La entrada en vigor de la EN 18031 pone a prueba la madurez digital de los fabricantes IoT

El 1 de agosto de 2025 marca un punto de inflexión legal. A partir de esta fecha, cualquier equipo radioeléctrico que se introduzca en el mercado comunitario debe cumplir con los requisitos de ciberseguridad establecidos en los artículos 3.3(d), (e) y (f) de la Directiva de Equipos Radioeléctricos (RED), tal como quedan armonizados por la norma EN 18031.

El estándar fue publicado en el Diario Oficial de la Unión Europea el 30 de enero de 2025 y otorga presunción de conformidad a quienes lo aplican íntegramente. Pero no se trata de un trámite declarativo: el cumplimiento es condición previa para obtener el marcado CE, requisito obligatorio para la comercialización legal de productos dentro de la UE. Quienes no hayan finalizado el proceso de evaluación y documentación están ya fuera de plazo. El incumplimiento supone el bloqueo inmediato de la venta, la posible retirada del producto del canal de distribución y la imposición de sanciones. De esta manera, la ciberseguridad deja de ser una mejora voluntaria para convertirse en una exigencia jurídica plenamente vigente.

La EN 18031 afecta a todo equipo radioeléctrico conectado que cumpla al menos uno de los siguientes tres criterios: comunicación directa o indirecta a través de internet, tratamiento de datos personales o gestión de valor monetario o dinero virtual. El enfoque es funcional: no importa el uso final del dispositivo, sino su capacidad técnica. Esto incluye una variedad creciente de productos del hogar, la industria y el entorno personal. En la primera categoría figuran routers, termostatos, cámaras de vigilancia, sensores, cerraduras, bombillas conectadas, altavoces inteligentes y electrodomésticos Wi-Fi. También están incluidos smartphones, tabletas, dispositivos de telecomunicaciones y equipos industriales con conectividad.

En la segunda categoría se encuentran todos los dispositivos que recopilan o procesan información personal, de tráfico o de localización. Es el caso de tecnología ponible, como relojes y pulseras inteligentes, gafas conectadas o auriculares con acceso a datos de voz. También juguetes con componentes interactivos y monitores de bebés con grabación de audio o vídeo.

La tercera categoría agrupa productos que permiten pagos, como terminales de punto de venta (TPV), teléfonos con tecnología NFC y monederos físicos de criptomonedas. En estos casos, la norma exige medidas específicas para evitar el fraude.

Algunas categorías de productos están expresamente excluidas del alcance de la EN 18031 por estar ya sujetas a marcos legales propios. Se trata de equipos militares, ciertos dispositivos médicos conectados (como marcapasos), sistemas embarcados en automoción o aviación, sistemas de peaje electrónico, juguetes sin conectividad y equipos 5G utilizados por operadores públicos.

Para el resto de los productos, la obligación de cumplimiento es absoluta. Por eso, los fabricantes deben comenzar por una identificación precisa del ámbito normativo aplicable a cada referencia. Ignorar este paso puede suponer una infracción, pero también generar costes innecesarios si se aplica la norma a productos exentos.

La EN 18031 traduce los principios de la RED en exigencias técnicas concretas. Para garantizar la protección de las redes, los dispositivos deben evitar interferencias, no sobrecargar la infraestructura de telecomunicaciones y estar diseñados para resistir ataques como los de denegación de servicio.

En cuanto a los datos personales, el dispositivo debe cumplir con el Reglamento General de Protección de Datos (RGPD): cifrado en tránsito y en reposo, aislamiento de componentes, gestión segura del almacenamiento y control granular de accesos.

La prevención del fraude exige medidas adicionales en dispositivos que manejan pagos o valores digitales. Se requiere autenticación fuerte, trazabilidad de las transacciones, protección contra manipulación del software y generación segura de claves criptográficas.

Entre las funciones que deben incorporarse destacan el arranque seguro, la identificación única e inalterable del dispositivo, el aislamiento de zonas de memoria y la comunicación cifrada mediante TLS con autenticación mutua. Todas estas medidas deben integrarse desde la fase de diseño.

El cumplimiento con la EN 18031 puede acreditarse por dos vías. La primera es la autodeclaración de conformidad, posible únicamente si el fabricante aplica íntegramente todos los requisitos de la norma y su producto no se ve afectado por ninguna de las restricciones recogidas en la armonización oficial. Esta opción requiere una documentación técnica rigurosa, ensayos internos y una trazabilidad completa de las medidas de seguridad implementadas. Aunque más directa, conlleva una alta responsabilidad y está limitada a dispositivos con arquitectura simple o riesgo bajo.

La segunda vía, más habitual, implica la evaluación por parte de un Organismo Notificado. Este revisa la documentación, verifica el diseño y puede exigir pruebas funcionales antes de emitir un certificado de conformidad. Este procedimiento es obligatorio si el producto implementa funciones como contraseñas configurables, control parental, transferencia de valor monetario o se apoya en apartados de la norma clasificados como guía o justificación.

La responsabilidad de demostrar el cumplimiento recae íntegramente sobre el fabricante, que debe asumir la carga de la prueba mediante una documentación técnica exhaustiva y coherente. La norma exige identificar con precisión qué requisitos son aplicables al producto, describir cómo se han implementado e indicar qué mecanismos aseguran su eficacia. No basta con incorporar funciones de seguridad: estas deben estar justificadas, validadas y plenamente alineadas con los criterios definidos en la EN 18031, de modo que resistan una eventual revisión por parte de las autoridades de vigilancia de mercado.

Asimismo, la conformidad debe estar verificada antes de la puesta en el mercado. Ningún dispositivo puede distribuirse legalmente sin haber completado el proceso correspondiente, ya sea por vía de autodeclaración o mediante intervención de un Organismo Notificado. La norma ya está en vigor y no contempla la regularización posterior: si el producto no cumplía los requisitos exigidos en el momento de su comercialización, no podrá ser rehabilitado a posteriori mediante procesos correctivos.

La EN 18031 no es un hecho aislado. Es la primera pieza de una arquitectura legislativa más ambiciosa en materia de seguridad digital. La siguiente será el Cyber Resilience Act (CRA), aprobado por la Comisión Europea, que entrará en vigor de forma progresiva entre 2026 y 2027.

A diferencia de la EN 18031, que se aplica solo a equipos radioeléctricos, el CRA afectará a todos los productos digitales que se comercialicen en la UE. Incluirá la obligación de ofrecer actualizaciones de seguridad durante al menos cinco años, gestionar vulnerabilidades, mantener documentación técnica completa y garantizar la trazabilidad de los componentes digitales.

Muchas de las medidas exigidas por la EN 18031 coinciden con las que establecerá el CRA. Por eso, cumplir ahora con esta norma es también una forma de prepararse para los nuevos requisitos. Las empresas que lo han hecho disponen ya de una arquitectura de seguridad avanzada y un sistema de documentación interna que les permitirá adaptarse con menor esfuerzo al nuevo reglamento.

Interfaz móvil vinculada a dispositivos radioeléctricos conectados del entorno doméstico.

La entrada en vigor de la norma EN 18031 no solo afecta a los fabricantes y distribuidores: también introduce cambios significativos para los consumidores, que pasan a desempeñar un papel activo en la elección de productos más seguros. Desde el 1 de agosto de 2025, cualquier dispositivo conectado que se ponga legalmente en el mercado de la Unión Europea debe haber superado una evaluación técnica que garantiza un nivel mínimo de protección frente a ataques, accesos no autorizados y fugas de datos.

El principal indicador de cumplimiento es el marcado CE, cuya presencia acredita que el dispositivo ha sido evaluado conforme a la Directiva RED y que incorpora medidas de ciberseguridad en línea con los requisitos de la EN 18031. Sin embargo, más allá del símbolo, el usuario puede identificar otras señales relevantes: contraseñas seguras por defecto, capacidad de recibir actualizaciones automáticas, cifrado de la información personal y una política clara sobre privacidad y uso de datos.

La verificación del cumplimiento puede realizarse consultando la declaración de conformidad incluida en el embalaje, en el manual del producto o en la web del fabricante. Además del marcado CE, existen esquemas adicionales como la etiqueta oficial alemana TI Sicherheitskennzeichen, desarrollada por la Oficina Federal de Seguridad en Tecnología de la Información (BSI, por sus siglas en alemán) o las certificaciones promovidas por Enisa a través del esquema EUCC, que ofrecen información técnica complementaria sobre la seguridad del dispositivo.

Por su parte, agencias como Incibe y ENISA proporcionan recursos divulgativos, guías prácticas y herramientas de configuración que permiten al usuario tomar decisiones informadas y reforzar la seguridad de sus dispositivos conectados. En definitiva, elegir productos conformes no solo garantiza el cumplimiento legal, sino que contribuye activamente a la protección del ecosistema digital doméstico.