Introducción y marco legal
El IoT (Internet de las Cosas) ha experimentado una increíble difusión en la última década gracias a la implementación de tecnologías como Wi-Fi, Bluetooth y NFC, que permiten la interconexión de productos, su comportamiento similar al de equipos de radio y su penetración en hogares e instalaciones industriales de todo el mundo. En el sector de la ciberseguridad, los dispositivos IoT se consideran comúnmente un riesgo crítico para la seguridad. Al igual que los endpoints en el sector de los hogares inteligentes aún presentan una protección deficiente o nula, las instalaciones industriales y de fabricación a veces presentan importantes deficiencias en la seguridad de TI y OT. La alarmante cifra de 5,5 billones de euros representa el coste económico global de la ciberdelincuencia en 2020, según un estudio publicado por el Consejo de la Unión Europea. Según un estudio de 2022 de Trend Micro, el 90 % de las empresas alemanas de los sectores de la energía, el petróleo y el gas, y la fabricación afirmaron haber sido afectadas por ciberataques en los últimos 12 meses, lo que se tradujo en un daño medio de unos 2,9 millones de euros. Últimamente, la proliferación de dispositivos portátiles, por un lado, y, por otro, la importancia cada vez mayor de la protección de datos, especialmente con los sistemas basados en datos de IA ganando un papel principal en la oferta de mercado de los OEM y los fabricantes, han fortalecido la necesidad de ir más allá del RGPD (Reglamento (UE) 2016/679) y la Directiva R&TTE (99/5/CE), que, dado el marco temporal en el que fueron concebidos y entraron en vigor, no consideraron muchos aspectos de las amenazas a la ciberseguridad que ahora son muy reales y muy importantes de tener en cuenta.
En el marco del mercado único europeo, la directiva RED establece requisitos de compatibilidad electromagnética (CEM), seguridad eléctrica y uso eficaz y eficiente del espectro radioeléctrico (RF), que dependen principalmente del hardware y del software de bajo nivel. Además de estos mandatos existentes, a partir de agosto de 2025, la directiva también introducirá requisitos de ciberseguridad, que se verán influenciados principalmente por el software de alto nivel. La Directiva Europea de Equipos Radioeléctricos (RED) 2014/53/UE está en vigor desde el 13 de junio de 2016, sustituyendo a la anterior Directiva R&TTE 1999/5/CE y utilizando la mayoría de las definiciones del RGPD. Para mejorar la ciberseguridad y la protección de datos, la Comisión Europea adoptó el Reglamento Delegado (UE) 2022/30 el 29 de octubre de 2021, que complementa la RED mediante los mandatos de ciberseguridad de la UE RED en virtud de los artículos 3(3)(d), (e) y (f).
Las categorías específicas de equipos de radio afectados por este reglamento incluyen:
- Equipos de radio conectados a internet: Dispositivos capaces de comunicarse a través de internet, ya sea directamente o a través de otros equipos. Esto abarca una amplia gama de productos electrónicos de consumo, como teléfonos inteligentes, tabletas y wearables.
- Equipos de radio diseñados o destinados exclusivamente para el cuidado de niños: Dispositivos diseñados específicamente para monitorear o ayudar en el cuidado de niños, incluidos los monitores para bebés.
- Equipos de radio cubiertos por la Directiva de seguridad de los juguetes 2009/48/CE: Juguetes que incorporan funciones de radio y son capaces de grabar, almacenar o compartir información, interactuar con los usuarios (especialmente niños) o integrar componentes como altavoces, micrófonos o sensores.
- Equipos de radio portátiles: Dispositivos diseñados para llevarse, sujetarse o colgarse de cualquier parte del cuerpo o la ropa. Algunos ejemplos son los relojes inteligentes, las pulseras de actividad física, los auriculares, los audífonos o las gafas inteligentes.
En particular, los productos sanitarios quedan excluidos de las disposiciones del Reglamento Delegado (UE) 2022/30, ya que están sujetos a sus propias disposiciones específicas de ciberseguridad en virtud de los Reglamentos (UE) 2017/745 y (UE) 2017/746. Lo mismo ocurre con otros productos ya contemplados por la normativa vigente de la UE, excluidos del ámbito de aplicación de la Directiva RED, como la aviación civil (Reglamento (UE) 2018/1139), los sistemas de telepeaje (Directiva 2019/520), entre otros.
Este reglamento de cumplimiento de la Directiva de Equipos Radioeléctricos se fijó inicialmente para su aplicación a partir del 1 de agosto de 2024. Sin embargo, para que los fabricantes tuvieran más tiempo para cumplir, la Comisión Europea prorrogó la fecha de aplicación un año. La nueva fecha de cumplimiento obligatorio del Reglamento Delegado (UE) 2022/30 es ahora el 1 de agosto de 2025, un plazo muy próximo para los fabricantes, que deberían considerar acelerar la implementación de medidas técnicas para cumplir con los requisitos adicionales, los distribuidores de dispositivos de fabricantes que contengan módulos de conectividad y los integradores/OEM, que deberían tener en cuenta los nuevos requisitos al desarrollar sus productos integrados y conectados utilizando equipos radioeléctricos fabricados por los fabricantes.
Características técnicas para la protección de la privacidad, datos personales y contra el fraude
El Reglamento Delegado (UE) 2022/30 complementa la Directiva sobre equipos radioeléctricos (RED) a través de tres artículos fundamentales, cada uno de los cuales aborda mandatos específicos relacionados con la ciberseguridad para los equipos radioeléctricos.
- El Artículo 3(3)(d)aborda todos los requisitos comunes de ciberseguridad, específicamente para equipos de radio conectados a internet. Esta disposición estipula que los equipos de radio deben estar diseñados de forma que no dañen la red ni sus funciones, no utilicen indebidamente los recursos de la red ni provoquen una degradación inaceptable del servicio, evitando así que el dispositivo interrumpa la funcionalidad del sitio web o de los servicios.
- El artículo 3(3)(e)incluye requisitos comunes de seguridad dirigidos específicamente a los equipos radioeléctricos que procesan datos personales. Según este artículo, los equipos radioeléctricos deben incorporar salvaguardias que garanticen la protección de los datos personales y la privacidad de los usuarios y suscriptores, prescribiendo medidas para impedir el acceso o la transmisión no autorizados de los datos personales de los consumidores.
- El artículo 3(3)(f)introduce requisitos para prevenir el fraude. En concreto, abarca los equipos radioeléctricos capaces de procesar dinero virtual o valores monetarios, exigiendo que estos dispositivos admitan funciones de seguridad específicas, como un mejor control de la autenticación de usuarios, que los proteja contra actividades fraudulentas.
Además, la RED reconoce los riesgos potenciales asociados a la combinación de equipos de radio y software, en particular en lo que respecta a la conformidad tras las modificaciones. El artículo 4 exige a los fabricantes que proporcionen información sobre la conformidad de las combinaciones previstas de equipos de radio y software. Esto garantiza que, tras la instalación de software nuevo o modificado, el equipo de radio siga cumpliendo los requisitos esenciales de la directiva.
¿Cómo cumplir?
A partir del 28 de enero de 2025, la Comisión Europea armonizó tres normas EN 18031 bajo la directiva RED, estableciendo un camino más claro para que los fabricantes demuestren su cumplimiento en ciberseguridad. Sin embargo, es fundamental tener en cuenta que ciertas cláusulas de estas normas conllevan restricciones específicas. Esto significa que los fabricantes no pueden asumir automáticamente el cumplimiento total simplemente por adherirse a estas normas armonizadas. Por ejemplo, los productos que permiten la operación del usuario sin protección obligatoria con contraseña, o los productos que carecen de los controles de acceso parental necesarios, pueden requerir medidas de cumplimiento adicionales a las propias normas.
En tales casos, los fabricantes deben colaborar directamente con un Organismo Notificado, una organización designada por un país de la UE responsable de evaluar la conformidad del producto antes de su comercialización. Los Organismos Notificados realizan tareas relacionadas con los procedimientos de evaluación de la conformidad definidos por la legislación aplicable cuando se requiere una evaluación por terceros. La Comisión Europea mantiene una lista oficial de estos organismos. Colaborar con un Organismo Notificado garantiza que los productos de los fabricantes cumplan con todos los requisitos específicos de ciberseguridad descritos por la RED, teniendo en cuenta cualquier limitación de las normas armonizadas.
Además, los fabricantes deben implementar proactivamente medidas robustas de ciberseguridad, incluyendo mecanismos de arranque seguro, autenticación mutua y prácticas de actualización de seguridad consistentes. Estas prácticas no solo cumplen los objetivos esenciales de RED de proteger los datos personales y prevenir el fraude, sino que también refuerzan la seguridad general del dispositivo.
Dado el dinámico panorama regulatorio, los fabricantes deben mantenerse informados continuamente sobre las actualizaciones de las normas armonizadas y los requisitos más amplios de ciberseguridad de RED. El diálogo regular con expertos del sector, como SECO, y la participación en sesiones de formación o talleres pertinentes pueden contribuir significativamente a la preparación para el cumplimiento.
El papel de SECO y Clea
SECO cuenta con una sólida trayectoria en I+D y control de calidad, lo que la posiciona como un socio de confianza comprometido con la adaptación a marcos regulatorios en constante evolución, como la Directiva de Equipos Radioeléctricos (RED). SECO monitorea continuamente la evolución de los estándares regulatorios para dispositivos IoT, colabora activamente con laboratorios de certificación y mantiene un diálogo abierto con sus clientes para garantizar la preparación y el soporte necesarios para los próximos requisitos de cumplimiento.
Clea, la completa suite de software para IoT de SECO, ofrece un valor significativo a los fabricantes que se esfuerzan por cumplir con las próximas normativas de ciberseguridad de RED. Clea proporciona potentes herramientas para la orquestación segura de datos, la gestión de dispositivos y las aplicaciones basadas en IA, lo que la convierte en una solución estratégica para los fabricantes que trabajan proactivamente hacia el cumplimiento de RED. Con funciones como la autenticación SSL mutua, la rotación de certificados y las actualizaciones inalámbricas seguras (OTA), Clea mejora la gestión de la seguridad de los endpoints y la integridad de la red, ayudando a los fabricantes a crear marcos de ciberseguridad robustos que satisfagan las futuras necesidades regulatorias. Además, gracias a la integración de la plataforma premium Exein para la ciberseguridad de dispositivos IoT, y en particular a la integración de Runtime Security y Analyzer, la flota conectada está protegida en tiempo real y las vulnerabilidades se detectan automáticamente antes y después de la implementación.
Además, Clea sirve como plataforma facilitadora para fabricantes en transición hacia la servitización, ofreciendo capacidades como monetización de datos, modelos de suscripción y canales integrados de IA/ML a través del Portal Clea. Con este enfoque proactivo, SECO demuestra su compromiso de ayudar a sus clientes a abordar los desafíos del cumplimiento normativo, a la vez que genera nuevas oportunidades de crecimiento e innovación.
Visite SECO.com para descubrir cómo SECO puede ayudar a las empresas a desarrollar productos inteligentes compatibles con RED con seguridad de IoT de vanguardia, capacidades de servitización y conectividad perfecta.