• Opinión
  • El experto
  • Ya está aquí la obligatoriedad de ciberseguridad para los productos que se conecten a Internet
El experto
Presidente Comisión de Innovación y Transferencia Tecnológica

Ya está aquí la obligatoriedad de ciberseguridad para los productos que se conecten a Internet

06 de Agosto de 2025
Gian-Lluís Ribechini | VIA Empresa

Garantizar la ciberseguridad de los productos radioeléctricos que se conecten a Internet será una obligación en el mercado de la Unión Europea (UE) a partir del 1 de agosto. Esto es lo que regula Reglamento Delegado (UE) 2022/30, publicado el 12 de enero de 2022. Este Reglamento Delegado (RD) es un complemento de la Directiva 2014/53 de comercialización de equipos radioeléctricos conocida como Directiva RED. Para simplificar, lo llamaré RED-RD 2022/30.

 

¿Qué se considera equipo radioeléctrico? Pues cualquier “producto eléctrico o electrónico que emite o recibe intencionadamente ondas radioeléctricas a fines de radiocomunicación o radiodeterminación, o el producto eléctrico o electrónico que debe ser completado con un accesorio, como una antena, para emitir o recibir intencionadamente ondas radioeléctricas a fines de radiocomunicación o radiodeterminación”. Como se puede ver, con esta definición el número de productos afectados es amplísimo, y va desde un sensor IoT que se conecta al móvil, todos los tipos de dispositivos wearables, los lectores de tarjetas de crédito, o los productos para proveer a las ciudades inteligentes. Vayan pensando en cuántos productos que quieran comprar se verán afectados desde ahora.

Si quieres saber más
 
Joan Morera Morales | VIA Empresa    
Joan Morera-Un engranaje perfecto

La poca difusión que ha habido en nuestro país del RED-RD 2022/30 se constata en la sintomática evidencia de que en ninguna de las cuatro últimas ferias de carácter tecnológico hechas en Barcelona (Integrated Systems Europe, Mobile World Congress, Advanced Factories o IoT Solutions World Congress) ha habido ninguna ponencia o exposición donde se hablara de este reglamento delegado. Pero tampoco, especialmente, en los dos últimos congresos de ciberseguridad: el Industrial Cybersecurity Forum y el Barcelona Cybersecurity Congress.

 

Quizás lo más preocupante era cuando, en las conversaciones que tenía con expositores y asistentes, se ponía de manifiesto el desconocimiento mayoritario de este hecho. Incluso en aquellos que están relacionados con el ámbito de la ciberseguridad. Aquí tendría éxito el título de la serie de Luis Enrique.

¿Y qué deberían hacer las empresas fabricantes de productos afectados por el RED-RD 2022/30? En primer lugar, un análisis de riesgos en ciberseguridad de sus productos. Acto seguido, asegurarse de que se ponen las medidas de ciberseguridad para cumplir con los requisitos esenciales establecidos por el RED-RD 2022/30.

¿Y cómo se puede tener una presunción de conformidad con estos requisitos esenciales? Por eso el 30 de enero de 2025 se publicó en el DOUE la Decisión de Ejecución (UE) 2025/138 donde se describen las tres normas armonizadas que cubren cada uno de los requisitos. La EN 18031-1:2024, sobre requisitos de seguridad comunes para equipos radioeléctricos conectados a internet; la EN 18031-2:2024, sobre requisitos de seguridad comunes para equipos radioeléctricos conectados a internet que procesan datos; y la EN 18031-3:2024, sobre requisitos de seguridad comunes para los equipos radioeléctricos conectados a internet que procesan dinero virtual o valores monetarios. 

"Quien tenga que aplicar las tres en el desarrollo y verificación de sus productos se enfrenta a una lectura de casi 600 páginas, con su interpretación y aplicación sistemática"

Hay que tener en cuenta que la norma EN 18031-1:2024 tiene 180 páginas, la EN 18031-3:2024 tiene 220 páginas y la EN 18031-3:2024 tiene 185 páginas. Quién tenga que aplicar las tres en el desarrollo y verificación de sus productos se enfrenta a una lectura de… casi 600 páginas, con su interpretación y aplicación sistemática.

Quiero recordar que la obligatoriedad del RED-RD 2022/30 será para todos los productos que los fabricantes o importadores pongan en el mercado de la Unión Europea a partir del 1 de agosto de 2024. Y esto afectará a los productos que se comercializan actualmente y que seguramente no se diseñaron teniendo en cuenta los requisitos esenciales que serán obligatorios. Un buen ejemplo de lo que habrá que hacer ahora lo ha marcado Panasonic, que ha informado de que su modelo de cámara HC-X1600E dejará de dar una funcionalidad, en los modelos europeos, porque no puede cumplir con el RED-RD 2022/30.

Aparte de fabricantes e importadores, ¿a quién más afectará?

Pues a los distribuidores, porque deberían asegurarse de que lo que están comprando y quieren vender cumpla con el RED-RD 2022/30 en la Declaración de Conformidad de los productos. Sin olvidarnos de los “prestadores de mercados en línea” que a raíz del Reglamento 2023/988 de Seguridad General de los Productos tienen nuevas obligaciones y responsabilidades, y serán uno de los principales actores en la vigilancia de este cumplimiento.

Y también a los compradores que podrán exigir que un producto cumpla con el RED-RD 2022/30 antes de adquirirlo, por su ciberseguridad.

Desgraciadamente, pienso que con este reglamento delegado se producirá una situación parecida a la de mayo de 2018 con el Reglamento General de Protección de Datos (RGPD) y su cumplimiento en el país. Pero lo que habrá que los exportadores sean conscientes es que muchos de sus clientes en la UE se lo exigirán. Y si no lo cumplen, quizás no les comprarán.

 
© VIA Empresa 2025