• Opinió
  • L'expert
  • Ja és aquí l’obligatorietat de ciberseguretat pels productes que es connectin a Internet
L'expert
President Comissió d’Innovació i Transferència Tecnològica

Ja és aquí l’obligatorietat de ciberseguretat pels productes que es connectin a Internet

06 d'Agost de 2025
Gian-Lluís Ribechini | VIA Empresa

Garantir la ciberseguretat dels productes radioelèctrics que es connectin a Internet serà una obligació en el mercat de la Unió Europea (UE) a partir del 1 d'agost. Això és el que regula Reglament Delegat (UE) 2022/30, publicat el 12 de gener de 2022. Aquest Reglament Delegat (RD) és un complement de la Directiva 2014/53 de comercialització d’equips radioelèctrics coneguda com a Directiva RED. Per simplificar, n’hi diré RED-RD 2022/30.

 

Què es considera equip radioelèctric? Doncs qualsevol “producte elèctric o electrònic que emet o rep intencionadament ones radioelèctriques a fins de radiocomunicació o radiodeterminació, o el producte elèctric o electrònic que ha de ser completat amb un accessori, com una antena, per emetre o rebre intencionadament ones radioelèctriques a fins de radiocomunicació o radiodeterminació”. Com es pot veure, amb aquesta definició el nombre de productes afectats és amplíssim, i va des d’un sensor IoT que es connecta al mòbil, tots els tipus de dispositius wearables, els lectors de targetes de crèdit, o els productes per proveir a les ciutats intel·ligents. Vagin pensant en quants productes que vulguin comprar es veuran afectats des d'ara.

Si vols saber-ne més
 
Joan Morera Morales | VIA Empresa    
Joan Morera-Un engranatge perfecte

La poca difusió que hi ha hagut en el nostre país del RED-RD 2022/30 es constata en la simptomàtica evidència que en cap de les quatre darreres fires de caràcter tecnològic fetes a Barcelona (Integrated Systems Europe, Mobile World Congress, Advanced Factories o IoT Solutions World Congress) hi ha hagut cap ponència o exposició on es parlés d’aquest reglament delegat. Però tampoc, especialment, en els dos darrers congressos de ciberseguretat: l'Industrial Cybersecurity Forum i el Barcelona Cybersecurity Congress.

 

Potser el més preocupant era quan, en les converses que tenia amb expositors i assistents, es posava de manifest el desconeixement majoritari d’aquest fet. Fins i tot en aquells que estan relacionats amb l’àmbit de la ciberseguretat. Aquí tindria èxit el títol de la sèrie d’en Luis Enrique.

I què haurien de fer les empreses fabricants de productes afectats pel RED-RD 2022/30? En primer lloc, una anàlisi de riscos en ciberseguretat dels seus productes. Tot seguit, assegurar-se que es posen les mesures de ciberseguretat per complir amb els requisits essencials establerts pel RED-RD 2022/30.

I com es pot tenir una presumpció de conformitat amb aquests requisits essencials? Per això el 30 de gener de 2025 es va publicar al DOUE la Decisió d'Execució (UE) 2025/138 on es descriuen les tres normes harmonitzades que cobreixen cadascun dels requisits. L'EN 18031-1:2024, sobre requisits de seguretat comuns per a equips radioelèctrics connectats a internet; l'EN 18031-2:2024, sobre requisits de seguretat comuns per a equips radioelèctrics connectats a internet que processen dades; i l'EN 18031-3:2024, sobre requisits de seguretat comuns per als equips radioelèctrics connectats a internet que processen diners virtuals o valors monetaris. 

"Qui hagi d'aplicar totes tres en el desenvolupament i verificació dels seus productes s'enfronta a una lectura de gairebé 600 pàgines, amb la seva interpretació i aplicació sistemàtica"

Cal tenir en compte que la norma EN 18031-1:2024 té 180 pàgines, la EN 18031-3:2024 té 220 pàgines i la EN 18031-3:2024 té 185 pàgines. Qui hagi d'aplicar totes tres en el desenvolupament i verificació dels seus productes s'enfronta a una lectura de… gairebé 600 pàgines, amb la seva interpretació i aplicació sistemàtica.

Vull recordar que l’obligatorietat del RED-RD 2022/30 serà per tots els productes que els fabricants o importadors posin en el mercat de la Unió Europea a partir de l'1 d’agost de 2024. I això afectarà els productes que es comercialitzen actualment i que segurament no es van dissenyar tenint en compte els requisits essencials que seran obligatoris. Un bon exemple del que caldrà fer ara l'ha marcat Panasonic, que ha informat que el seu model de càmera HC-X1600E deixarà de donar una funcionalitat, en els models europeus, perquè no pot complir amb el RED-RD 2022/30.

A part de fabricants i importadors, a qui més afectarà?

Doncs als distribuïdors, perquè haurien d’assegurar-se que el que estan comprant i volen vendre compleixi amb el RED-RD 2022/30 en la Declaració de Conformitat dels productes. Sense oblidar-nos dels “prestadors de mercats en línia” que arran del Reglament 2023/988 de Seguretat General dels Productes tenen noves obligacions i responsabilitats, i seran un dels principals actors en la vigilància d’aquest compliment.

I també als compradors que podran exigir que un producte compleixi amb el RED-RD 2022/30 abans d’adquirir-lo, per la seva ciberseguretat.

Malauradament, penso que amb aquest reglament delegat es produirà una situació semblant a la del maig del 2018 amb el Reglament de General de Protecció de Dades (RGPD) i el seu compliment en el país. Però el que caldrà que els exportadors siguin conscients és que molts dels seus clients a la UE els ho exigiran. I si no ho compleixen, potser no els compraran.

 
© VIA Empresa 2025