Cumplir o Quedar Fuera: La Nueva Obligación EN 18031 para Empresas Tecnológicas en Europa
A partir del 1 de agosto de 2025, el cumplimiento de la norma UNE-EN 18031 será obligatorio para todas las empresas que fabriquen o comercialicen productos conectados a internet en la Unión Europea, siempre que estos incluyan componentes de radio (Wi-Fi, Bluetooth, Zigbee, etc.) y gestionen datos personales o activos financieros(1313). Esta norma armonizada, publicada por CEN y CENELEC, constituye la nueva base para demostrar conformidad con los artículos 3.3(d), (e) y (f) de la Directiva RED 2014/53/UE, que exigen protección contra accesos no autorizados, garantía de la privacidad y defensa frente al fraude(5619).
¿A quién aplica EN 18031?
EN 18031 afecta a:
- Fabricantes y proveedores de dispositivos con radiofrecuencia conectados a internet.
- Productos que procesan datos personales, realizan transacciones financieras o pueden ser vulnerables a ciberataques.
Ejemplos de productos afectados:
- Televisores inteligentes y sistemas operativos embebidos
- Dispositivos médicos conectados
- Cámaras de videovigilancia
- Equipos para pagos digitales
- Routers, gateways, dispositivos industriales IoT(2319)
Alcance y Obligación
La aplicación de EN 18031 será obligatoria para todos los equipos de radio conectados a internet, dispositivos que procesan datos personales o dinero virtual, a partir del 1 de agosto de 2025 en la UE. No cumplirla implica la imposibilidad de comercializar legalmente estos productos en el mercado europeo(1313).
Estructura y Requisitos de EN 18031
La norma está dividida en tres partes, cada una alineada con un artículo de la Directiva RED:
- EN 18031-1: Protección de la red y la integridad del servicio (art. 3.3(d))
- EN 18031-2: Protección de datos personales y privacidad (art. 3.3(e))
- EN 18031-3: Protección frente al fraude y activos financieros (art. 3.3(f))(1311
Controles técnicos exigidos incluyen:
- Autenticación robusta y control de acceso
- Actualizaciones seguras de software
- Cifrado y gestión de claves criptográficas
- Resiliencia frente a ataques (DDoS, malware)
- Monitorización y detección de incidentes
- Documentación exhaustiva y análisis de riesgos(21016
Proceso de evaluación:
- Análisis de aplicabilidad de cada requisito (no todos aplican a todos los productos)
- Evaluación conceptual (documentación y justificación de mecanismos)
- Pruebas funcionales y de suficiencia (verificación práctica y pruebas de penetración)
- Árboles de decisión para determinar aplicabilidad y suficiencia de cada mecanismo(21018)
Presunción de Conformidad y Procedimientos
- Presunción automática: Si el fabricante aplica completamente EN 18031 y cumple con sus restricciones, puede auto-declarar la conformidad y acceder al mercado UE sin intervención de un Organismo Notificado1413.
- Evaluación por tercero: Si no se cumple completamente la norma o existen restricciones aplicables, es obligatorio pasar por una evaluación de conformidad por un Organismo Notificado antes de comercializar el producto1413.
GAP Analysis y Preparación
Se recomienda realizar un análisis GAP para identificar carencias frente a los requisitos de la norma antes de iniciar la certificación formal. Esto permite planificar cambios, asignar recursos y estimar tiempos y costes de forma realista15.
Relación con Otros Esquemas y Certificaciones
- EN 18031 está alineada con el futuro Esquema Europeo de Certificación de Ciberseguridad (EUCC) y el Cybersecurity Act, facilitando la transición y el reconocimiento de controles ya implementados (por ejemplo, ISO/IEC 15408, ISO 27001)(312.)
- LINCE es solo válido en España y no otorga presunción de conformidad con la Directiva RED ni exime de cumplir EN 18031 para el mercado europeo(3.)
- ISO 27001 es recomendable como base, pero no suficiente ni equivalente a EN 18031(3.)
Comparativa de Certificaciones
| Certificación | Validez UE | Presunción de Conformidad RED | Enfoque principal |
|---|---|---|---|
| EN 18031 | Sí | Sí | Ciberseguridad RED |
| LINCE | No | No | Ciberseguridad España |
| ISO 27001 | No | No | Gestión de la seguridad |
| EUCC (futuro) | Sí | Sí | Ciberseguridad avanzada |
¿Qué se gana cumpliendo EN 18031?
- Acceso legal al mercado europeo a partir de agosto de 2025
- Reputación de seguridad demostrada
- Ventaja competitiva en licitaciones y acuerdos internacionales
- Preparación ante futuras normativas como NIS2, DORA y EUCC(313)
Recomendaciones para Empresas
- Realizar un análisis GAP frente a EN 18031 cuanto antes(15).
- Definir el alcance de certificación (TOE): qué parte del producto entra en el proceso.
- Preparar la documentación de riesgos, controles y evidencias técnicas.
- Si no se puede aplicar la norma al 100%, contactar con un Organismo Notificado para la evaluación de conformidad(1414.)
Conclusión:
El cumplimiento de EN 18031 es una condición imprescindible para operar en Europa a partir de agosto de 2025. No es una mejora opcional, sino una barrera normativa real. Estar preparados es una ventaja competitiva; no estarlo, un riesgo inasumible(1313.)