La Directiva RED (Directiva sobre equipos radioeléctricos) es una normativa de la Unión Europea que establece requisitos técnicos y de seguridad para los equipos radioeléctricos y los equipos terminales de telecomunicación comercializados en el mercado europeo. Su principal objetivo es garantizar que los productos que utilizan tecnologías inalámbricas (teléfonos móviles, dispositivos Bluetooth, equipos Wi-Fi, radios, etc.), sean seguros y cumplan las normas de calidad.
RED fue emitida en 2014 por la Comisión Europea. La directiva, conocida como «Directiva 2014/53/UE», incluye nueve requisitos esenciales y tiene como objetivo servir como un marco regulador.
Desde junio de 2016, todos los equipos de radiocomunicación comercializados en la UE deben cumplir con esta Directiva.
Nuevos requisitos de ciberseguridad
La Comisión Europea publicó en enero de 2022 la Regulación Delegada 2022/30/EU, en las que incluía 3 nuevos requisitos esenciales relacionado con el campo de la ciberseguridad.
Esos 3 nuevos requisitos fueron incluidos en la sección 3 de la Directiva RED:
- 3d «los equipos radioeléctricos no dañan la red o su funcionamiento ni hacen un uso indebido de los recursos de la red, causando así una degradación inaceptable del servicio».
- 3e “los equipos radioeléctricos incorporan medidas de seguridad que garantizan la protección de los datos personales y la intimidad del usuario y del abonado”.
- 3f “los equipos de radio admiten determinadas funciones que garantizan la protección contra el fraude”.
Para poder llevar estos 3 nuevos requisitos a la práctica y que todos los productos radioeléctricos comercializados en el mercado europeo los cumplan, el Working Group 8 de CEN CENELEC JTC creó los 3 estándares FprEN18031. Al ser todavía un proyecto de norma (aunque en su versión final), estos requisitos no serán obligatorios hasta agosto de 2025 en adelante.
Estos 3 estándares se corresponden a cada uno de los nuevos requisitos que publicó la Comisión Europea:
Estructura de la norma FprEN18031
La norma esta dividida en 3 partes como hemos visto anteriormente, cada una corresponde a un requisito. Para cumplir con cada uno de los requisitos, la norma establece un conjunto de mecanismos, que son:
Las 3 partes de la norma comparten la mayoría de los mecanismos. Las diferencias están en las áreas especificas en las que se centra cada requisito, dependiendo del objetivo a proteger.
La primera norma (FprEN18031-1) es la más genérica y se centra en añadir seguridad para abordar los riesgos de red. La segunda norma (FprEN18031-2), que aplica a los equipos que procesan datos personales o de localización, incluye disposiciones centradas en abordar los riesgos de privacidad del usuario, incluidos controles concretos para juguetes y equipos de cuidado de niños. La tercera norma (FprEN18031-3) aplica únicamente a los equipos que permiten transferir dinero, valor monetario o monedas virtuales.
Para cumplir cada mecanismo, la norma establece unas evaluaciones que se deben pasar exitosamente. Las evaluaciones se llevan a cabo revisando los casos de evaluación (puede no ser necesario realizar todos los casos de evaluación para cada uno de los mecanismos):
Evaluación conceptual: Se examina si la documentación y la justificación proporcionadas aportan adecuadamente las pruebas exigidas (por ejemplo, la justificación de por qué un mecanismo no es aplicable a una interfaz de red específica). Para ayudar a los fabricantes a saber si a su producto le es aplicable algún mecanismo, la norma da una serie de directrices y árboles de decisión, en los cuales hay preguntas que, dependiendo de su contestación, deriva a un resultado o a otro.
Evaluación de la integridad funcional: Consiste en examinar y comprobar la integridad de la documentación facilitada (por ejemplo, utilizar escáneres de red para verificar que todas las interfaces externas están debidamente identificadas, documentadas y evaluadas).
Evaluación de la suficiencia funcional: Examinar y probar la suficiencia de la implementación (por ejemplo, ejecutar herramientas de fuzzing en una interfaz de red para comprobar si es resistente a ataques de datos malformados).
Cómo sé que requisito afecta a mi producto
Según el tipo de producto, su uso previsto y sus funcionalidades, se aplicarán una o más normas FprEN 18031. La decisión sobre qué normas considerar debe basarse en un análisis de riesgos previo. El análisis de riesgo debe hacerlo el fabricante y, además, es muy importante identificar cuáles son los activos que proteger y completar adecuadamente toda la documentación que la norma solicita.
Lo último en Normativas
Normalización Zonas de Bajas Emisiones y UVAR
La Ley de Cambio Climático y Transición Energética impone zonas de bajas emisiones en ciudades grandes para mejorar la calidad del aire.
Características de la norma UNE EN 50518:2019
El estándar UNE EN 50518:2019, desarrollado por CENELEC, está dirigido a todos los Centros de Monitorización y Recepción de Alarmas (CRAs).
Reglamento de Ejecución (UE) 2019/947 de la Comisión Europea
Establecimiento de disposiciones detalladas para la utilización de sistemas de aeronaves no tripuladas, pilotos a distancia, y organizaciones que participen en dichas operaciones.