Cada vez hay más dispositivos conectados, lo que está provocando serias preocupaciones en materia de seguridad. Para hacer frente a esta problemática y establecer estándares más altos de seguridad y rendimiento para la venta de equipos inalámbricos en el viejo continente, la Comisión Europea ha puesto en marcha RED-DA (Radio Equipment Directive – Delegated Act).
El Reglamento Delegado (UE) 2022/30 -más conocido como RED-DA-, promulgado por la CE es una norma que viene a complementar la Directiva 2014/53/UE (RED) -que garantiza que todos los equipos radioeléctricos comercializados en la UE cumplan con los requisitos esenciales de seguridad, salud, compatibilidad electromagnética y uso eficiente del espectro-, añadiendo requisitos esenciales de ciberseguridad y privacidad de usuarios que todos los fabricantes deben cumplir para poder comercializar sus productos en el mercado de la Unión Europea.
En concreto, este “anexo” añade obligaciones en tres aspectos clave:
Índice de temas
Protección de las conexiones de red
Se busca garantizar que los dispositivos no perjudiquen la integridad o disponibilidad de redes públicas y privadas, previniendo ataques como denegaciones de servicio (DoS). Es decir, debe asegurarse que los equipos no dañan las redes ni su funcionalidad, ni hacen un mal uso de los recursos de la red evitando de esta manera la degradación del servicio. Esto supone implementar conexiones de red seguras, mecanismos de autenticación sólidos y protección contra el acceso no autorizado.
Además, en este ámbito amplía el alcance de la norma a cualquier dispositivo inalámbrico capaz de comunicarse por Internet.
Protección de datos personas y privacidad de los usuarios
Obliga a implementar principios de privacy by design, como cifrado extremo a extremo, autenticación robusta o minimización de datos. Han de incluir medidas de seguridad para proteger los datos personales del usuario, los datos de tráfico y los datos de ubicación, garantizando un almacenamiento seguro de los datos y mecanismos de consentimiento del usuario para salvaguardar su privacidad.
Esto atañe a dispositivos que procesan datos personales, de tráfico o de ubicación.
Prevención del fraude
Los dispositivos han de admitir funcionalidades específicas para mitigar los riesgos de fraude como incorporar controles para evitar accesos no autorizados, suplantaciones de identidad y otros usos maliciosos, incluyendo trazabilidad y registro de eventos de seguridad. Principalmente hace alusión al fraude financiero lo que anima a prevenirlo a través de interfaces de pago seguras y mecanismos de verificación de transacciones.
Esta medida afecta a aquellos dispositivos inalámbricos que manejan transferencias monetarias o de moneda virtual.
RED-DA exige que todos los equipos que incorporen radio cumplan con nuevos requisitos de ciberseguridad, protección de datos y control de acceso
En resumen, esta normativa -que entró en vigor el 1 de febrero de 2022 y es obligatoria desde el 1 agosto de 2025-, obliga a quetodos los equipos que incorporen radio cumplan con nuevos requisitos de ciberseguridad, protección de datos y control de acceso.
Normas técnicas: la serie EN 18031
Para ayudar a los fabricantes a cumplir con las expectativas regulatorias se han desarrollado estándares armonizados que traduzcan los requisitos legales en orientación técnica procesable. Tales requisitos técnicos de RED-DA corresponden a la serie de normas EN 18031.
El 28 de enero de 2025 la CE publicó las referencias que se corresponden directamente con su artículo RED-DA:
- EN 18031-1. Protección de red: cubre los requisitos de seguridad para equipos de radio conectados a Internet, análisis de riesgos y requisitos generales.
- EN 18031-2. Protección de la privacidad: cubre los requisitos para los equipos que procesan datos personales. Incluye medidas específicas de protección de datos.
- EN 18031-3.Prevención del fraude: directrices de vigilancia poscomercialización y requisitos que han de cumplir soluciones que permiten transacciones financieras.
Estas normas proporcionan detalles técnicos y soluciones para cumplir con las regulaciones. Cuando los fabricantes cumplen con estos estándares, se benefician de una «presunción de conformidad«, lo que significa que las autoridades reconocen automáticamente el cumplimiento.
¿A qué dispositivos afecta RED DA?
Básicamente, RED-DA se aplica a cualquier equipo radioeléctrico con capacidad IP y funciones de tratamiento de datos. O sea, que emita o reciba ondas de radio en cualquier banda de frecuencias; que tenga capacidad de conexión, directa o indirecta, a redes IP (públicas o privadas); o que incluya funcionalidades de procesamiento de información personal o sensible.
Esto atañe a teléfonos móviles, tabletas, routers, dispositivos IoT, wearables y juguetes o equipos infantiles con transmisión inalámbrica.
Así pues, un fabricante que vende productos inalámbricos en la UE, debe asegurarse de que cumple con la RED DA. Y esto se aplica a:
- Lanzamientos de nuevos productos después del 1 de agosto de 2025.
- Productos existentes que se someten a actualizaciones significativas que afectan a la seguridad.
- Los fabricantes de productos finales que utilizan módulos inalámbricos precertificados aún deben garantizar el cumplimiento total del sistema.
Dispositivos excluidos
Ciertos dispositivos están excluidos del alcance de RED-DA, incluidos equipos médicos, vehículos motorizados, sistemas de cobro electrónico de peajes (ETC) y drones a control remoto, ya que están regulados por otras directivas.
¿Qué obligaciones tiene el fabricante con RED-DA?
Esta normativa implica que el fabricante lleve a cabo una evaluación de riesgos realizando un análisis sistemático de amenazas y vulnerabilidades según la norma técnica EN 18031 y documentando escenarios de ataque y estrategias de mitigación.
Además, ha de mostrar una declaración de conformidad y marcado CE incluyendo en la documentación técnica la referencia al Reglamento Delegado (UE) 2022/30 junto con la Directiva 2014/53/UE y asegurar el marcado CE indicando cumplimiento normativo.
Fabricantes, integradores de sistemas y desarrolladores han de tener en cuenta RED-DA para comercializar sus productos en Europa
En la documentación técnica del producto ha de incorporar un manual de usuario con instrucciones claras sobre configuraciones seguras, así como informes de laboratorio y certificados de pruebas de ciberseguridad y protección de datos.
Junto a ello, el proveedor se compromete a una vigilancia poscomercialización estableciendo un procedimiento para la monitorización de incidentes de seguridad y proporcionando actualizaciones de firmware o parches, además de notificar a las autoridades de fallos graves.
Para cumplir con RED-DA, los fabricantes deben preparar y mantener los siguientes documentos:
- Especificaciones técnicas: Detalles sobre el diseño y las características del producto.
- Evaluación de riesgos del producto: Lista de riesgos identificados y planes de mitigación.
- Normas EN 18031 aplicables: Lista de normas aplicadas al producto.
- Declaración de conformidad: Declaración oficial de conformidad.
Así pues, los fabricantes deben incorporar consideraciones de ciberseguridad durante el diseño y la producción del producto, realizar pruebas de cumplimiento basadas en estándares relevantes y garantizar que sus dispositivos cumplan con los requisitos reglamentarios para mejorar la seguridad y la competitividad.
En este sentido, tienen dos caminos para cumplir con los requisitos de ciberseguridad de RED DA: autoevaluación o trabajar con organismos autorizados que evalúen sus equipos.
Aplicación en equipos completos, no a módulos individuales
Otra consideración importante es que la certificación EN 18031 se aplica a equipos de radio completos conectados a Internet, no a módulos individuales. Si bien los módulos sirven como componentes esenciales de los productos finales, pueden certificarse de forma independiente, pero dicha certificación por sí sola no es suficiente para demostrar el cumplimiento de RED DA para el producto final.
La responsabilidad del cumplimiento de la RED DA recae en el fabricante del producto final
La responsabilidad del cumplimiento de la RED DA recae en el fabricante del producto final. Incluso cuando se utiliza un módulo seguro y precertificado, el producto final general debe evaluarse en su conjunto para verificar que cumple con los requisitos de la norma EN 18031.
Por lo tanto, el uso de un módulo seguro respalda el cumplimiento, pero no reemplaza la necesidad de certificación del producto final.
Conclusión: responsabilidades de los fabricantes
Los fabricantes de los dispositivos radio a los que afecta la norma deberán:
- Preparar toda la documentación de cumplimiento antes de comercializar productos.
- Mantener la documentación disponible durante 10 años después de que el producto se introduzca en el mercado.
- Asegurarse de que el proceso de fabricación continúe manteniendo el cumplimiento.
- Colocar el marcado CE en los productos compatibles.
Las autoridades de vigilancia pueden solicitar la documentación de conformidad en cualquier momento, incluso después de que un producto esté en el mercado. Los proveedores deben proporcionar estos documentos sin demora cuando se les solicite. El incumplimiento de los requisitos de RED-DA puede traer consigo la recertificación a través de un organismo pertinente, sanciones o incluso la retirada del producto en ciertos casos.
