Skip to main content
  • Servicio

Ciberseguridad de UL Solutions para el cumplimiento de la directiva RED

Obtenga más información sobre el Artículo 3.3 de la Directiva de Equipos Radioeléctricos 2014/53/UE (RED) de la Comisión Europea, que aborda los requisitos de dispositivos específicos de radio que van desde interfaces comunes hasta ciberseguridad.

Friends sharing information on smartphones

Descripción general de la Directiva sobre Equipos Radioeléctricos (RED) 2014/53/UE

Disposiciones clave de RED 

La Directiva sobre Equipos Radioeléctricos 2014/53/UE (RED) de la Comisión Europea (CE) establece un marco normativo para los equipos radioeléctricos, estableciendo requisitos esenciales para la seguridad y la salud, la compatibilidad electromagnética (EMC) y la eficiencia del uso del espectro radioeléctrico. El artículo 3.3 de la Directiva incluye los requisitos de los dispositivos relacionados a categorías específicas de equipos radioeléctricos, que van desde interfaces comunes hasta ciberseguridad.

Cronología para el cumplimiento

El 12 de enero de 2022, el Diario Oficial de la Unión Europea publicó el Reglamento delegado 2022/30/UE, que impone el cumplimiento de nuevos requisitos definidos en el artículo 3.3(d), (e) y (f) de la RED. La normativa tiene como objetivo proporcionar seguridad a la red, la protección de datos personales y la protección de la privacidad y contra el fraude para los dispositivos inalámbricos aplicables disponibles en el mercado de la UE (véase la figura). Entrará en vigor el 1 de febrero de 2022 y será obligatoria el 1 de agosto de 2025, dando, a los fabricantes de dispositivos, un periodo de transición de 42 meses.    

Análisis detallado de los requisitos de ciberseguridad del artículo 3.3 de RED

Ciberseguridad del artículo 3.3 de RED

RED Article 3.3 Cybersecurity shown on a chart

Protección de la red en virtud del artículo 3.3(d)

El artículo 3.3(d) mejora la protección de la red. Los fabricantes de dispositivos tendrán que incluir funciones que eviten dañar las redes de comunicación y eviten que el dispositivo interrumpa la funcionalidad.

Datos personales y privacidad en virtud del artículo 3.3(e)

El artículo 3.3(e) refuerza la protección de los datos personales y la privacidad. Por ejemplo, los fabricantes de dispositivos tendrán que implementar medidas para evitar el acceso o la transmisión no autorizados de los datos personales de los consumidores.

Medidas antifraude en virtud del artículo 3.3(f)

El artículo 3.3(f) reduce el riesgo de fraude. Los fabricantes de dispositivos tendrán que incluir características como un mejor control de autenticación del usuario para minimizar las transferencias monetarias y los pagos electrónicos fraudulentos.

Alcance e impacto de los requisitos de ciberseguridad de la RED

Dispositivos cubiertos por la nueva normativa

La nueva normativa cubre los dispositivos que pueden comunicarse a través de Internet, ya sea directamente o a través de otros equipos. Los equipos radioeléctricos que pueden exponer datos personales confidenciales también se consideran dentro de ella. Por ejemplo:

  • Teléfonos celulares, tabletas y laptops
  • Juguetes inalámbricos y equipos de seguridad para niños, como monitores de bebés
  • Dispositivos vestibles, como los relojes inteligentes y los monitores de ejercicio

El artículo 3.3(d) se aplica a los dispositivos relacionados con la protección de la red. El artículo 3.3(e) se aplica a los equipos que procesan datos personales, datos de tráfico o datos de ubicación (para ver las definiciones detalladas de los datos, consulte el artículo 4(1) y 4(2) del Reglamento de la UE 2016/679 y el artículo 2(b) y (c) de la Directiva 2002/58/CE).

El artículo 3.3(f) se aplica a los equipos radioeléctricos que permiten al titular o al usuario transferir dinero, valor monetario o moneda virtual según se define en el artículo 2(d) de la Directiva de la UE 2019/713. Las medidas de ciberseguridad deben tener en cuenta las tendencias delictivas emergentes en la industria de los pagos electrónicos, como el cryptojacking, el ransomware, el fraude relacionado con la comunicación de campo cercano (NFC) y la manipulación de la autenticación biométrica.

Exenciones y consideraciones especiales

Los dispositivos que ya están dentro del ámbito de aplicación de los Reglamentos de la CE 2019/21446 (examen de tipo para vehículos), 2018/11397 (aviación civil) o la Directiva 2019/520 (sistemas electrónicos de peaje) que tienen requisitos de seguridad similares no entran en el nuevo artículo 3.3 (e) y (f), pero deberán cumplir con el artículo 3.3 (d).

Descripción general de los estándares de la serie EN 18031 y el papel de UL Solutions para facilitar el cumplimiento de la RED

En agosto de 2022, la CE emitió una solicitud de estandarización al CEN/CENELEC de la Organización Europea de Normalización (ESO, por sus siglas en inglés), que inició el trabajo sobre los estándares armonizados. UL Solutions revisó el primer borrador del estándar propuesto y presentó varios comentarios para ayudar a mejorar el documento.

El 14 de agosto de 2024, se publicaron oficialmente los estándares armonizados candidatos, la serie de estándares EN 18031. Los estándares se publicaron oficialmente en agosto de 2024.

EN 18031 se conforma de tres partes: EN 18031-1, EN 18031-2 y EN 18031-3, y cubre el artículo 3.3(d), (e) y (f), respectivamente.

  • EN 18031-1:2024: Requisitos comunes de seguridad para equipos radioeléctricos. Parte 1: Equipos radioeléctricos conectados a Internet
  • EN 18031-2:2024: Requisitos comunes de seguridad para equipos radioeléctrcios. Parte 2: Equipos radioeléctricos de procesamiento de datos, incluidos equipos radioeléctricos conectados a Internet, equipos radioeléctricos de cuidado infantil, equipos radioeléctricos de juguete y equipos de radio portátiles
  • EN 18031-3:2024: Requisitos comunes de seguridad para equipos radioeléctricos, Parte 3: Equipos radioeléctricos conectados a Internet que procesan dinero virtual o valor monetario
  • Energía inalámbrica y productos industriales como cargadores para vehículos eléctricos, medidores de energía, sensores inalámbricos industriales, ordenadores perimetrales para IoT industrial y controles de automatización, routers y antenas industriales, y motores inteligentes.

La serie de estándares EN 18031 se armonizó el 28 de enero de 2025, con la Decisión de Ejecución — 2025/138 — EN — EUR-Lex con restricciones. Paralelamente, la DG Grow publicó los documentos de orientación para apoyar la estandarización.

Los fabricantes pueden aplicar los estándares EN 18031 y ya no requerirán un organismo notificado (ON) si cumplen plenamente. Sin embargo, cualquier otro estándar, incluyendo PSA, ETSI EN 303 645, ISA/IEC 62443, etc., aún requerirá un ON.

Además, si aplican restricciones, es obligatorio que el fabricante vaya a un ON a menos que el fabricante haya aplicado los estándares EN 18031 pertinentes en su totalidad y no esté rompiendo las “restricciones”. No se requiere un ON en estas circunstancias.

EN 18031-1:2024 (equipos radioeléctricos conectados a Internet): Restricciones

  • Las secciones “justificación” y “orientación” no garantizan el cumplimiento*
  • Permitir a los usuarios operar el dispositivo sin establecer una contraseña

* Para ampliar el punto uno, estas secciones tienen los siguientes propósitos:

  1. Justificación: Explica el razonamiento detrás de los requisitos específicos, ayudando a los fabricantes y evaluadores a comprender por qué son necesarias ciertas medidas de seguridad.
  2. Orientación: Ofrece información adicional sobre cómo implementar o interpretar los requisitos, proporcionando consejos prácticos para los fabricantes.

Es importante tener en cuenta que, si bien estas secciones son valiosas para comprender e implementar el estándar, no confieren una presunción de conformidad con los requisitos esenciales establecidos en el artículo 3(3) de la Directiva 2014/53/UE. Esto significa que seguir la guía o el entendimiento dentro de la justificación por sí solo no es suficiente para demostrar el cumplimiento de los requisitos de ciberseguridad de la RED.

EN 18031-2:2024 (equipos radioeléctricos de procesamiento de datos): Restricciones

  • Las secciones “justificación” y “orientación” no garantizan el cumplimiento*
  • Permitir a los usuarios operar el dispositivo sin establecer una contraseña
  • Controles de acceso inadecuados para los padres/tutores para clases específicas de dispositivos (es decir, implementar controles de acceso efectivos para los padres/tutores para las categorías de dispositivos pertinentes)

EN 18031-3:2024 (equipos radioeléctricos que procesan dinero virtual o valor monetario): Restricciones

  • Las secciones “justificación” y “orientación” no garantizan el cumplimiento*
  • Permitir a los usuarios operar el dispositivo sin establecer una contraseña
  • Si un juguete no garantiza el control de acceso para los padres o tutores, se requiere un ON
  • Los criterios de evaluación estándar establecidos en la cláusula 6.3.2.4 no son adecuados. En el texto principal, el párrafo (8) explica: La cláusula 6.3.2.4 del estándar armonizado EN 18031-3:2024 incluye criterios de evaluación para actualizaciones seguras. Se establecen cuatro categorías de implementación diferentes, basadas en firmas digitales, mecanismos de comunicación segura, mecanismos de control de acceso u otros. Ninguno de los métodos por sí solo es suficiente para el tratamiento de los activos financieros. Se considera que los criterios de evaluación no abordan adecuadamente los riesgos de autenticación pertinentes y, por lo tanto, no pueden garantizar la conformidad con el requisito esencial establecido en el artículo 3(3), primer párrafo, punto (f), de la Directiva 2014/53/UE.
  • De la “guía”: Un fabricante de productos cubiertos por el estándar armonizado EN 18032-3:2024 al que se aplica la cláusula 6.3.2.4 no se beneficia de la presunción de conformidad, independientemente del diseño del producto. Es obligatoria una evaluación de conformidad de un Organizmo Notificado.

Los estándares armonizados, EN 18031, respaldan los requisitos fundamentales establecidos en el artículo 3.3 (d), (e) y (f) y contienen especificaciones técnicas para equipos radioeléctricos dentro del alcance. Estas especificaciones cubren temas como el monitoreo del tráfico de red, la mitigación de ataques de denegación de servicio, los mecanismos de autenticación y control de acceso, el mecanismo de actualización segura y la reducción de la superficie de ataque. Además, las especificaciones abordan la seguridad y la privacidad de los datos, específicamente con el objetivo de evitar el almacenamiento accidental o no autorizado, el procesamiento, el acceso, la divulgación, la destrucción o la pérdida de datos. Los usuarios también tienen la capacidad de eliminar fácilmente sus datos personales almacenados en un dispositivo antes de desecharlo para evitar la exposición de su información.

¿Por qué elegir a UL Solutions para el cumplimiento de la ciberseguridad de la RED?

Experiencia en ciberseguridad y cumplimiento

RED afecta a cualquier fabricante que produzca equipos radioeléctricos que se comercialicen en el mercado de la UE.

Los fabricantes serán responsables de la ciberseguridad durante todo el ciclo de vida del dispositivo. UL Solutions puede ayudarle a progresar hacia el cumplimiento de la RED con servicios de asesoramiento que resaltan las brechas y brindan orientación educativa que puede ayudarle a alcanzar sus objetivos.

Apoyo integral desde la estrategia hasta la implementación

UL Solutions puede brindarle asistencia independientemente de su etapa de desarrollo actual. Para proyectos en etapa inicial, podemos ayudarle a comprender cómo aplicar la seguridad por diseño e integrar la seguridad en su gobierno y procesos. Con este fin, ofrecemos capacitación y talleres dirigidos por nuestros expertos en seguridad para darle a su equipo el conocimiento para implementar con éxito sus productos.

Para proyectos en una etapa de desarrollo posterior, podemos ayudarle con un análisis de brechas o una evaluación de cumplimiento completo de EN 18031-1/EN 18031-2/EN 18031-3, EN 303 645 e IEC 62443-4-2, lo que le ayudará a aumentar la postura de seguridad de sus productos. Los dos últimos estándares tienen requisitos que se superponen con aquellos para abordar los Requisitos Esenciales para RED y respaldarán en gran medida su preparación para RED.

Servicios de capacitación y asesoría en materia de cumplimiento

Taller sobre el panorama normativo del DA de RED y la UE

Este taller proporciona una descripción general del panorama regulatorio de ciberseguridad de la UE, preparando el escenario para una comprensión más profunda del DA de RED para el artículo 3.3(d), (e) y (f) y su importancia para mejorar la seguridad y privacidad de los dispositivos conectados junto con los impactos futuros de la Ley de Ciberresiliencia.

Servicios de asesoramiento

Ofrecemos servicios de capacitación para los clientes en cada paso de su viaje hacia el cumplimiento de RED.

  • Básico, Nivel 1: Iniciación

    Los servicios de asesoramiento básicos están diseñados para los fabricantes que comienzan su viaje hacia el DA de RED y buscan un experto que les ayude a identificar las principales brechas hacia el cumplimiento futuro.

  • Sustancial, Nivel 2: En desarrollo

    Los servicios de asesoramiento sustanciales están diseñados para fabricantes que ya comenzaron a trabajar en su cumplimiento con el DA de la RED y tienen experiencia previa con certificaciones de ciberseguridad.

  • Alto, Nivel 3: Definido

    Estos servicios están diseñados para fabricantes que están bien encaminados en su camino hacia el cumplimiento del DA de RED y que buscan un experto para evaluar su trabajo.

Servicios de evaluación de la conformidad

En algunos casos, los fabricantes deben demostrar la conformidad de sus productos mediante la evaluación de un ON. Como ON, UL Solutions puede proporcionar servicios de evaluación para el artículo 3.3 (d), (e) y (f) de RED. Esto permitirá a los fabricantes confirmar el cumplimiento antes de la fecha obligatoria del 1 de agosto de 2025, lo que les ayudará a evitar un posible periodo pico de pruebas de productos.

Además, para ayudar a los fabricantes a ingresar sin problemas a los mercados globales, brindamos servicios de evaluación, prueba y certificación para:  

  • EN 303 645: Ciberseguridad para el Internet de las cosas del consumidor
  • La Ley de Ciberresiliencia (CRA, por sus siglas en inglés)
  • ISA/IEC 62443: Seguridad para Sistemas de Automatización y Control Industrial
  • La Ley de Seguridad de Productos e Infraestructura de Telecomunicaciones (PSTI) del Reino Unido
  • US NISTIR 8259A: Línea de base central de la capacidad de ciberseguridad del dispositivo de IoT
  • US NISTIR 8425: Perfil de la línea de base central del IoT para productos IoT de consumo
  • Ley de Seguridad de Internet de las Cosas de California SB 327
  • Programa de Etiquetado de Ciberseguridad de Singapur (CLS)
  • Clasificación de seguridad de dispositivos IoT verificada por UL (MCV 1376)
  • ISO 27001: Seguridad de la información, ciberseguridad y protección de la privacidad. Sistemas de gestión de la seguridad de la información
  • FIPS 140-3
  • Criterios comunes

Resumen del cumplimiento de la ciberseguridad de RED 

La Directiva sobre Equipos Radioeléctricos (RED) 2014/53/UE presenta requisitos cruciales de ciberseguridad para los dispositivos conectados a Internet y aquellos que manejan datos personales confidenciales. Las soluciones y especificaciones técnicas están disponibles para ayudarle a cumplir con estos requisitos. Los fabricantes deben cumplir con estas normas a partir del 1 de agosto de 2025. UL Solutions ofrece soporte integral para el cumplimiento de RED, incluyendo los servicios de asesoramiento, el análisis de brechas y las evaluaciones de conformidad. La experiencia cubre varias etapas del desarrollo del producto, desde la implementación temprana de la seguridad por diseño hasta las evaluaciones de cumplimiento en etapas posteriores. Dada la complejidad de estas nuevas normativas y la próxima fecha límite, se recomienda a los fabricantes que se pongan en contacto con UL Solutions para obtener orientación y apoyo para lograr el cumplimiento de RED y garantizar que sus productos cumplan con los estándares de ciberseguridad necesarios para el mercado de la UE. 

Descargue nuestros recursos
Cybersecurity

Cybersecurity Requirements in the Radio Equipment Directive

930 KB
Radio

Radio Equipment Directive Cybersecurity FAQ

180 KB
X

Conéctese con nuestro equipo de ventas

Gracias por su interés en los productos y servicios de UL. Vamos a solicitarle un poco de información para que podamos conectarlo con la persona adecuada.

Aguarde un momento…