RED-DA: nuevo marco normativo de ciberseguridad para productos conectados en la UE

Jul 25, 2025 | Blog | 0 Comentarios

Desde agosto de 2025, la ciberseguridad será obligatoria en tus dispositivos: esto es lo que impone el RED-DA.

El auge y la rápida evolución de las tecnologías y los dispositivos conectados promovidos por la transformación digital durante los últimos años han abierto un enorme abanico de posibilidades y comodidades para usuarios y negocios. Sin embargo, también conllevan la aparición de riesgos y desafíos en materia de ciberseguridad para cualquier tipo de dispositivo conectado que deben ser abordados, como pueden ser la seguridad de las comunicaciones, la protección de los datos y la detección y prevención de fraudes.

En este contexto, la Comisión Europea ha desarrollado el Reglamento Delegado de la Directiva de Equipos de Radio 2022/30, publicado en 2022 y más conocido como RED-DA. Este reglamento modifica la actual Directiva de Equipos Radioeléctricos (RED 2014/53/UE) y será de obligado cumplimiento a partir del 1 de agosto de 2025. 

 

¿QUÉ ES LA DIRECTIVA 2014/53/UE?

Para comprender las implicaciones de RED-DA es necesario poner en primer lugar en contexto la Directiva 2014/53/UE de equipos de radio (RED). Esta directiva regula en la Unión Europea, desde 2016, todos los equipos eléctricos o electrónicos comercializados que son receptores y/o emisores de comunicaciones inalámbricas y que cumplen, a modo de resumen general, dos características principales:

  • Emiten o reciben, de manera intencionada, ondas radioeléctricas entre 9 kHz y 3000 GHz.
  • Se comunican mediante tecnologías inalámbricas. 5G, LTE, Wi-Fi, Bluetooth, Zigbee, LoRa, GNSS, etc.

Se debe remarcar que no todos los equipos de comunicaciones están cubiertos por defecto por RED, quedan exentos de la misma:

  • Equipos de comunicaciones que no incorporan emisores o receptores de radiofrecuencia o que incorporan comunicaciones exclusivamente cableadas (ej.: routers Ethernet sin Wi-Fi).
  • Equipos cubiertos por otra normativa específica, como equipos de aviación y aeronáutica, equipos para comunicaciones marítimas, determinados dispositivos médicos, drones, vehículos, dispositivos de peajes electrónicos o equipos destinados a uso en defensa.

En cuanto al ámbito de aplicación, RED establece unos requisitos esenciales para garantizar:

  • La salud y la seguridad del usuario (art. 3.1 (a))
  • La compatibilidad electromagnética del equipo, habitualmente abreviada como CEM o EMC (art. 3.1(b))
  • El uso eficiente del espectro radioeléctrico (art. 3.2)
  • Características como el uso de cargadores comunes, la protección de datos del usuario, la protección frente a fraude y otras, algunas de ellas opcionales hasta ahora (art. 3.3).
reda blog

¿QUÉ ES UN ACTO DELEGADO Y QUÉ IMPLICA RED-DA?

Un acto delegado es una herramienta jurídica que permite a la Comisión Europea completar modificar elementos de legislación vigente, como pueden ser las directivas, sin necesidad de pasar por el proceso legislativo del Parlamento y el Consejo. Se trata de una manera más ágil de adaptar normas y legislaciones a nuevas necesidades, tecnologías o riesgos. En el caso que nos ocupa, la Comisión ha empleado el Reglamento Delegado 2022/30 para activar tres apartados del artículo 3.3 de RED y darles carácter de cumplimiento obligatorio:

  • Artículo 3.3(d): El equipo no debe dañar la red ni hacer uso indebido de sus recursos, causando una degradación del servicio.
  • Artículo 3.3(e): El equipo debe proteger adecuadamente los datos personales y la privacidad del usuario.
  • Artículo 3.3(f): El equipo debe incluir mecanismos que prevengan el fraude, como accesos o pagos no autorizados.

Estos requisitos, legalmente exigibles a partir del 1 de agosto de 2025, afectan a una amplia gama de productos con comunicaciones inalámbricas, como dispositivos IoT de consumo, cerraduras inteligentes, juguetes conectados, wearables, sistemas de control remoto, asistentes virtuales, routers, etc.

A partir de esa fecha, cualquier dispositivo sujeto a RED-DA deberá cumplir estos requisitos de ciberseguridad como condición indispensable para obtener el marcado CE y poder ser comercializado legalmente en Europa. 

Para garantizar la ciberseguridad de los equipos de radio conforme a RED-DA, el Comité Europeo de Normalización y el Comité Europeo de Normalización Electrotécnica han desarrollado la norma EN 18031, que permite ensayar y certificar la conformidad de los equipos en tres componentes clave:

  • EN 18301-1:2024: Protección de la red – requisitos de ciberseguridad generales para equipos conectados a internet. (RED-DA art. 3.3 (d).
  • EN 18301-2:2024: Protección de los datos personales y la privacidad – requisitos para equipos que procesan datos personales, de tráfico o de localización.
  • EN 18301-3:2024: Protección frente a fraude – requisitos para equipos que procesan transacciones monetarias o moneda virtual.

Esta norma armonizada proporciona tanto la descripción de los requisitos a cumplir por cada tipo de dispositivo como justificación, criterio de evaluación y orientación para los mismos. 

 

¿QUÉ IMPACTO TIENE RED-DA EN EL DESARROLLO Y LA ACTUALIZACIÓN DE DISPOSITIVOS?

Tanto este Reglamento como la Ley de Ciberresiliencia (CRA) que tendrá aplicación obligatoria a partir de 2027 tienen un impacto significativo en el desarrollo de nuevos dispositivos, pero también en la actualización de aquellos que ya se encuentran en el mercado y para los que se preparen o lancen nuevas versiones a partir del 1 de agosto de 2025. Este impacto afecta a diferentes aspectos del diseño y desarrollo de dispositivos con comunicaciones inalámbricas, que pueden resumirse en tres pilares fundamentales:

  • La integración de medidas de ciberseguridad en el diseño desde la fase inicial de diseño de arquitectura, como aislamiento de secciones de memoria y funciones críticas, cifrado de comunicaciones, métodos de autenticación y gestión segura de actualizaciones remotas (OTA).
  • La selección e incorporación en el diseño de componentes hardware, elementos de procesamiento (microcontroladores, SoCs, SoMs, etc) y módulos de comunicaciones que soporten características de seguridad hardware y software, como arranque seguro, asilamiento de zonas de memoria, gestión y verificación de claves o detección de manipulación.
  • La incorporación de la ciberseguridad como criterio base en el diseño y desarrollo del firmware de los dispositivos, implementando mecanismos robustos y demostrables.

Además de incorporar estas medidas en el diseño y desarrollo de los productos, los fabricantes deben demostrar el cumplimiento de las normas aplicables. Como en el caso de otras normas, disponen de dos vías para cumplir con RED-DA: realizar un proceso de autoevaluación o acudir a un organismo notificado.

Desde ITCL ofrecemos un enfoque integral y práctico que abarca el ciclo completo de diseño, desarrollo, validación y soporte a la certificación para ayudar a los fabricantes de dispositivos a cumplir con RED-DA y anticiparse a la Ley de Ciberresiliencia. De esta manera ayudamos a lanzar, mantener y actualizar los productos en el mercado con total conformidad normativa. Para ello, ofrecemos servicios clave que pueden ser aplicados en cualquier momento del ciclo de vida del producto según la necesidad específica para cumplir tanto con RED-DA como otro tipo de reglamentos y normativas:

  • Diseño y rediseño de hardware embebido aplicando principios y componentes de ciberseguridad física y lógica.
  • Desarrollo de firmware y software seguro con integración de mecanismos criptográficos, arranque seguro (Secure Boot), particiones protegidas (TrustZone, MPU/MMU) y actualizaciones remotas (OTA) seguras.
  • Validación hardware y firmware aplicando criterios de evaluación según normativa aplicable.
  • Asesoramiento en la selección de normativa, ensayos aplicables, selección de laboratorios de ensayo y gestión de procesos de ensayo y marcado.
  • Optimización de hardware y firmware para corrección de no conformidades.
  • Análsis de conformidad con normativa aplicable y generación de documentación técnica para expedientes de marcado y homologación.

Artículos relacionados

blog anomalias cuántica ciberseguridad

Ciberseguridad en 2025: IA, redes tensoriales y computación cuántica contra amenazas digitales

ITCL Centro Tecnológico

FPGA: la última frontera de la industria electrónica

gemelo digital

¿Qué son los Gemelos Digitales?

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.