Los nuevos requisitos de ciberseguridad de la Directiva RED

Home > Blog > Normativas > Los nuevos requisitos de ciberseguridad de la Directiva RED

La Directiva RED (Directiva sobre equipos radioeléctricos) es una normativa de la Unión Europea que establece requisitos técnicos y de seguridad para los equipos radioeléctricos y los equipos terminales de telecomunicación comercializados en el mercado europeo. Su principal objetivo es garantizar que los productos que utilizan tecnologías inalámbricas (teléfonos móviles, dispositivos Bluetooth, equipos Wi-Fi, radios, etc.), sean seguros y cumplan las normas de calidad.

RED fue emitida en 2014 por la Comisión Europea. La directiva, conocida como «Directiva 2014/53/UE», incluye nueve requisitos esenciales y tiene como objetivo servir como un marco regulador.

Desde junio de 2016, todos los equipos de radiocomunicación comercializados en la UE deben cumplir con esta Directiva.

Nuevos requisitos de ciberseguridad

La Comisión Europea publicó en enero de 2022 la Regulación Delegada 2022/30/EU, en las que incluía 3 nuevos requisitos esenciales relacionado con el campo de la ciberseguridad.

Esos 3 nuevos requisitos fueron incluidos en la sección 3 de la Directiva RED:

  • 3d «los equipos radioeléctricos no dañan la red o su funcionamiento ni hacen un uso indebido de los recursos de la red, causando así una degradación inaceptable del servicio».
  • 3e “los equipos radioeléctricos incorporan medidas de seguridad que garantizan la protección de los datos personales y la intimidad del usuario y del abonado”.
  • 3f “los equipos de radio admiten determinadas funciones que garantizan la protección contra el fraude”.

Para poder llevar estos 3 nuevos requisitos a la práctica y que todos los productos radioeléctricos comercializados en el mercado europeo los cumplan, el Working Group 8 de CEN CENELEC JTC creó los 3 estándares FprEN18031. Al ser todavía un proyecto de norma (aunque en su versión final), estos requisitos no serán obligatorios hasta agosto de 2025 en adelante.

Estos 3 estándares se corresponden a cada uno de los nuevos requisitos que publicó la Comisión Europea:

pegatinas ZBE zonas de bajas emisiones

Estructura de la norma FprEN18031

La norma esta dividida en 3 partes como hemos visto anteriormente, cada una corresponde a un requisito. Para cumplir con cada uno de los requisitos, la norma establece un conjunto de mecanismos, que son:

pegatinas ZBE zonas de bajas emisiones

Las 3 partes de la norma comparten la mayoría de los mecanismos. Las diferencias están en las áreas especificas en las que se centra cada requisito, dependiendo del objetivo a proteger.

La primera norma (FprEN18031-1) es la más genérica y se centra en añadir seguridad para abordar los riesgos de red. La segunda norma (FprEN18031-2), que aplica a los equipos que procesan datos personales o de localización, incluye disposiciones centradas en abordar los riesgos de privacidad del usuario, incluidos controles concretos para juguetes y equipos de cuidado de niños. La tercera norma (FprEN18031-3) aplica únicamente a los equipos que permiten transferir dinero, valor monetario o monedas virtuales.

Para cumplir cada mecanismo, la norma establece unas evaluaciones que se deben pasar exitosamente. Las evaluaciones se llevan a cabo revisando los casos de evaluación (puede no ser necesario realizar todos los casos de evaluación para cada uno de los mecanismos):

Evaluación conceptual: Se examina si la documentación y la justificación proporcionadas aportan adecuadamente las pruebas exigidas (por ejemplo, la justificación de por qué un mecanismo no es aplicable a una interfaz de red específica). Para ayudar a los fabricantes a saber si a su producto le es aplicable algún mecanismo, la norma da una serie de directrices y árboles de decisión, en los cuales hay preguntas que, dependiendo de su contestación, deriva a un resultado o a otro.

Evaluación de la integridad funcional: Consiste en examinar y comprobar la integridad de la documentación facilitada (por ejemplo, utilizar escáneres de red para verificar que todas las interfaces externas están debidamente identificadas, documentadas y evaluadas).

Evaluación de la suficiencia funcional: Examinar y probar la suficiencia de la implementación (por ejemplo, ejecutar herramientas de fuzzing en una interfaz de red para comprobar si es resistente a ataques de datos malformados).

Cómo sé que requisito afecta a mi producto

Según el tipo de producto, su uso previsto y sus funcionalidades, se aplicarán una o más normas FprEN 18031. La decisión sobre qué normas considerar debe basarse en un análisis de riesgos previo. El análisis de riesgo debe hacerlo el fabricante y, además, es muy importante identificar cuáles son los activos que proteger y completar adecuadamente toda la documentación que la norma solicita.

Lo último en Normativas