del reglamento :

Con la popularidad de los dispositivos de Internet de las cosas ( IoT ) en el mercado de la UE, desde relojes inteligentes hasta monitores para bebés, miles de millones de dispositivos se han convertido en el núcleo de la vida diaria. Sin embargo, la Directiva de equipos radioeléctricos (RED) de 2014 no previó esta ola de crecimiento, ya que el marco regulatorio en ese momento no cubría la protección de la ciberseguridad. Como resultado, incidentes frecuentes como ataques DDoS, violaciones de datos personales y fraude financiero se han convertido en riesgos potenciales disruptivos para el mercado único digital de la UE.

La Comisión Europea lanzó la revisión de la RED en 2021 para incluir la ciberseguridad como un requisito fundamental de cumplimiento. Esta decisión fue motivada por dos ideas clave:

Seguro de forma predeterminada: los dispositivos IoT deben tener mecanismos de protección integrados durante la fase de diseño, en lugar de después de la remediación.

Control jerárquico : En respuesta a diferentes riesgos de equipos (como conexión de red, procesamiento de datos y pago electrónico), las cláusulas 3.3(d )( e)(f) se formulan por separado para apuntar con precisión a diversas amenazas.

La serie de normas EN 18031 constituye las especificaciones técnicas y los criterios de implementación de los requisitos de ciberseguridad de la directiva RED. Se divide en tres partes (EN 18031-1/2/3), que corresponden a los diferentes niveles de seguridad del artículo 3.3 de la RED (protección contra daños en la red, protección de la privacidad y antifraude).

Las tres categorías anteriores (d/e/f) pertenecen a los denominados "activos seguros" y se dividen en (activos de red/privacidad/flujo financiero) después de una evaluación general.

Cronograma de aplicación de la normativa:

El 30 de enero de 2025, la Comisión Europea incluyó oficialmente la serie de normas EN 18031 en la lista de normas coordinadas de la Directiva de Equipos Radioeléctricos (RED) en el Diario Oficial de la Unión Europea (DO), lo que indica que esta serie de normas se ha convertido en una base importante para el cumplimiento de la seguridad de red de los equipos radioeléctricos en la UE. A partir del 1 de agosto de 2025, entrará en vigor el artículo 3.3 (d), (e) y (f) de la Directiva RED sobre ciberseguridad.

Puntos clave de la actualización del reglamento:

Nuevo requisito en el artículo 3.3 de la Directiva RED:

• 3.3(d): Para los dispositivos que pueden conectarse a la red por sí solos (como teléfonos móviles y electrodomésticos inteligentes), se requiere evitar que los dispositivos pongan en peligro las operaciones de la red (como ataques de denegación de servicio) y prohibir el abuso de los recursos de ancho de banda.

• 3.3(e): Para los dispositivos que procesan datos personales o de ubicación (por ejemplo, dispositivos portátiles, juguetes para niños), aplicar cifrado de extremo a extremo, controles de acceso y alinearse con el Artículo 4 del RGPD y la Directiva de privacidad de las comunicaciones electrónicas.

• 3.3(f): Para los dispositivos que admiten pagos electrónicos (como terminales de pago móviles y billeteras de hardware de criptomonedas), fortalecer los mecanismos de verificación de transacciones (como la autenticación multifactor) para prevenir el fraude y el robo de moneda virtual.

• Alcance de la exención : (UE) 2017/745 (dispositivos médicos), (UE) 2017/746 (dispositivos médicos para diagnóstico in vitro), (UE) 2018/1139 (Seguridad de la aviación civil), (UE) 2019/2144 (Reconocimiento del tipo de vehículo) y la Directiva (UE) Los equipos de radio cubiertos por la 2019/520 (Sistema de tarificación electrónica de carreteras) están exentos de la sección 3(3 )( e) y (f).

(UE) 2025/138 Requisitos clave de seguridad y cumplimiento:

• Problema de contraseña predeterminada: si el dispositivo tiene una función de configuración de contraseña, pero permite al usuario no configurar ni usar una contraseña, no se reconoce que los estándares pertinentes cumplan con los requisitos básicos de la directiva. Esto significa que el dispositivo debe obligar a los usuarios a establecer una contraseña para garantizar la seguridad.

Control de acceso para juguetes y artículos de cuidado infantil : Si no se garantiza el control de acceso por parte de los padres o tutores, no se cumplen los requisitos básicos de la directiva. Esto significa que estos dispositivos deben contar con mecanismos que permitan a los padres o tutores controlarlos.

• Actualizaciones de seguridad para activos financieros : Los criterios de evaluación de actualizaciones de seguridad especifican múltiples categorías de implementación, y ningún enfoque por sí solo es suficiente para abordar la seguridad de los activos financieros. Esto significa que se deben considerar diversas medidas de seguridad para garantizar la seguridad de los activos financieros.

Observaciones:

Tipo de NB requerido : Dispositivos IoT sin contraseñas. El dispositivo Bluetooth tiene una identidad de inicio de sesión y una contraseña a través de la aplicación o la red Bluetooth . Juguetes (relojes para niños/muñecas grabadoras) y monitores para bebés . Relacionado con pagos o criptomonedas.

Asesoramiento técnico de expertos de BACL :

Los fabricantes deben garantizar que sus productos cumplan con la norma EN 18031 y completar la evaluación de conformidad antes del 1 de agosto de 2025. BACL es la organización de referencia de RED. Conocemos los requisitos de la serie de normas EN 18031 y contamos con una amplia experiencia práctica. También contamos con una amplia experiencia en la norma ETSI EN 303 645. Le invitamos a consultarnos.

Enlace al sitio web oficial de la UE :

https://eur-lex.europa.eu/eli/dec_impl/2025/138/oj/eng

Capacidades de prueba y certificación de seguridad de red BACL :

Norma General (CC)

Se trata de la norma ISO/IEC 15408, un estándar de alto nivel reconocido internacionalmente para la certificación de ciberseguridad, cuyo objetivo es garantizar que el rendimiento de seguridad de los sistemas, productos y servicios de información alcance un nivel reconocido internacionalmente. BACL cuenta con más de 10 años de experiencia como organismo autorizado para la evaluación de ciberseguridad.

del IoT ( IoT )

• ETSI/EN 303 645

• (ROJO) Artículo 3/3 d/e/f calificación en ciberseguridad

• Calificación del certificado de emisión IECEE CB

• PSTI La calificación de la Ley de Ciberseguridad del Reino Unido

• NIST La calificación de evaluación de ciberseguridad de EE. UU.

• ISO 27001/27701/RGPD

Ventajas del servicio de ciberseguridad de BACL

• Consultoría y evaluación de información de red durante la fase de investigación y desarrollo

• Consulta y evaluación para la Ley PSTI del Reino Unido

• Consultoría y evaluación de ciberseguridad para orden CE RED

• Consultoría y evaluación para California SB-327 en EE. UU.

• Consultoría y evaluación para la certificación voluntaria de ciberseguridad de la FCC de EE. UU.

• Consultoría y evaluación de ciberseguridad en Brasil, Singapur y otros países del mundo.