Ir al contenido

Norma UNE-EN 18031: Ciberseguridad obligatoria para dispositivos radio conectados (a partir de agosto de 2025)

22 de abril de 2025 por
Norma UNE-EN 18031: Ciberseguridad obligatoria para dispositivos radio conectados (a partir de agosto de 2025)
Quantumsec

La norma UNE-EN 18031 afecta a fabricantes y empresas tecnológicas en la Unión Europea que comercializan dispositivos con conectividad a Internet y componentes radio (Wi-Fi, Bluetooth, Zigbee, 4G/5G, etc.) que manejan datos personales o activos financieros. En la práctica, esto abarca una amplia gama de productos electrónicos e IoT: desde smartphones, routers y cámaras de seguridad conectadas, hasta dispositivos wearables (p. ej. smartwatches, monitores de salud), juguetes inteligentes y equipos de cuidado infantil conectados, e incluso terminales de pago o dispositivos que gestionan moneda digital 

 Cualquier aparato radioeléctrico capaz de enviar/recibir datos a través de Internet entra en el alcance de estos requisitos, especialmente si trata información personal de usuarios o interviene en transacciones monetarias. En resumen, los fabricantes de dispositivos IoT y electrónicos conectados deberán cumplir esta norma para seguir vendiendo legalmente en la UE tras la fecha establecida.

Alcance y obligatoriedad (entrada en vigor en agosto de 2025)

A partir del 1 de agosto de 2025, cumplir con la norma EN 18031 (o demostrar requisitos equivalentes) será obligatorio para poder colocar estos productos en el mercado europeo (Radio Equipment Directive Standards EN 18031 Series Finalized but not yet Harmonized | SGS). Esta exigencia proviene de una actualización de la Directiva de Equipos Radioeléctricos (Directiva RED 2014/53/UE) mediante el Reglamento Delegado (UE) 2022/30 de la Comisión, que introdujo nuevos requisitos esenciales de ciberseguridad con un período de transición de 30 meses. Esa moratoria expira en agosto de 2025, por lo que a partir de esa fecha ningún dispositivo dentro del alcance podrá comercializarse sin satisfacer estos requisitos de seguridad. En consecuencia, los fabricantes deben asegurarse de que sus productos cumplan la EN 18031 antes de esa fecha para poder seguir aplicando el marcado CE. Hasta entonces, el cumplimiento de estas medidas era voluntario o complementario, pero desde agosto de 2025 pasan a ser requisitos legales exigibles. Las autoridades de vigilancia de mercado podrán impedir la venta o retirar productos no conformes, con las sanciones correspondientes, por lo que la norma tiene efectos vinculantes para todas las empresas del sector.


Estructura de la norma y relación con la Directiva RED

La serie UNE-EN 18031 se compone de tres partes (18031-1, 18031-2 y 18031-3), cada una alineada con un apartado específico de los requisitos esenciales de la Directiva RED (artículos 3.3 d), e) y f) respectivamente) (Radio Equipment Directive Standards EN 18031 Series Finalized but not yet Harmonized | SGS). Esta norma fue desarrollada por el comité técnico conjunto CEN-CENELEC JTC 13 (WG8) precisamente para dar soporte a esos nuevos requisitos de ciberseguridad de la directiva RED (Explorando el estándar EN 18031: Ensayos de ciberseguridad para cumplir con la Directiva de Equipos de Radio):

  • EN 18031-1:2024 – Requisitos comunes de ciberseguridad para equipos radio conectados a Internet. Corresponde al art. 3.3(d) de la RED, que exige que el equipo “no dañe la red ni su funcionamiento, ni abuse de los recursos de la red causando una degradación inaceptable del servicio” (Radio Equipment Directive Standards EN 18031 Series Finalized but not yet Harmonized | SGS). Este apartado establece controles básicos para evitar que un dispositivo comprometido cause perjuicios a las redes de comunicaciones.
  • EN 18031-2:2024 – Requisitos adicionales para equipos que procesan datos personales. Cubre el art. 3.3(e) de la RED, relativo a privacidad y protección de datos. Incluye específicamente a “equipos radioeléctricos conectados a Internet, equipos para el cuidado infantil, juguetes radioeléctricos y equipos portátiles (wearables)” , es decir, aquellos dispositivos IoT que manejan información del usuario (nombre, voz, imágenes, datos de salud, etc.), con especial atención a los destinados a niños. Esta parte introduce medidas enfocadas en garantizar la confidencialidad e integridad de los datos personales manejados por el dispositivo.
  • EN 18031-3:2024 – Requisitos adicionales para equipos que manejan valor monetario o dinero virtual. Atiende al art. 3.3(f) de la RED, que busca prevenir fraudes en dispositivos usados para pagos o gestión de activos financieros (Radio Equipment Directive Standards EN 18031 Series Finalized but not yet Harmonized | SGS). Abarca por ejemplo terminales punto de venta inalámbricos, monederos electrónicos, dispositivos IoT integrados con pagos móviles o criptomoneda, etc. Esta parte establece controles para proteger transacciones financieras y prevenir accesos o modificaciones no autorizadas que puedan derivar en fraude.

Cada parte de la norma se dirige a un ámbito de seguridad específico acorde al tipo de datos que maneja el equipo. La Parte 1 proporciona los requisitos generales de ciberseguridad (aplicables a cualquier dispositivo conectado), mientras que las Partes 2 y 3 añaden requisitos específicos de privacidad y de protección contra el fraude financiero para aquellos equipos cuyo uso lo requiera (Explorando el estándar EN 18031: Ensayos de ciberseguridad para cumplir con la Directiva de Equipos de Radio ). En conjunto, las tres secciones forman un marco integral que cubre desde la protección de las redes de comunicaciones hasta la seguridad de la información personal y financiera en los dispositivos radio. Un mismo producto puede estar sujeto a más de una parte de la norma; por ejemplo, un smartphone (conectado a Internet y que almacena datos personales y financieros) deberá cumplir tanto los requisitos generales (Parte 1) como los de datos personales (Parte 2) e incluso financieros (Parte 3) si realiza pagos. La norma UNE-EN 18031 al estar alineada con la Directiva RED 2014/53/UE permite a los fabricantes demostrar fácilmente que sus productos satisfacen esos requisitos legales de ciberseguridad, otorgando presunción de conformidad una vez sea citada en el Diario Oficial de la UE ( EN 18031: The stepping stone for product security standardization - Industrial Cyber ).


Principales requisitos técnicos de seguridad

La norma UNE-EN 18031 establece una serie de requisitos técnicos mínimos que los productos deben incorporar para considerarse seguros. Estos requisitos están diseñados para proteger distintos tipos de activos en el dispositivo: activos de red (conectividad), activos de seguridad (integridad del sistema), activos de privacidad (datos personales) y activos financieros (transacciones) (Explorando el estándar EN 18031: Ensayos de ciberseguridad para cumplir con la Directiva de Equipos de Radio ). A grandes rasgos, los controles técnicos clave incluyen:

  • Control de acceso y autenticación: Implementar mecanismos que eviten accesos no autorizados al dispositivo y a sus interfaces. Esto implica, por ejemplo, eliminar o sustituir las contraseñas por defecto y exigir autenticación robusta de usuarios/admins (p. ej. contraseñas seguras, autenticación multifactor) (Explorando el estándar EN 18031: Ensayos de ciberseguridad para cumplir con la Directiva de Equipos de Radio ). Solo los usuarios legítimos deben poder configurar el dispositivo o acceder a sus datos.
  • Comunicación cifrada y segura: Proteger la información que el equipo transmite o recibe a través de redes. Se deben usar protocolos de comunicación seguros (p. ej. TLS/SSL) para cifrar los datos en tránsito y evitar interceptaciones o manipulaciones (Explorando el estándar EN 18031: Ensayos de ciberseguridad para cumplir con la Directiva de Equipos de Radio ). Esto garantiza la confidencialidad e integridad de datos personales transmitidos (cumpliendo las exigencias de privacidad).
  • Almacenamiento seguro de datos y claves: Salvaguardar la información sensible almacenada en el dispositivo (credenciales, configuraciones, datos personales, claves criptográficas). La norma requiere cifrado o medidas de seguridad en la memoria interna para prevenir extracciones no autorizadas (Explorando el estándar EN 18031: Ensayos de ciberseguridad para cumplir con la Directiva de Equipos de Radio ). Asimismo, contempla una gestión segura de claves criptográficas – generación, almacenamiento y destrucción de claves de forma que no puedan ser comprometidas (Explorando el estándar EN 18031: Ensayos de ciberseguridad para cumplir con la Directiva de Equipos de Radio ).
  • Actualizaciones de software seguras: Garantizar que el dispositivo puede recibir actualizaciones de firmware/sofware de forma autenticada e íntegra (Explorando el estándar EN 18031: Ensayos de ciberseguridad para cumplir con la Directiva de Equipos de Radio ). Es decir, las actualizaciones deben estar firmadas digitalmente o verificadas para impedir la instalación de software malicioso (evitando que un atacante tome control mediante una actualización falsificada). También se exige que el fabricante mantenga el dispositivo actualizado corrigiendo vulnerabilidades descubiertas (un aspecto crítico para la seguridad continua del producto).
  • Resiliencia y robustez ante ataques: Incorporar mecanismos de resiliencia para mitigar los efectos de ataques de denegación de servicio (DoS) u otros intentos de explotación (Explorando el estándar EN 18031: Ensayos de ciberseguridad para cumplir con la Directiva de Equipos de Radio ). Por ejemplo, limitar los intentos de conexión o autenticación para evitar sobrecargas, y diseñar el sistema de forma que falle de manera segura. El dispositivo no debe colapsar ni quedar en un estado inseguro ante condiciones anómalas o ataques, sino seguir operando de forma controlada.
  • Monitoreo y detección de incidentes: Contar con medios de monitoreo de la actividad y del tráfico en el dispositivo, con registros (logs) de seguridad que permitan detectar accesos anómalos, intentos de intrusión o comportamientos fuera de lo normal (Explorando el estándar EN 18031: Ensayos de ciberseguridad para cumplir con la Directiva de Equipos de Radio ). Estos registros facilitan además la respuesta y análisis forense ante un incidente. Por ejemplo, un router inteligente podría registrar intentos fallidos de login o tráfico inusual, alertando de un posible ataque.
  • Protecciones antifraude en transacciones: (Aplicable a dispositivos financieros) Asegurar que cualquier operación de pago o valor monetario esté autorizada y validada correctamente. Esto puede implicar autenticación fuerte del usuario para pagos, cifrado de datos financieros, y prevención de alteraciones en las transacciones. El objetivo es minimizar riesgos de fraude electrónico conforme al art. 3.3(f). Un dispositivo de pago inalámbrico, por ejemplo, debe garantizar que las transacciones no puedan ser interceptadas ni modificadas, y que registre de forma segura cualquier transacción para posible auditoría.

Cabe destacar que la norma es independiente de la tecnología específica empleada (Explorando el estándar EN 18031: Ensayos de ciberseguridad para cumplir con la Directiva de Equipos de Radio ). Es decir, no impone soluciones concretas, sino objetivos de seguridad que el fabricante puede lograr de diversas formas (según el tipo de dispositivo, su sistema operativo, etc.). Se enfatiza la necesidad de una seguridad por diseño, donde estas medidas estén integradas en el dispositivo desde su concepción. En resumen, UNE-EN 18031 define un baseline de ciberseguridad: controles de acceso, autenticación, cifrado, actualizaciones seguras, registro de eventos, robustez ante ataques, entre otros, que serán de cumplimiento obligatorio en los dispositivos radio conectados (Explorando el estándar EN 18031: Ensayos de ciberseguridad para cumplir con la Directiva de Equipos de Radio ) (Explorando el estándar EN 18031: Ensayos de ciberseguridad para cumplir con la Directiva de Equipos de Radio ).


Proceso de evaluación de la conformidad (análisis y pruebas)

Para demostrar que un producto cumple con los requisitos de la norma, se debe seguir un proceso de evaluación estructurado. La UNE-EN 18031 describe un enfoque basado en mecanismos de seguridad y su aplicabilidad al caso concreto, así como pruebas para validar su efectividad (Explorando el estándar EN 18031: Ensayos de ciberseguridad para cumplir con la Directiva de Equipos de Radio ). En términos simplificados, el proceso abarca tres etapas principales:

  1. Evaluación conceptual y análisis de aplicabilidad – El fabricante realiza un análisis de riesgos exhaustivo del dispositivo y prepara documentación justificando qué mecanismos de seguridad ha implementado y por qué. Se introduce el uso de árboles de decisión para cada requisito de la norma, determinando si ese control es aplicable o no al producto según su funcionalidad y contexto (Explorando el estándar EN 18031: Ensayos de ciberseguridad para cumplir con la Directiva de Equipos de Radio ). Por ejemplo, si el dispositivo no realiza transacciones financieras, los controles específicos de la Parte 3 no serían aplicables (y se documenta esta justificación). La evaluación conceptual revisa esta documentación para asegurar que todas las decisiones están justificadas y los mecanismos seleccionados cubren adecuadamente los riesgos del dispositivo.
  2. Pruebas funcionales – A continuación, se verifica prácticamente que los mecanismos de seguridad funcionan en el dispositivo tal como se ha documentado. Un laboratorio de ensayo someterá al producto a pruebas funcionales para comprobar, por ejemplo, que sí exige autenticación, que rechaza firmware no firmado, que cifra realmente las comunicaciones, etc. Estas pruebas validan la exactitud de la documentación y la correcta implementación técnica de cada control de seguridad (Explorando el estándar EN 18031: Ensayos de ciberseguridad para cumplir con la Directiva de Equipos de Radio ). Es decir, corroboran que lo descrito en papel coincide con el comportamiento real del equipo.
  3. Pruebas de seguridad (pentesting) – Finalmente, se realizan pruebas de ataque controlado para evaluar la robustez. Esto incluye técnicas como fuzzing (envío de datos aleatorios o malformados para detectar fallos), pruebas de penetración (intentando comprometer el dispositivo como lo haría un hacker) y revisión de código (analizar el firmware para encontrar vulnerabilidades) (Explorando el estándar EN 18031: Ensayos de ciberseguridad para cumplir con la Directiva de Equipos de Radio ). El objetivo es asegurarse de que los mecanismos de seguridad resisten escenarios del mundo real y no existen vulnerabilidades explotables. Estas pruebas de estrés e intrusión ayudan a identificar puntos débiles y confirmar que el producto, en conjunto, alcanza un nivel de seguridad adecuado.

Durante todo este proceso, la documentación juega un papel crítico. El fabricante debe elaborar un informe de análisis de riesgos, junto con evidencias de las pruebas realizadas y explicaciones de cómo se cumplen cada uno de los controles de la norma. Esta documentación formará parte del expediente técnico del producto (Technical Documentation) requerido para el marcado CE. En caso de evaluarse con un organismo externo, dicho organismo revisará estos documentos y resultados de pruebas para emitir un veredicto de conformidad. La norma UNE-EN 18031 proporciona guías y criterios de evaluación detallados para que tanto fabricantes como evaluadores sigan un método consistente en la comprobación del cumplimiento (Explorando el estándar EN 18031: Ensayos de ciberseguridad para cumplir con la Directiva de Equipos de Radio ) (Explorando el estándar EN 18031: Ensayos de ciberseguridad para cumplir con la Directiva de Equipos de Radio ). Gracias a este proceso estructurado, se busca que la seguridad no se deje al azar: se analiza cada posible medida, se prueba su implementación y se ataca al dispositivo para verificar su solidez.


Procedimientos de conformidad: autoevaluación vs. Organismo Notificado

En el ámbito del marcado CE de la Directiva RED, existen diferentes módulos de evaluación de la conformidad. La vía que puede seguir un fabricante depende de si dispone de normas armonizadas aplicables. En este caso, la EN 18031 está destinada a ser una norma armonizada para los requisitos 3.3 d), e) y f) de la RED ( EN 18031: The stepping stone for product security standardization - Industrial Cyber ). ¿Qué implica esto? Que, una vez publicada como armonizada en el Diario Oficial de la UE, un fabricante podrá autoevaluar el cumplimiento siguiendo la norma y emitir una Declaración UE de Conformidad sin necesidad obligatoria de un tercero. Las normas armonizadas otorgan la llamada “presunción de conformidad” ( EN 18031: The stepping stone for product security standardization - Industrial Cyber ): si se cumplen todos sus requisitos, se presume que se satisfacen los requisitos esenciales de la legislación correspondiente. Por tanto, aplicar la UNE-EN 18031 en su totalidad permitiría la autoevaluación (Modulo A de control interno de la producción), simplificando el proceso.

No obstante, hasta la armonización efectiva de esta norma, o si un fabricante decidiera no usarla, se requiere la intervención de un Organismo Notificado. De hecho, en ausencia de normas armonizadas, el cumplimiento de los requisitos de RED 3.3(d/e/f) debe certificarse mediante un organismo acreditado que realice una evaluación experta independiente. En 2024, antes de la citación oficial de EN 18031, la situación era que “el camino hacia la certificación requería continuar con un Organismo Notificado para todos los productos” en alcance (Radio Equipment Directive Standards EN 18031 Series Finalized but not yet Harmonized | SGS). Es decir, las empresas debían someter sus dispositivos a una evaluación de tipo (Módulo B) o auditoría equivalente por parte de un Notified Body que verificara la ciberseguridad. Con la norma armonizada, se espera reducir esa carga, permitiendo la declaración directa por el fabricante siempre que aplique estrictamente los controles de EN 18031. Aun así, en casos de duda o cuando el fabricante no pueda demostrar por sí mismo el cumplimiento, acudir a un Organismo Notificado seguirá siendo necesario. Por ejemplo, un dispositivo muy novedoso o complejo podría beneficiarse de la revisión de terceros expertos para asegurar que realmente cumple todas las cláusulas de la norma. En resumen:

  • Con norma armonizada (EN 18031): el fabricante puede optar por la autoevaluación y marcado CE directo, apoyándose en la presunción de conformidad que brinda el cumplimiento íntegro de la norma ( EN 18031: The stepping stone for product security standardization - Industrial Cyber ). Deberá elaborar y conservar la documentación técnica con los resultados de ensayos y análisis de riesgos según la norma.
  • Sin norma armonizada o no aplicándola: el fabricante deberá recurrir a una evaluación por Organismo Notificado, que revisará la seguridad del producto (generalmente mediante análisis de la documentación y pruebas adicionales) y emitirá un certificado o informe positivo para permitir el marcado CE. Esto conlleva más tiempo y coste, pero es obligatorio si no se sigue la ruta de norma armonizada (Radio Equipment Directive Standards EN 18031 Series Finalized but not yet Harmonized | SGS).

En ambos casos, el fabricante termina emitiendo la Declaración UE de Conformidad y aplicando el marcado CE, pero el nivel de escrutinio externo difiere. Cabe mencionar que, dada la novedad de estos requisitos, muchos fabricantes optarán por colaborar con laboratorios y organismos notificados para realizar evaluaciones previas o “pre-auditorías” incluso si planean auto-certificar, con el fin de tener garantías antes de comercializar el producto.


Comparativa con otras certificaciones y estándares (ISO 27001, LINCE, EUCC)

Es importante diferenciar la norma EN 18031 de otros esquemas de seguridad existentes, ya que su naturaleza y objetivos son distintos. A continuación, se comparan brevemente EN 18031 con ISO/IEC 27001, la certificación española LINCE y el esquema europeo EUCC (Common Criteria), para ver cómo encajan con este nuevo requisito:

Norma/CertificaciónAlcance y enfoqueCarácterEvaluación
EN 18031 (UNE-EN)Estándar europeo de ciberseguridad para productos radio IoT (requisitos técnicos: autenticación, cifrado, etc.). Enfocado a proteger redes, datos personales y transacciones en dispositivos conectados​appluslaboratories.comappluslaboratories.com.Obligatoria (regulatoria) para equipos en la UE a partir de 08/2025. Armonizada con Directiva RED (marcado CE)​sgs.com.Evaluación de producto según norma: puede ser autoevaluación con ensayos internos si se siguen las directrices​industrialcyber.co, o validación por Organismo Notificado si no.
ISO/IEC 27001Norma internacional para Sistemas de Gestión de Seguridad de la Información (SGSI) en organizaciones. Define buenas prácticas de gestión, control de riesgos y políticas de seguridad a nivel corporativo. No específica para productos individuales.Voluntaria, aunque frecuentemente exigida contractualmente en sectores para asegurar la madurez en seguridad de la empresa. No es un requisito legal para vender productos, pero favorece cumplimiento regulatorio indirectamente.Certificación de sistema otorgada tras auditoría externa al organismo/empresa. Un auditor acreditado evalúa la implementación del SGSI (políticas, controles, procesos) y emite un certificado ISO 27001 si cumple. No evalúa la seguridad técnica de un producto particular, pero una empresa certificada suele tener más capacidad para desarrollar productos seguros.
LINCE (España)Certificación Nacional Esencial de Seguridad desarrollada por el CCN (Centro Criptológico Nacional)​appluslaboratories.com. Es un esquema de evaluación de la ciberseguridad de productos TIC más ágil que Common Criteria, pensado para productos que manejan info sensible con nivel de amenaza no alto​appluslaboratories.com. Se centra en evaluar requisitos fundamentales de seguridad (con guías CCN-STIC) y resistencia básica a ataques.Voluntaria, aunque en la Administración Pública española se requiere para incluir productos en el Catálogo de Productos de Seguridad TIC (CPSTIC)appluslaboratories.com. No es obligatoria para venta general, pero tener certificado LINCE puede ser necesario para ofrecer productos al gobierno o sectores regulados en España.Evaluación de producto por laboratorios acreditados por CCN, con alcances acotados en tiempo y profundidad. Incluye análisis de vulnerabilidades y pruebas de penetración básicas​appluslaboratories.com. El CCN actúa como organismo certificador, emitiendo el certificado LINCE tras superar la evaluación​appluslaboratories.com. Equivale a un nivel de garantía básico (similar a EAL2 aproximado) y puede complementarse con módulos adicionales (cripto, revisión de código) para mayor confianza​appluslaboratories.com.
EUCC (EU Common Criteria)Esquema europeo de certificación de ciberseguridad basado en Common Criteria (norma ISO/IEC 15408). Permite certificar prácticamente cualquier producto o sistema TIC a distintos niveles de garantía (EAL) según la profundidad de la evaluación. Ofrece reconocimiento mutuo en toda la UE de los certificados emitidos. Iniciado en 2025 como el primer esquema EU de alta seguridad​fluchsfriction.medium.com.Voluntaria (por ahora). Deriva de la Ley de Ciberseguridad (EU 2019/881) que habilita esquemas de certificación europeos unificados. Puede volverse esencial en ciertos mercados (ej. productos críticos de alta seguridad) pero no es un requisito legal general para comercializar (distinto al marcado CE).Evaluación de producto exhaustiva por laboratorios acreditados, conforme a metodologías de Common Criteria. Un Organismo de Certificación nacional (e.g. CCN en España, BSI en Alemania, etc. parte del EUCC) emite el certificado con un Nivel de Seguridad (Basic, Substantial o High, según Cybersecurity Act). Implica análisis de diseño, pruebas y vulnerabilidades muy detallados, pudiendo tardar meses o más. Un certificado EUCC con nivel High indica altísima confianza en la ciberseguridad del producto, más allá del baseline mínimo regulatorio.


¿Cómo se relacionan estas certificaciones con la EN 18031? 

En esencia, UNE-EN 18031 cubre requisitos básicos obligatorios, mientras que ISO 27001, LINCE o EUCC son esquemas complementarios voluntarios que abarcan otros aspectos o profundidades de la seguridad:

  • ISO 27001 se enfoca en la gestión organizativa de la seguridad. Una empresa certificada ISO 27001 tendrá políticas y procesos que faciliten el cumplimiento de EN 18031 (por ejemplo, gestión de vulnerabilidades, control de configuraciones, etc.), pero no sustituye la necesidad de implementar controles técnicos en el producto. ISO 27001 no certifica productos, sino la madurez de la empresa en proteger la información.
  • LINCE y EUCC son certificaciones de producto con alcance técnico, más cercanas a EN 18031 en ese sentido, pero opcionales. Un dispositivo que cumpla EN 18031 podrá usar ese cumplimiento como base para aspirar a una certificación LINCE o EUCC si se desea un reconocimiento mayor. Por ejemplo, obtener LINCE podría requerir evidenciar muchos de los mismos controles que exige EN 18031, pero además se formaliza mediante un certificado oficial y pruebas de laboratorio independientes. EUCC por su parte va más allá en rigor y profundidad (especialmente a altos niveles de garantía), siendo útil para productos que requieren alto nivel de confianza (ej. equipos de criptografía, sistemas críticos). No obstante, ninguno de estos esquemas es obligatorio para la venta general: EN 18031 sí lo es, por estar ligada a la directiva RED.

En resumen, EN 18031 establece el mínimo de seguridad requerido por ley. ISO 27001 ayuda a tener la estructura organizativa para lograrlo, pero no garantiza por sí sola que el producto lo cumpla. Las certificaciones como LINCE o EUCC, si bien no requeridas para mercado, pueden servir para diferenciarse competitivamente asegurando que el producto supera los mínimos y cuenta con una evaluación externa reconocida. Una empresa podría decidir buscar una de estas certificaciones adicionales por motivos de reputación, exigencia de clientes o alineación con futuras regulaciones (como el Cyber Resilience Act de la UE, que en un futuro podría exigir certificaciones en ciertos casos). En cualquier caso, el cumplimiento de EN 18031 será el primer paso y prioridad, pues sin él el producto ni siquiera podrá ostentar el marcado CE en Europa.


Recomendaciones para las empresas (GAP analysis y preparación)

Dado el amplio alcance y la inminente obligatoriedad de la norma, las empresas deben prepararse con suficiente antelación para cumplir con EN 18031. A continuación, se ofrecen algunas recomendaciones prácticas:

  • Realizar un análisis GAP: Lo primero es comparar las características actuales del producto frente a los requisitos de la norma para identificar brechas. Muchos fabricantes quizá ya implementan ciertas medidas (por ejemplo, cifrado TLS), pero tal vez falten otras (ej. mecanismo de borrado seguro de datos). Es muy útil mapear los controles de EN 18031 con estándares previos que la empresa haya seguido (p. ej. ETSI EN 303 645 para IoT, IEC 62443 en entornos industriales) para ver qué requisitos ya se cumplen y cuáles no (Explorando el estándar EN 18031: Ensayos de ciberseguridad para cumplir con la Directiva de Equipos de Radio ). Este mapeo de controles permite centrar esfuerzos en las áreas deficitarias.
  • Involucrar a los equipos técnicos y de seguridad: El cumplimiento de EN 18031 no recae solo en documentación, sino en el diseño e implementación técnica del producto. Es crucial que los ingenieros de hardware, firmware y software entiendan los nuevos requisitos y los incorporen en el desarrollo. Por ejemplo, deberán integrar librerías de cifrado robustas, asegurar que haya procedimientos de autenticación al acceder al dispositivo, etc. Un enfoque de Security by Design desde fases tempranas simplificará luego las evaluaciones.
  • Actualizar la documentación técnica: Paralelamente, se debe preparar o actualizar toda la documentación de seguridad del producto. Esto incluye el análisis de riesgos, manuales de usuario (instrucciones de seguridad para configuración), políticas de actualización, resultados de pruebas internas, y la explicación de la aplicabilidad de cada control (como exige la norma). Esta documentación será examinada durante la evaluación de conformidad, ya sea interna o por un evaluador externo, por lo que conviene que esté completa y alineada con la terminología de EN 18031.
  • Planificar pruebas de seguridad: Antes de someterse formalmente a evaluación, es recomendable realizar ensayos internos o con laboratorios de confianza para validar que el dispositivo cumple los controles. Por ejemplo, hacer una auditoría de firmware, pruebas de penetración éticas o utilizar herramientas de fuzzing en interfaces críticas. Detectar y corregir vulnerabilidades de antemano evitará sorpresas durante la certificación oficial. En caso de dispositivos ya en el mercado que necesiten adaptarse, quizás se requieran actualizaciones de software o incluso rediseños de hardware (por ejemplo, añadir un elemento seguro para almacenar claves criptográficas). Es mejor identificarlo con tiempo.
  • Formación y concienciación: Asegúrese de que los equipos de desarrollo, QA y cumplimiento entiendan el objetivo de la norma y las implicaciones de no cumplirla. Invertir en formación en ciberseguridad (ej. cursos sobre desarrollo seguro, cryptography, etc.) ayudará a integrar buenas prácticas. La cultura interna debe orientarse a que la seguridad es ahora un requisito de calidad obligatorio, no un extra opcional.
  • Consultar con Organismos Notificados o expertos: Dada la complejidad que puede implicar para ciertas empresas, es aconsejable buscar asesoría. Los Organismos Notificados y laboratorios de certificación ofrecen servicios de pre-evaluación o guidance. Pueden ayudar a interpretar la norma, revisar la documentación y hacer pruebas piloto. Esto permite tener mayor certeza de conformidad. La propia UNE (AENOR) u organismos nacionales pueden publicar guías interpretativas. Mantener contacto con estas entidades asegurará que se va por el camino correcto y evita malentendidos. Como indica Applus+, es recomendable que los fabricantes consulten la norma en sí y se asesoren con organismos notificados para evaluaciones específicas (Explorando el estándar EN 18031: Ensayos de ciberseguridad para cumplir con la Directiva de Equipos de Radio ) si tienen dudas.
  • Priorizar los productos en cartera: Si una empresa fabrica muchos productos, debería priorizar primero aquellos dentro del alcance (con radio e Internet). Incluso dentro de estos, quizás convenga empezar por los de mayor venta o riesgo. Elaborar un plan de implementación escalonado ayudará a manejar la carga de trabajo: por ejemplo, adaptar primero el producto A (más crítico), luego B, etc. Teniendo en cuenta la fecha límite, las empresas en 2025 deben ya tener un calendario claro para que ningún producto quede sin evaluar al llegar agosto.

Siguiendo estas recomendaciones, las empresas podrán afrontar de manera proactiva el cumplimiento de EN 18031. En palabras de los expertos, “a medida que se acerca la fecha límite para el cumplimiento, es crucial que los fabricantes comiencen a prepararse ahora” (Explorando el estándar EN 18031: Ensayos de ciberseguridad para cumplir con la Directiva de Equipos de Radio ). Cuanto antes se inicien el análisis de brechas y las mejoras necesarias, más probabilidades hay de lograr la conformidad a tiempo y evitar contratiempos regulatorios.


Beneficios de cumplir la norma y consecuencias de no hacerlo

Adoptar plenamente la norma UNE-EN 18031 conlleva una serie de beneficios importantes para las empresas y usuarios, mientras que ignorarla o no cumplirla tendría graves consecuencias:

Beneficios del cumplimiento:

  • Acceso al mercado y evitar sanciones: El beneficio más inmediato es poder seguir comercializando el producto en la UE legalmente. Al cumplir con EN 18031, el fabricante puede marcar CE el equipo con confianza de que satisface la Directiva RED (incluyendo los nuevos requisitos de ciberseguridad). Esto evita posibles bloqueos en aduanas, inmovilizaciones de lotes por autoridades de mercado o multas por incumplimiento legal. En otras palabras, garantiza la continuidad del negocio en el mercado europeo tras agosto de 2025.
  • Mejora de la seguridad y calidad del producto: Implementar los controles de EN 18031 eleva significativamente el nivel de seguridad del dispositivo. Esto reduce la probabilidad de incidentes como hackeos, robos de datos de usuarios, uso malicioso del aparato en botnets, fraudes en transacciones, etc. Un producto más seguro es también un producto de mayor calidad, que generará menos incidencias de soporte y menos coste asociado a gestión de vulnerabilidades a posteriori. Además, muchos de los requisitos (p. ej. actualizaciones seguras) contribuyen a la fiabilidad y longevidad del dispositivo en entornos hostiles.
  • Confianza de clientes y ventaja competitiva: Poder afirmar que el producto cumple con un estándar europeo de ciberseguridad será un argumento de venta poderoso. Los clientes (ya sean consumidores, empresas o administraciones) tendrán mayor confianza en dispositivos certificados que en otros sin aval de seguridad. En un contexto de creciente preocupación por la privacidad y las brechas de datos, el cumplimiento puede ser un diferenciador frente a competidores. Incluso más allá del marcado CE, empresas podrían publicitar esta conformidad como un sello de seguridad. Algunos países podrían integrarlo en esquemas de etiquetas de ciberseguridad para consumidores. En definitiva, se mejora la reputación de la marca al tomarse en serio la seguridad.
  • Preparación para regulaciones futuras: La EN 18031 es pionera como primera norma armonizada de ciberseguridad para productos en la UE ( EN 18031: The stepping stone for product security standardization - Industrial Cyber ). Se espera que siente las bases para futuros requisitos (por ejemplo, el Reglamento de Ciberresiliencia en preparación). Por tanto, las empresas que se adapten ahora estarán mejor posicionadas para cumplir con futuras leyes similares, nacionales o internacionales. También les será más fácil conseguir certificaciones voluntarias (ISO 27001, LINCE, EUCC mencionadas) ya que habrán incorporado muchas buenas prácticas. En suma, se crea una cultura de seguridad que será un activo a largo plazo.
  • Protección legal y reducción de responsabilidad: Si ocurriera un incidente de seguridad grave en un producto, el hecho de haber cumplido con todas las medidas de EN 18031 puede mitigar la responsabilidad legal de la empresa. Demuestra que se siguieron las “reglas del arte” en seguridad y que el fabricante no fue negligente. Esto podría ser relevante ante reclamaciones de consumidores, seguros o incluso en términos de cumplimiento de GDPR (protección de datos), ya que muchas medidas de la norma (cifrado, control de acceso) ayudan a proteger datos personales (Safety of radio equipment data; UNE-EN 18031 from AENOR). Así, el cumplimiento actúa como un seguro preventivo frente a litigios.

Consecuencias de no cumplir:

  • Imposibilidad de venta (no conformidad CE): La consecuencia más obvia es que, a partir de la fecha límite, un producto que no cumpla EN 18031 (o equivalente) no podrá llevar el marcado CE válido, dado que estaría faltando a requisitos esenciales de la Directiva RED. Esto significa que no podría legalmente introducirse o permanecer en el mercado de la UE. Las autoridades de cualquier Estado miembro podrían exigir retirarlo de tiendas y almacenes. Para la empresa, supondría la pérdida de esas ventas y potencialmente el tener que recuperar o reacondicionar stock a un costo elevado. En casos extremos, las autoridades pueden ordenar el recall (retirada del producto ya vendido a usuarios) si detectan un riesgo grave de seguridad en un dispositivo no conforme, generando un enorme perjuicio económico y de imagen.
  • Sanciones administrativas y multas: Cada país de la UE transpone la Directiva RED en su legislación con regímenes sancionadores. Un incumplimiento de los requisitos podría considerarse una infracción seria, llevando a multas significativas para el fabricante o importador responsable. Por ejemplo, en España la Ley General de Telecomunicaciones prevé sanciones por comercializar equipos no conformes. Además de multas, la empresa puede enfrentarse a la prohibición de comercializar ciertos productos durante un tiempo. Estas sanciones pueden escalar según la gravedad (si el fallo de seguridad causó daños reales, probablemente la multa sea mayor).
  • Compromiso de seguridad y daños a usuarios: Dejando aparte la vertiente legal, un producto que no incorpora las medidas de EN 18031 es, por definición, menos seguro. Esto lo deja expuesto a incidentes que pueden tener consecuencias desastrosas: violación de la privacidad de los usuarios (filtración de datos personales sensibles), fraudes económicos (si es un dispositivo financiero, podría ser explotado para robar dinero o criptoactivos), ataques a la infraestructura (un dispositivo no seguro podría ser secuestrado en una botnet y usarse para atacar servicios de Internet). Estos eventos causarían pérdida de confianza masiva de los clientes, publicidad negativa en prensa, posibles demandas colectivas de afectados, e incluso intervención de autoridades de protección de datos (imponiendo multas adicionales bajo GDPR si hay datos personales comprometidos). En suma, no cumplir la norma expone a riesgos operativos muy altos que superan con creces el costo de implementar las medidas de seguridad.
  • Rezago competitivo y barreras de exportación: A medida que la UE eleva el estándar de seguridad, otros mercados podrían seguirle. Un fabricante que decidiera ignorar EN 18031 no solo se cierra las puertas de Europa, sino que probablemente también encontraría trabas en otros países que adopten requisitos similares. Incluso en mercados sin regulación inmediata, los clientes pueden preferir productos que sí cumplen con las mejores prácticas internacionales. Así, no adaptarse implica quedar relegado frente a competidores más proactivos. La marca podría quedar asociada a productos inseguros, difícil de revertir luego.

En conclusión, el cumplimiento de la norma UNE-EN 18031 no es solo una obligación legal, sino una inversión en la calidad, seguridad y reputación del producto. Las empresas que la adopten asegurarán la continuidad de sus negocios en Europa, ofrecerán productos más confiables y estarán preparadas para un futuro donde la ciberseguridad será cada vez más exigida. Por el contrario, quienes no actúen a tiempo se arriesgan a consecuencias financieras y comerciales severas, además de poner en peligro a sus usuarios. Como señala la información de AENOR, la publicación de esta norma “garantiza la seguridad de los equipos radioeléctricos” en aspectos de información, confidencialidad y protección de datos (Safety of radio equipment data; UNE-EN 18031 from AENOR), algo ineludible en la era de la hiperconectividad. En definitiva, cumplir con EN 18031 es sinónimo de responsabilidad y compromiso con la ciberseguridad, tanto por parte de los fabricantes como en beneficio de toda la cadena (distribuidores, integradores y usuarios finales). Las empresas deben verlo no solo como un requisito, sino como una oportunidad para elevar sus estándares y destacarse en un mercado cada vez más exigente en materia de seguridad digital.


Fuentes: Normas UNE-EN 18031-1, -2 y -3 ((https://www.une.org/encuentra-tu-norma/busca-tu-norma/norma/?c=N0074186#:~:text=Requisitos%20de

%20segurid

ad%20comunes%20para,juguetes

%20y%20equipos%20radioel%C3%A9ctric

os%20port%C3%A1tiles)) (UNE EN 18031-3:2025 Common security requirements for radio

 equipment - Part 3: Internet connected radio equipment 

processing virtual money or monetary value); Directiva 2014/53/UE (RED) y Reg. Delegado (UE) 2022/30; Artículo técnico de Applus+ Laboratories (Explorando el estándar EN 18031: Ensayos de ciberseguridad para cumplir con

 la Directiva de Equipos de Radio ) (Explorando el estándar EN 18031: Ensayos de ciberseguridad para cumplir con la Directiva de Equipos de Radio ); Comunicados de SGS y AENOR (Radio Equipment Directive Standards EN 18031 

Series Finalized but not yet Harmonized | SGS) (Safety of radio equipment data; UNE-EN 18031 from AENOR); Información pública del CCN (certificación LINCE) (Evaluación Lince ); Medium (Sarah Fluchs) (Mandatory, externally verified 

cybersecurity certificates are approaching | by Sarah Fluchs | Apr, 2025 | Medium), entre otros.

#EN18031 #Ciberseguridad #IoT #REDDirective #DirectivaRED #DispositivosConectados #CyberSecurity #RegulaciónUE #NormasEuropeas #UNEEN18031 #Bluetooth #WiFi #Zigbee #ProtecciónDeDatos #PrivacyByDesign #SeguridadDigital #ActualizacionesSeguras #AutenticaciónRobusta #Cifrado #GDPR #CyberCompliance #MarcadoCE #IoTSecurity #FirmwareSeguro #Pentesting #EvaluaciónConformidad #CyberRisk #SeguridadIoT #DispositivosInteligentes #Normativa2025 #CyberResilience #ReglamentoUE2022_30 #SmartDevices #CEN #CENELEC #CyberAct #EUCC #LINCE #ISO27001 #EvaluaciónTécnica #AnálisisGAP #Industria4_0 #TecnologíaSegura #SeguridadEuropea #ProtecciónContraFraude #NormativaTecnológica #CyberProtection #CyberReady #CumplimientoRegulatorio #SmartTech #TechLaw #QuantumSec



Leer siguiente
Cumplir o Quedar Fuera: La Nueva Obligación EN 18031 para Empresas Tecnológicas en Europa