La Unión Europea ha puesto fecha límite al cumplimiento de sus nuevos estándares de ciberseguridad para dispositivos conectados. A partir del 1 de agosto, ningún equipo que opere mediante tecnología de radio —incluidos smartphones, wearables, juguetes inteligentes o aparatos IoT— podrá comercializarse en la UE sin ajustarse a las condiciones establecidas en la norma armonizada EN 18031, reconocida oficialmente por la Comisión Europea.
El objetivo es claro: proteger a los consumidores y a las empresas frente al creciente riesgo de ciberataques a través de dispositivos cotidianos, muchos de ellos concebidos sin medidas mínimas de seguridad.
Para toda la cadena tecnológica
La Decisión de Ejecución (UE) 2025/138, publicada el pasado enero, actualiza la lista oficial de normas armonizadas conforme a la Directiva 2014/53/UE (RED) sobre equipos de radio, ampliando las exigencias en materia de ciberseguridad para las siguientes categorías:
-
Dispositivos IoT conectados a Internet.
-
Equipos de radio de uso infantil y juguetes conectados.
-
Dispositivos portables o wearables.
-
Equipos que gestionen pagos digitales o valor monetario.
Estos equipos solo podrán considerarse conformes a la directiva —y, por tanto, obtener el marcado CE indispensable para su venta en la Unión— si cumplen las exigencias recogidas en las tres partes de la EN 18031, desarrolladas por CEN y Cenelec.
Tres requisitos para garantizar la seguridad
Fabricantes y distribuidores estarán obligados a cumplir la nueva normativa europea y que sus dispositivos cumplan tres requisitos de seguridad:
-
Protección frente a riesgos para las redes de telecomunicaciones, evitando daños o consumos desproporcionados.
-
Garantía de la privacidad y protección de datos personales, en línea con el Reglamento General de Protección de Datos (GDPR).
-
Prevención del fraude, bloqueando accesos no autorizados y manipulaciones indebidas.
Limitaciones y advertencias
La Comisión Europea ha advertido que la mera aplicación de las normas EN 18031-1, -2 y -3 no otorga presunción automática de conformidad si no se cumplen ciertas condiciones críticas. Por ejemplo:
-
Los dispositivos sin sistemas efectivos de autenticación, como la exigencia de contraseñas robustas, no se considerarán conformes.
-
Los juguetes y dispositivos infantiles deberán incorporar controles parentales adecuados.
-
Los sistemas de pago o gestión de valores requerirán medidas de seguridad reforzadas, no siendo suficiente la aplicación de un único sistema de autenticación o actualización.
Esta normativa tiene un impacto directo sobre un sector que ya mueve más de 600 000 millones de dólares anuales, según Fortune Business Insights, y cuya proyección para 2032 supera los 4 billones.
“El hecho de que existan miles de millones de dispositivos conectados convierte al IoT en una potencial puerta de entrada para ciberataques, incluso desde los dispositivos más simples”, alerta Xabier Olea, Tech Manager en Wireless Logic España.
