Desde el 1 de agosto de 2024, todos los productos radioeléctricos conectados a Internet deben cumplir con requisitos de ciberseguridad.
El Reglamento Delegado (UE) 2022/30 amplía las exigencias de la Directiva RED en el mercado europeo.
Las nuevas normas afectan a fabricantes, importadores, distribuidores y plataformas de venta en línea.
Se aplicarán tres normas armonizadas que cubren más de 600 páginas de requisitos técnicos.
Ciberseguridad obligatoria para productos que se conecten a Internet
Desde el 1 de agosto de 2024, todos los productos radioeléctricos que se comercialicen en la Unión Europea y que se conecten a Internet deben cumplir con exigencias específicas de ciberseguridad. Así lo establece el Reglamento Delegado (UE) 2022/30 —conocido como RED-RD 2022/30—, complemento de la Directiva RED 2014/53 sobre comercialización de equipos radioeléctricos.
Esta normativa abarca un amplio espectro de dispositivos: desde sensores IoT, dispositivos wearables, lectores de tarjetas, hasta componentes de ciudades inteligentes. Su objetivo es garantizar un nivel mínimo de protección frente a amenazas digitales en todos los equipos conectados.
Bajo conocimiento y escasa difusión del reglamento
A pesar de su impacto, el RED-RD 2022/30 ha tenido una escasa difusión en España. Su ausencia en eventos tecnológicos y congresos de ciberseguridad, como el Mobile World Congress o el Barcelona Cybersecurity Congress, evidencia un preocupante desconocimiento, incluso entre profesionales del sector.
Este bajo nivel de concienciación puede provocar incumplimientos involuntarios, especialmente en empresas que comercializan productos sin haber contemplado los nuevos requisitos.
Requisitos normativos y normas armonizadas
El reglamento establece que los fabricantes deben realizar un análisis de riesgos de ciberseguridad para sus productos, implementar medidas adecuadas y garantizar el cumplimiento de los requisitos esenciales. La presunción de conformidad se alcanza mediante el cumplimiento de las normas armonizadas publicadas en la Decisión de Ejecución (UE) 2025/138:
EN 18031-1:2024, para requisitos de seguridad comunes.
EN 18031-2:2024, para equipos que procesan datos.
EN 18031-3:2024, para equipos que gestionan dinero virtual o valores monetarios.
Estas normas, que suman casi 600 páginas, deben aplicarse de forma rigurosa en el diseño, verificación y documentación técnica del producto. Algunos fabricantes ya están tomando medidas, como Panasonic, que ha eliminado funciones de uno de sus modelos en Europa por no cumplir con la normativa.
Fabricantes, distribuidores y plataformas: todos responsables
La aplicación del RED-RD 2022/30 no solo recae sobre fabricantes e importadores. Los distribuidores deben comprobar que los productos que comercializan cumplan con la normativa a través de la correspondiente Declaración de Conformidad. Además, las plataformas de venta en línea también adquieren responsabilidades, conforme al Reglamento (UE) 2023/988 sobre seguridad general de los productos.
Los compradores finales, tanto empresas como consumidores, podrán exigir garantías de ciberseguridad antes de realizar una adquisición. Esto coloca la conformidad con el reglamento como un criterio clave de competitividad en el mercado europeo.
Un escenario comparable al RGPD
Todo apunta a que esta nueva obligación generará una situación similar a la vivida con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en 2018. En muchos casos, la adaptación llegará tarde o con improvisación, lo que puede suponer barreras para los fabricantes y exportadores que no estén alineados con los nuevos estándares de ciberseguridad exigidos por el mercado europeo.
