La directiva RED de la UE exige la ciberseguridad (EN 18031) para los dispositivos conectados. SECO ayuda a los fabricantes de equipos originales con plataformas seguras, protección activa y cumplimiento normativo optimizado.
Más allá de la burocracia: la Directiva RED de la Unión Europea se ampliará el 1 de agosto de 2025 para incluir nuevos requisitos de ciberseguridad, que exigirán el cumplimiento de la norma técnica EN 18031. La EN 18031 está dividida en tres partes, alineadas con los artículos 3.3 d, e y f de la directiva RED, que cubren la protección de redes, datos y privacidad y la prevención del fraude. A partir del 1 de agosto de 2025, las empresas industriales que produzcan dispositivos con capacidad de red para el mercado de la UE deberán cumplir con los nuevos requisitos de la directiva RED. La ciberseguridad dejará de ser opcional para convertirse en una obligación reglamentaria que afectará al diseño de los productos, los procesos de certificación y el tiempo de comercialización.
Con la Directiva RED, la UE quiere cambiar el panorama de la seguridad para que todos los dispositivos conectados a Internet operen con el mismo nivel de seguridad. Sin embargo, esto supone un gran reto para las empresas manufactureras. Navegar por el laberinto de requisitos y comprender todas las implicaciones prácticas es extremadamente complejo.
Este blog traduce los nuevos requisitos RED en instrucciones prácticas y aplicables para todos los sectores industriales y explica cómo las empresas pueden cumplir con estos extensos requisitos para sus dispositivos.
Comprender los requisitos de ciberseguridad de la RED
La Directiva RED (Directiva 2014/53/UE) cubre todos los dispositivos que transmiten o reciben ondas de radio y se comercializan en el mercado de la UE. Esto se aplica a una amplia gama de productos industriales que utilizan Wi-Fi, LTE, BT u otros dispositivos IoT inalámbricos. La directiva se ampliará en toda la UE con los nuevos requisitos el 1 de agosto de 2025 e introducirá requisitos obligatorios de ciberseguridad para los dispositivos descritos. Entre otras cosas, los fabricantes de estos dispositivos deberán garantizar que:
- Las redes estén protegidas contra accesos no autorizados
- Los datos personales de los usuarios estén protegidos
- Se prevenga el fraude en la comunicación digital
La norma más importante dentro de la Directiva RED es la EN 18031, que está dividida en tres partes y constituye la base técnica para el cumplimiento de esta directiva. La norma también regula el cumplimiento de los requisitos de conformidad para el marcado CE.
Los OEM que fabrican dispositivos para el mercado de la UE deben ser conscientes de su responsabilidad para garantizar el cumplimiento en todos los niveles de su producto final, incluyendo el producto completo y no solo un único módulo de radio en su interior. Esto sitúa la responsabilidad del cumplimiento directamente sobre los hombros del fabricante del dispositivo final.
Impacto práctico en el sector industrial
En la industria, la falta de cumplimiento no solo es un riesgo legal, sino también una amenaza directa para la continuidad del negocio y la seguridad. A continuación se explica qué significan los artículos de la EN 18031 para las plantas industriales típicas y los dispositivos utilizados en ellas.
Protección de la red (Art. 3.3d): Tomemos como ejemplo una HMI o un gateway conectado a Internet mediante Ethernet. El dispositivo no debe representar un punto débil en la red de la empresa a través del cual un hacker pueda obtener acceso no autorizado a los datos corporativos. Esto requiere funciones como secure boot para verificar la autenticidad del firmware, validación de la integridad del firmware durante el arranque y la actualización, y el uso de protocolos seguros para evitar accesos no autorizados.
Protección de datos y privacidad (Art. 3.3e): Cualquier dispositivo que procese datos operativos o personales debe emplear cifrado de extremo a extremo (por ejemplo, TLS, AES) para datos en tránsito y en reposo, junto con mecanismos sólidos de autenticación de usuarios y dispositivos. También debe aplicarse el principio de “privacy by default”, que implica la recopilación mínima de datos.
Prevención del fraude (Art. 3.3f): Esto es fundamental para evitar manipulaciones. Para la maquinaria industrial significa utilizar firmware y actualizaciones firmados digitalmente, implementar mecanismos antimanipulación como la protección con fusibles y habilitar la protección de retroceso (rollback protection) para evitar la reinstalación de versiones vulnerables del software.
Las empresas que implementen a tiempo las directivas reducen las infracciones a la legislación vigente y las elevadas penalizaciones contractuales, y generan confianza en los consumidores al ofrecer productos seguros. También crean una ventaja competitiva frente a los fabricantes que no implementan o solo implementan parcialmente las directivas.
Acelerar el cumplimiento de la RED
Las empresas industriales deben ser conscientes de que cumplir estos amplios requisitos técnicos es una tarea compleja y que requiere muchos recursos, lo que puede retrasar el lanzamiento al mercado. El incumplimiento puede provocar la pérdida del marcado CE, la retirada del mercado y multas significativas.
SECO aborda estos desafíos para cumplir los requisitos CRA ofreciendo plataformas de hardware y software diseñadas para la conformidad, integrando funciones de seguridad nativas de los fabricantes de chips y tecnologías avanzadas de protección como la validación de firmware, la monitorización en tiempo real y la generación automática de la lista de materiales de software (SBOM). La empresa también se apoya en sólidas asociaciones que permiten a las empresas industriales cumplir con los estrictos requisitos de la directiva RED. A continuación queremos presentar algunas de las funciones con las que SECO garantiza el cumplimiento de los requisitos de seguridad.
Base con Clea OS: Clea OS de SECO proporciona las funciones esenciales para el cumplimiento de la RED. Es un sistema operativo independiente del hardware, basado en Yocto Linux, que facilita el cumplimiento de los requisitos de ciberseguridad de la EN 18031-1, gestionando funciones críticas como secure boot y validación de firmware. Clea OS integra de forma nativa las tecnologías de seguridad de los fabricantes de chips, ofreciendo una experiencia de producto completamente segura y conforme con una configuración mínima por parte del cliente.
Protección crítica en tiempo de ejecución con Exein: SECO ha elegido a Exein como socio estratégico para ofrecer protección avanzada contra intrusiones en tiempo de ejecución. Aunque el cumplimiento de la RED es esencial, la defensa activa es fundamental. La tecnología embebida de Exein ofrece análisis en tiempo real de la ejecución del procesador, detección automatizada de vulnerabilidades y protección en memoria. Esto significa que puede detectar y detener ataques mientras ocurren, monitoreando las desviaciones del comportamiento esperado a nivel de sistema. Esto va más allá de una simple verificación estática de conformidad para ofrecer seguridad activa y robusta a los dispositivos desplegados.
Certificación simplificada: SECO proporciona a los clientes soporte técnico y la documentación necesaria para todas las partes de la norma EN 18031, reduciendo significativamente la complejidad y el esfuerzo necesarios para que los equipos internos logren la certificación final del producto.
Conclusión
La fecha límite de agosto de 2025 para la RED está transformando el panorama normativo. Aunque representa un desafío, también es una oportunidad para desarrollar productos intrínsecamente más seguros. Asociarse con SECO permite a las empresas externalizar la complejidad del cumplimiento y, con la tecnología de Exein, desplegar dispositivos con protección activa en tiempo de ejecución que va mucho más allá de los requisitos mínimos.
Contacta hoy mismo con un experto de SECO para preparar tus productos para el futuro y garantizar el acceso continuo al mercado de la UE.