidos.
- Server-Side Request Forgery (SSRF): el servidor es engañado para realizar solicitudes maliciosas.
For mobile apps, the OWASP Mobile Top 10 is the equivalent reference (insecure data storage, insecure communication, weak cryptography, and so on). Reliably finding these issues requires testing the running application, not just a documentation review.
How to Support AI Act Article 15 with ImmuniWeb
- Map the AI attack surface.Inventory the apps, APIs and infrastructure exposing AI systems with ImmuniWeb Discovery.
- Test web applications & APIswith On-Demand and Neuron.
- Test mobile front-endswith MobileSuite and Neuron Mobile.
- Remedie y vuelva a probar con informes accionables y sin falsos positivos.
- Desarrollo seguro con Continuous en CI/CD.
- Monitorea la exposición con Discovery.
Cómo ImmuniWeb le ayuda a lograr el cumplimiento del EU AI Act
ImmuniWeb ayuda a cumplir el Artículo 15 al proteger las aplicaciones, las APIs y la infraestructura mediante las cuales se exponen y se accede a los sistemas de IA de alto riesgo.
| Requisito | Lo que requiere | Productos ImmuniWeb |
|---|---|---|
| Artículo 15 - ciberseguridad | Resiliencia frente a la explotación de vulnerabilidades. | On-Demand, Neuron, Continuous |
| Soporte para aplicaciones y APIs | Proteja las aplicaciones y las API que soportan los sistemas de IA. | On-Demand, Neuron, MobileSuite, Neuron Mobile |
| Superficie de ataque | Mapea y monitorea la superficie de ataque de la IA. | Discovery (ASM / Dark Web) |
ImmuniWeb On-Demand and MobileSuite deliver web, mobile and API penetration testing; Neuron and Neuron Mobile provide automated scanning; Continuous embeds testing into CI/CD; and Discovery maps the attack surface around your AI systems - supporting the Article 15 cybersecurity requirement.
EU AI Act vs International Frameworks
Si ya trabaja con estándares internacionales, las mismas pruebas de ImmuniWeb apoyan todos ellos:
| Framework | Perspectiva de la seguridad de aplicaciones | Cómo mapea ImmuniWeb |
|---|---|---|
| Reglamento de la UE sobre inteligencia artificial | Article 15 cybersecurity of high-risk AI | Seguridad de aplicaciones, APIs e infraestructura en torno a la IA |
| EU CRA | Ciberseguridad del producto (puede cumplir con el Art. 15) | Pentest y escaneo web/móvil |
| EU GDPR | Seguridad del tratamiento (Artículo 32) | Las mismas pruebas cubren ambos |
| ISO/IEC 27001 | Controles técnicos del Anexo A | Pruebas como evidencia de controles |
Pruebas de penetración frente a escaneo de seguridad
Both are needed. El escaneo automatizado (DAST) proporciona una cobertura amplia y frecuente, siendo ideal para las pruebas continuas en CI/CD; las pruebas de penetración manuales detectan vulnerabilidades de lógica de negocio y complejas que los escáneres pasan por alto, y ofrecen la profundidad que esperan los auditores y reguladores. Combina el escaneo continuo con pruebas de penetración manuales periódicas, y vuelve a probar tras cambios significativos.
Lista de verificación de cumplimiento (Application Security)
- AI-facing apps, APIs and infrastructure inventoried
- Aplicaciones web y APIs probadas contra el OWASP Top 10
- Frontends móviles probados según el OWASP Mobile Top 10
- Sistemas de apoyo endurecidos y resilientes a la explotación
- Los hallazgos se subsanan y se revalidan; se conservan los registros
- Pruebas integradas en el ciclo de vida de desarrollo
- Monitoreo de la superficie de ataque establecido
Why EU AI Act Compliance Matters
The AI Act carries significant penalties (up to EUR 35 million or 7% of global turnover for prohibited practices, and up to EUR 15 million or 3% for other violations), and high-risk obligations - including cybersecurity under Article 15 - apply from 2 August 2026. Conformity is a precondition for placing high-risk AI on the EU market.
Dado que la superficie de ataque práctica de los sistemas de IA la forman las aplicaciones, las APIs y la infraestructura que los rodea, asegurar y probar estos elementos es una de las formas más directas de apoyar el Artículo 15.