Desde el 1 de agosto de 2025 entran en vigor nuevas exigencias europeas de ciberseguridad para dispositivos con conectividad inalámbrica, bajo el marco del Reglamento Delegado (UE) 2022/30 de la Directiva RED (2014/53/UE). Este cambio afecta especialmente a fabricantes, importadores, distribuidores e instaladores de equipos conectados a Internet, y establece nuevos requisitos clave para garantizar la seguridad y privacidad de los usuarios.
¿Qué cambia exactamente y por qué es importante?
Desde el 1 de agosto de 2025, todos los dispositivos con conectividad inalámbrica (Wi-Fi, Bluetooth, 4G, 5G, etc.) que sean introducidos en el mercado europeo deberán cumplir requisitos específicos relacionados con ciberseguridad, protección de datos personales y prevención del fraude. Este cambio responde a la creciente preocupación por los riesgos asociados a dispositivos vulnerables que pueden afectar la seguridad de los usuarios y la integridad de las redes.
¿Quién está afectado por la nueva normativa de ciberseguridad RED 2025?
La normativa afecta directamente a:
- Fabricantes: responsables de garantizar que sus productos cumplen las nuevas exigencias.
- Importadores y distribuidores: deben verificar que los productos que venden cumplen y disponer de la documentación adecuada.
- Instaladores: tienen la responsabilidad de no instalar equipos no conformes tras la fecha indicada.
Quedan excluidos dispositivos exclusivamente cableados, aunque estos siguen otras normativas específicas.
Requisitos específicos según artículos 3(3)(d), (e) y (f)
El reglamento establece tres requisitos esenciales:
- Artículo 3(3)(d): los equipos no deben perjudicar ni saturar las redes de comunicaciones.
- Artículo 3(3)(e): se exige protección adecuada para la privacidad y datos personales, especialmente en dispositivos que procesen datos sensibles.
- Artículo 3(3)(f): establece medidas de seguridad para evitar fraudes, especialmente en dispositivos que gestionen transacciones monetarias.
EN 18031-1/-2/-3: La vía práctica hacia la conformidad
Las normas armonizadas EN 18031-1, EN 18031-2 y EN 18031-3 (2024) ofrecen un camino simplificado para cumplir estos requisitos. Sin embargo, incluyen restricciones importantes:
- No puede haber dispositivos que permitan operar sin establecer una contraseña segura.
- En cuanto a privacidad, dispositivos destinados a menores deben tener mecanismos obligatorios de control parental.
- Para dispositivos relacionados con pagos, se exigen medidas específicas adicionales de seguridad.
Aunque utilizar estas normas no es obligatorio, es el método más práctico y recomendado por las autoridades europeas para demostrar conformidad.
Dispositivos afectados y excluidos en Ciberseguridad RED 2025
Afectados:
- Cámaras Wi-Fi
- Routers inalámbricos
- TPV inalámbricos
- Cerraduras Bluetooth
- Sensores inalámbricos IoT
- Wearables y juguetes conectados que gestionan datos personales
Excluidos:
- Equipos exclusivamente cableados
- Equipos médicos (con normativa específica)
- Equipos automotrices y aeronáuticos regulados bajo otros estándares
¿Qué ocurre con el stock anterior al 1/08/2025?
Los productos que hayan sido «puestos en el mercado» antes del 1 de agosto de 2025 pueden seguir vendiéndose a través de la cadena de distribución habitual. La prueba válida para acreditar esto será la factura o el albarán que confirme la entrada en la UE antes de dicha fecha.
Cómo demostrar la conformidad
Para cumplir correctamente:
- Documentar claramente que se aplican las normas EN 18031-1/-2/-3 con las restricciones correspondientes.
- Emitir una Declaración UE de Conformidad (DoC) que cubra explícitamente estos nuevos requisitos.
- Evaluación de conformidad:
- Módulo A (autoevaluación interna) si se cumplen plenamente las normas armonizadas.
- Módulo B+C (evaluación por organismo notificado) si las normas armonizadas no se aplican plenamente.
Checklist práctico para fabricantes, importadores y distribuidores
Fabricantes:
- Identificar claramente los productos afectados.
- Realizar análisis de brechas frente a EN 18031.
- Actualizar documentación técnica, manuales y políticas de seguridad.
- Elegir el módulo de evaluación adecuado (A o B+C).
Importadores:
- Exigir DoC actualizada.
- Verificar marcado CE correcto.
- Garantizar documentación técnica disponible en el idioma local.
Distribuidores e instaladores:
- No instalar ni vender productos nuevos no conformes a partir del 1 de agosto de 2025.
- Guardar evidencias claras de que el stock anterior fue introducido antes de la fecha límite.
- Solicitar actualizaciones documentales a proveedores para confirmar la conformidad.
Preguntas frecuentes (FAQs)
¿Existe un nuevo logo CE? No. El logo CE no cambia visualmente, solo cambia el alcance de la conformidad técnica desde el 1 de agosto de 2025.
¿Se prohíbe usar dispositivos ya instalados? No existe una prohibición general sobre dispositivos ya instalados antes del 1 de agosto de 2025. Sin embargo, sí hay sanciones si se suministran o instalan dispositivos no conformes después de esa fecha.
¿Aplica esta norma a dispositivos solo cableados? No, los dispositivos sin capacidades inalámbricas no están bajo el alcance del RED, aunque deben cumplir otras normativas.
¿Qué sucede con juguetes o dispositivos infantiles conectados? Estos deben cumplir específicamente con los requisitos de privacidad del artículo 3(3)(e) debido a la sensibilidad de los datos que gestionan, incluyendo mecanismos de control parental obligatorios.
Con este artículo actualizado tienes un panorama completo, práctico y claro sobre cómo cumplir con la nueva normativa RED EN 18031, garantizando seguridad, evitando multas y optimizando tu operativa comercial.
Sígueme a Youtube
