• Directiva sobre equipos de radio
• La Directiva sobre equipos de radio explicó: todo lo que necesita saber sobre los requisitos de ciberseguridad RED

La Directiva sobre equipos de radio explicó: todo lo que necesita saber sobre los requisitos de ciberseguridad RED

Requisitos de ciberseguridad RED: Desde el artículo 3.3 hasta la marca CE

Si vende un producto radiofónico en la UE, ya estás bajo la Directiva (RED). Esa parte no es nueva, lo que cambió en agosto de 2025 es que la ciberseguridad se convirtió en un requisito legal, no sólo una recomendación. El RED-DA (la Ley Delegada) adoptado formalmente como Reglamento (UE) 2022/30 activó las disposiciones de ciberseguridad del artículo 3., poniendo fin a años de cumplimiento voluntario y convirtiendo los objetivos de aspiración en obligaciones exigibles, no se trata de una actualización administrativa menor. Afecta al diseño de productos, pruebas, documentación y acceso al mercado. Si se equivoca significa que la marca CE no puede aplicarse legalmente, lo que significa que el producto no se puede vender legalmente en la UE.

Lo que la Directiva de Equipamiento de Radio Cobre

La Directiva de Equipos Radioeléctricos (RED) 2014/53/EU establece los requisitos esenciales para cualquier producto que use el espectro de radiofrecuencia, intencionadamente o no. Teléfonos móviles, enrutadores Wi-Fi, rastreadores Bluetooth, sensores para hogares inteligentes, receptores GPS, vigilabebés, dispositivos portátiles: si se comunica de forma inalámbrica y se envía al mercado de la UE, casi seguramente cae bajo la RED. La directiva nunca se trató exclusivamente de la seguridad de RF. Siempre incluyó salud, compatibilidad electromagnética y eficiencia del espectro. Pero el Artículo 3.3 otorgó a la Comisión Europea la autoridad para extender esos requisitos, y la RED-DA utilizó ese poder para incorporar la seguridad de dispositivos inalámbricos como una obligación vinculante por primera vez.

El ámbito de aplicación es de aplicación específica para los equipos de radio conectados a Internet. Un remoto Bluetooth independiente sin conectividad de red podría sentarse fuera de este ámbito y casi con toda seguridad un termostato Wi-Fi no lo hace. Los fabricantes deben verificar cuidadosamente si su producto cumple los requisitos antes de asumir la exoneración, ya que nuestra pieza anterior en adaptando a los Artículos 3. (d), (e), y (f) cubre en detalle.

Artículo 3.3 y las Tres Obligaciones de Ciberseguridad

El artículo 3.3 del RED da a la Comisión autoridad para imponer requisitos esenciales adicionales a categorías específicas de productos. Los requisitos de ciberseguridad RED activados a través del RED-DA invocan tres de estas cláusulas para equipos de radio conectados a Internet.

Artículo 3.3(d) requiere que el equipo de radio no dañe la red o perjudique su operación. Los dispositivos no deben convertirse en vectores de ataques a la red, deben comportarse previsiblemente bajo estrés y no deben emitir de maneras que degraden la infraestructura compartida.

Artículo 3.3(e) trata las salvaguardias para los datos personales y la privacidad. Esta cláusula va más allá del cifrado básico. Los dispositivos deben proteger los datos de los usuarios en tránsito y en reposo, limitar la recogida de datos a lo estrictamente necesario, y manejar las credenciales de forma segura a lo largo de su ciclo de vida.

Artículo 3.3(f) apunta a la prevención del fraude. Los equipos de radio deben incluir protecciones que impidan que se utilice para facilitar el fraude contra usuarios o terceros. una cláusula que se vuelve particularmente relevante para dispositivos con capacidad de pago, asistentes de voz y equipos financieros conectados.

Estas tres obligaciones se aplican en paralelo. Un dispositivo no puede satisfacer a 3.3(d) mientras se ignora 3.3(e), los tres pilares deben ser tratados. Como cubrimos en nuestro artículo sobre los Desafíos en Implementación de Requisitos de Ciberseguridadde RED, la interacción entre estas cláusulas es exactamente donde la mayoría de los fabricantes tienen problemas.

How EN 18031 and Harmonised Standards Bridge the Gap

Saber lo que debes lograr es solo parte del problema. Saber cómo demostrar que lo has logrado es la otra parte, y ahí es donde los estándares armonizados se vuelven esenciales.

Los estándares ETSI de ciberseguridad designados como EN 18031 son las normas armonizadas de la Comisión para la ciberseguridad RDD. EN 18031-1 cubre la protección de la red (alineada con 3. (d)), EN 18031-2 trata los datos personales y la privacidad (3.3(e)), y EN 18031-3 se encarga de la prevención del fraude (3. Juntos traducen las cláusulas legales del RED-DA en requisitos técnicos específicos y comprobables.

La importancia práctica de esto es real. Según la legislación de la UE, los productos que cumplen con una norma armonizada se benefician de una "presunción de conformidad" con los requisitos esenciales correspondientes. Demostrar el cumplimiento de EN 18031 es la ruta más directa para satisfacer el Artículo 3. sin que un Organismo Notificado tenga que adjudicar la propia interpretación del fabricante de la ley. Como discutimos en nuestra pieza en cómo EN 18031 da forma a la seguridad del producto inalámbrico, la norma no es una lectura opcional para cualquiera que pase por evaluación de conformidad.

Los requisitos de prueba RED que fluyen desde EN 18031 son específicos. Cubren el control de acceso, mecanismos de actualización de software, arranque seguro, minimización de datos, almacenamiento de credenciales y mucho más. Los fabricantes que descubren estos requisitos sólo en la fase de pre-certificación se enfrentan repetidamente al mismo resultado: el rediseño. La prueba no falla en la documentación, sino en el producto.

Evaluación de Conformidad, Marcación CE y Requisitos de Documentación

Alcanzar el final de un ciclo de desarrollo sin una estrategia de cumplimiento es costoso. La estructura de cumplimiento RED requiere que los fabricantes trabajen en dos cosas simultáneamente: el trabajo de seguridad técnica y la documentación que prueba que se hizo correctamente.

Para la mayoría de equipos de radio conectados a Internet, evaluación de la conformidad bajo RED requiere la autodeclaración (Módulo A) o la participación de un Cuerpo Notificado a través del examen de tipo UE (Módulo B). El Módulo A solo está disponible cuando el fabricante ha aplicado por completo las normas armonizadaspertinentes. Cuando no se aplica ningún estándar armonizado, o cuando el producto cae en una categoría en la que el Módulo A no está permitido, la participación en el Cuerpo Notificado es obligatoria.

La documentación técnica RED no es una formalidad. Es el expediente probatorio que justifica la marca CE, y debe contener especificaciones de diseño, una lista de estándares aplicables con su cobertura, resultados de pruebas, evaluaciones de riesgo y la Declaración de Conformidad. Un paquete de documentación incompleto o internamente inconsistente es lo mismo que no tener paquete alguno desde la perspectiva de la vigilancia del mercado.

El requisito de la marca CE RED es la puerta final: solo una vez establecida la conformidad y completamente documentada se puede aplicar la marca. Su aplicación temprana crea una exposición legal en toda la cadena de suministro; todos los fabricantes, importadores y distribuidores asumen la responsabilidad.

También merece la pena señalar que este trabajo no se obsoleta rápidamente. Como exploramos en ¿Por qué RED es el Plano para el éxito de CRA, los cimientos técnicos construidos para el cumplimiento de dispositivos IoT bajo un mapa RED de cerca de lo que requerirá la Ley de Resiliencia Cibernética. Para dispositivos que incorporan IA la imagen se vuelve más compleja, como se describe en nuestra visión general de la superposición de RED y AI Act. La posición más práctica a largo plazo consiste en tratar el cumplimiento de los RED como una base, en lugar de un plazo claro y falsificado.

Resumen

Reunión cumplimiento RED no consiste en pasar una sola prueba y seguir adelante. Los requisitos de ciberseguridad de la Directiva sobre equipos de radio(en todo el artículo 3 de . (d), (e), y (f)) exigen seguridad diseñada desde el principio, verificado contra EN 18031 y los correspondientes estándares armonizados, documentado correctamente, y capaz de soportar el actual gestión de vulnerabilidades a lo largo del ciclo de vida del producto. Los fabricantes que se acercan a este método evitan las costosas correcciones que se derivan de tratarlo como una idea reciente.

Cómo QIMA CCLab puede ayudarte a alcanzar tus metas

En QIMA CCLab Cybersecurity Laboratory, apoyamos a los fabricantes en cada etapa del cumplimiento de los requisitos de ciberseguridad RED:

• Alcance y análisis de desvío: Le ayudamos a determinar si su producto entra dentro del RED-DA, que artículo 3. se aplican cláusulas y cuán lejos está su diseño actual de la conformidad.

• Pruebas con los estándares de ciberseguridad EN 18031 y ETSI: Nuestro laboratorio está calificado por el RED Notified Body CerTrust (ID: 2806), lo que significa que nuestros resultados pueden ser aceptados directamente para el examen de tipo UE.

• preparación de documentación técnica RED: Soportamos la preparación y revisión de la documentación completa de seguridad requerida para la evaluación de la conformidad, de los informes de prueba a la Declaración de Conformidad.

• Soporte RED de punto a punto: Desde la consulta inicial hasta el envío del cuerpo notificado, gestionamos el ciclo de vida completo de la certificación para que los fabricantes no pierdan tiempo navegando por procesos desconocidos.

FAQ

¿Qué es la Directiva sobre equipos de radio (RED)?

La Directiva sobre equipos de radio (2014/53/UE) es el marco regulador de la UE que establece requisitos esenciales para los equipos de radio comercializados en el mercado europeo. Más allá de la compatibilidad con la seguridad y la electromagnética, su Ley Delegada (Reglamento UE 2022/30) ahora exige que los equipos de radio conectados a Internet cumplan con las obligaciones vinculantes de ciberseguridad establecidas en el artículo 3.3.

¿Qué productos están sujetos a los requisitos de ciberseguridad RED?

Los requisitos de ciberseguridad RED-DA se aplican a los equipos de radio conectados a Internet, a los equipos de radio para el cuidado de niños y a los equipos de radio vestibles. Esto incluye una amplia gama de productos: dispositivos domésticos inteligentes, routers Wi-Fi, dispositivos de salud conectados y más. Los fabricantes deben verificar el alcance cuidadosamente, especialmente cuando la conectividad a Internet es opcional o indirecta.

¿Cuáles son los requisitos de ciberseguridad del artículo 3.3?

El artículo 3.3(d) exige que los dispositivos protejan las redes de daños. (f) requiere protección contra el fraude, los tres se aplican simultáneamente a los dispositivos de ámbito de aplicación, y demostrar el cumplimiento de cada uno de ellos es necesario para el marcado CE.

¿Cómo ayuda EN 18031 con la compatibilidad RED?

La serie EN 18031 es el conjunto de normas armonizadas para la ciberseguridad RD. Los productos que cumplen con la norma EN 18031-1, EN 18031-2, y EN 18031-3 se benefician de una presunción de conformidad con el artículo 3. (d), (e), y f) respectivamente, es la ruta más directa a través de la evaluación de la conformidad.

¿Necesito un Cuerpo Notificado para la certificación de ciberseguridad RED?

Depende de si usted ha aplicado plenamente las normas armonizadas pertinentes. Si EN 18031 se aplica a su producto y puede demostrar la conformidad completa, la autodeclaración (Módulo A) puede estar disponible. Si no se aplica ninguna norma armonizada, o si su producto entra en una categoría obligatoria de terceros, se requiere un examen de tipo UE por un cuerpo notificado.

¿Qué documentación técnica requiere RED?

Los fabricantes deben preparar y mantener un archivo técnico que incluya especificaciones de diseño, informes de prueba, una lista de normas aplicables y cómo se aplicaron, evaluaciones de riesgos y la Declaración de Conformidad. Esta documentación debe seguir estando disponible para las autoridades de vigilancia del mercado durante un mínimo de diez años después de la comercialización del producto.

¿Cuándo se volvieron obligatorios los requisitos de ciberseguridad de RED?

Las disposiciones de seguridad cibernética de la Ley Delegada por la RED eran obligatorias el 1 de agosto de 2025. Los productos comercializados en el mercado de la UE después de esa fecha deben cumplir con el artículo 3.3(d), (e), y (f), o no pueden llevar legalmente la marca CE.

¿Pueden los fabricantes autodeclarar la conformidad con los requisitos de ciberseguridad RED?

Sí, si han aplicado plenamente las normas armonizadas pertinentes (EN 18031). Se permite la autodeclaración a través del procedimiento de Control de Producción Interna (módulo A) en esas circunstancias. Cuando no se disponga de una norma armonizada o la categoría de producto requiera una evaluación por parte de terceros, deberá participar un Organismo Notificado. El laboratorio de CCLab está calificado por CerTrust (Notified Body ID 2806) para proporcionar los resultados aceptados para el examen de tipo UE.