Saltar al contenido

Ciberseguridad RED 2025: Todo sobre la normativa EN 18031

01/08/2025
Ciberseguridad RED 2025

Desde el 1 de agosto de 2025 entran en vigor nuevas exigencias europeas de ciberseguridad para dispositivos con conectividad inalámbrica, bajo el marco del Reglamento Delegado (UE) 2022/30 de la Directiva RED (2014/53/UE). Este cambio afecta especialmente a fabricantes, importadores, distribuidores e instaladores de equipos conectados a Internet, y establece nuevos requisitos clave para garantizar la seguridad y privacidad de los usuarios.

Índice

    ¿Qué cambia exactamente y por qué es importante?

    Desde el 1 de agosto de 2025, todos los dispositivos con conectividad inalámbrica (Wi-Fi, Bluetooth, 4G, 5G, etc.) que sean introducidos en el mercado europeo deberán cumplir requisitos específicos relacionados con ciberseguridad, protección de datos personales y prevención del fraude. Este cambio responde a la creciente preocupación por los riesgos asociados a dispositivos vulnerables que pueden afectar la seguridad de los usuarios y la integridad de las redes.

    ¿Quién está afectado por la nueva normativa de ciberseguridad RED 2025?

    La normativa afecta directamente a:

    • Fabricantes: responsables de garantizar que sus productos cumplen las nuevas exigencias.
    • Importadores y distribuidores: deben verificar que los productos que venden cumplen y disponer de la documentación adecuada.
    • Instaladores: tienen la responsabilidad de no instalar equipos no conformes tras la fecha indicada.

    Quedan excluidos dispositivos exclusivamente cableados, aunque estos siguen otras normativas específicas.

    Requisitos específicos según artículos 3(3)(d), (e) y (f)

    El reglamento establece tres requisitos esenciales:

    • Artículo 3(3)(d): los equipos no deben perjudicar ni saturar las redes de comunicaciones.
    • Artículo 3(3)(e): se exige protección adecuada para la privacidad y datos personales, especialmente en dispositivos que procesen datos sensibles.
    • Artículo 3(3)(f): establece medidas de seguridad para evitar fraudes, especialmente en dispositivos que gestionen transacciones monetarias.

    EN 18031-1/-2/-3: La vía práctica hacia la conformidad

    Las normas armonizadas EN 18031-1, EN 18031-2 y EN 18031-3 (2024) ofrecen un camino simplificado para cumplir estos requisitos. Sin embargo, incluyen restricciones importantes:

    • No puede haber dispositivos que permitan operar sin establecer una contraseña segura.
    • En cuanto a privacidad, dispositivos destinados a menores deben tener mecanismos obligatorios de control parental.
    • Para dispositivos relacionados con pagos, se exigen medidas específicas adicionales de seguridad.

    Aunque utilizar estas normas no es obligatorio, es el método más práctico y recomendado por las autoridades europeas para demostrar conformidad.

    Dispositivos afectados y excluidos en Ciberseguridad RED 2025

    Afectados:

    Excluidos:

    • Equipos exclusivamente cableados
    • Equipos médicos (con normativa específica)
    • Equipos automotrices y aeronáuticos regulados bajo otros estándares

    ¿Qué ocurre con el stock anterior al 1/08/2025?

    Los productos que hayan sido «puestos en el mercado» antes del 1 de agosto de 2025 pueden seguir vendiéndose a través de la cadena de distribución habitual. La prueba válida para acreditar esto será la factura o el albarán que confirme la entrada en la UE antes de dicha fecha.

    Cómo demostrar la conformidad

    Para cumplir correctamente:

    • Documentar claramente que se aplican las normas EN 18031-1/-2/-3 con las restricciones correspondientes.
    • Emitir una Declaración UE de Conformidad (DoC) que cubra explícitamente estos nuevos requisitos.
    • Evaluación de conformidad:
      • Módulo A (autoevaluación interna) si se cumplen plenamente las normas armonizadas.
      • Módulo B+C (evaluación por organismo notificado) si las normas armonizadas no se aplican plenamente.

    Checklist práctico para fabricantes, importadores y distribuidores

    Fabricantes:

    • Identificar claramente los productos afectados.
    • Realizar análisis de brechas frente a EN 18031.
    • Actualizar documentación técnica, manuales y políticas de seguridad.
    • Elegir el módulo de evaluación adecuado (A o B+C).

    Importadores:

    • Exigir DoC actualizada.
    • Verificar marcado CE correcto.
    • Garantizar documentación técnica disponible en el idioma local.

    Distribuidores e instaladores:

    • No instalar ni vender productos nuevos no conformes a partir del 1 de agosto de 2025.
    • Guardar evidencias claras de que el stock anterior fue introducido antes de la fecha límite.
    • Solicitar actualizaciones documentales a proveedores para confirmar la conformidad.

    Preguntas frecuentes (FAQs)

    ¿Existe un nuevo logo CE? No. El logo CE no cambia visualmente, solo cambia el alcance de la conformidad técnica desde el 1 de agosto de 2025.

    ¿Se prohíbe usar dispositivos ya instalados? No existe una prohibición general sobre dispositivos ya instalados antes del 1 de agosto de 2025. Sin embargo, sí hay sanciones si se suministran o instalan dispositivos no conformes después de esa fecha.

    ¿Aplica esta norma a dispositivos solo cableados? No, los dispositivos sin capacidades inalámbricas no están bajo el alcance del RED, aunque deben cumplir otras normativas.

    ¿Qué sucede con juguetes o dispositivos infantiles conectados? Estos deben cumplir específicamente con los requisitos de privacidad del artículo 3(3)(e) debido a la sensibilidad de los datos que gestionan, incluyendo mecanismos de control parental obligatorios.

    Con este artículo actualizado tienes un panorama completo, práctico y claro sobre cómo cumplir con la nueva normativa RED EN 18031, garantizando seguridad, evitando multas y optimizando tu operativa comercial.

    Sígueme a Youtube

    Ciberseguridad RED 2025