Garantir la ciberseguretat dels productes radioelèctrics que es connectin a internet és una obligació en el mercat de la Unió Europea des del passat 1 d'agost. Això és el que regula Reglament Delegat (UE) 2022/30 (RED-RD) publicat el 12 de gener de 2022. Aquest Reglament Delegat (RD) és un complement de la Directiva 2014/53 de comercialització d’equips radioelèctrics coneguda com a Directiva RED.
Què es considera equip radioelèctric? Doncs qualsevol “producte elèctric o electrònic que emet o rep intencionadament ones radioelèctriques a fins de radiocomunicació o radiodeterminació, o el producte elèctric o electrònic que ha de ser completat amb un accessori, com una antena, per emetre o rebre intencionadament ones radioelèctriques a fins de radiocomunicació o radiodeterminació”.
Com es pot veure amb aquesta definició el nombre de productes afectats és amplíssim, i va des d’un sensor IoT que es connecta a la central domòtica d’una llar, els rellotges intel·ligents (smart watches) o els lectors de targetes de crèdit.
Tot i ser evident l’amplitud dels productes i empreses afectats no hi ha hagut una difusió efectiva de l'obligatorietat del RED-RD. Això es constata en la simptomàtica evidència que en les quatre darreres fires de caràcter tecnològic fetes a Barcelona (Integrated Systems Europe, Mobile World Congress, Advanced Factories o IoT Solutions World Congress) no hi ha hagut cap ponència o exposició on es parlés d’aquest reglament delegat. Però especialment en el fet que tampoc se n’ha parlat en cap dels dos darrers congressos de ciberseguretat: l'Industrial Cybersecurity Forum i el Barcelona Cybersecurity Congress.
Per què es crea el Reglament Delegat (UE) 2022/30?
Perquè en en la Directiva RED el seu article 3 defineix una sèrie de requeriments dels quals es van publicant periòdicament reglaments delegats per fer obligatori el seu compliment com p. ex. l'obligatorietat d’un carregador comú o del connector USB tipus C.
En el cas que ens pertoca la Directiva RED diu:
- Els equips radioelèctrics corresponents a determinades categories o classes es fabricaran de manera que compleixin els requisits essencials següents:
- L'equip radioelèctric no malmeti la xarxa ni el funcionament ni utilitzi inadequadament els recursos de la xarxa de manera que causi una degradació inacceptable del servei.
- L'equip radioelèctric contingui salvaguardes que garanteixin la protecció de les dades personals i la privadesa de l'usuari i de l'abonat.
- L'equip radioelèctric sigui compatible amb determinades funcionalitats que garanteixin la protecció contra el frau.
I en conseqüència el RED-RD 2022/30 estableix el següent:
1. Se li aplicarà el requisit essencial establert a l'article 3, apartat 3, lletra d), de la Directiva 2014/53/UE a tot equip radioelèctric que es pugui comunicar per internet, sigui directament o a través de qualsevol altre equip («equip radioelèctric connectat a internet»).
2. Se li aplicarà el requisit essencial establert a l'article 3, apartat 3, lletra e), a tot equip radioelèctric connectat a internet, o equip radioelèctric dissenyat o destinat exclusivament a cura de nens; o equip radioelèctric regulat per la Directiva 2009/48/CE (joguina); o equip radioelèctric dissenyat o destinat, exclusivament o no, a emportar-se, ajustar-se o penjar-se de qualsevol dels elements següents: i) qualsevol part del cos humà, com el cap, el coll, el tronc, els braços, les mans i els peus, ii) totes les peces de vestir, com a accessoris per als cabells, per a les mans i el calçat que pugui portar. Si aquests equips són capaços de tractar dades personals, o dades de trànsit i de localització.
3. Se li aplicarà el requisit essencial establert a l'article 3, apartat 3, lletra f), a tot equip radioelèctric connectat a internet, si aquest equip permet al titular o usuari transferir diners, valor monetari o monedes virtuals.
I què haurien de fer les empreses fabricants de productes afectats pel RED-RD 2022/30?
En primer lloc, haurien de fer unes anàlisis de riscos en ciberseguretat dels seus productes. I després assegurar-se que es posen les mesures de ciberseguretat per complir amb els requisits essencials establerts pel RED-RD 2022/30. Cal recordar que la legislació europea estableix que les normes harmonitzades les referències de les quals s'han publicat al Diari Oficial de la Unió Europea (DOUE) confereixen una presumpció de conformitat amb els requisits essencials que pretenen cobrir.
Per ajudar a les empreses en el compliment el 14 d’agost de 2024 es van publicar, en versió original en anglès, tres normes europees harmonitzades:
- l'EN 18031-1:2024, sobre requisits de seguretat comuns per a equips radioelèctrics connectats a internet;
- l'EN 18031-2:2024, sobre requisits de seguretat comuns per a equips radioelèctrics connectats a internet que processen dades; i
- l'EN 18031-3:2024, sobre requisits de seguretat comuns per als equips radioelèctrics connectats a internet que processen diners virtuals o valors monetaris.
*Nota: La traducció al castellà es va publicar el 12 de març de 2025.
Cal ser conscients que la norma EN 18031-1:2024 té 180 pàgines, l'EN 18031-3:2024 té 220 pàgines i l'EN 18031-3:2024 té 185 pàgines. Qui hagi d'aplicar totes tres en el desenvolupament i verificació dels seus productes s'enfronta a una lectura de… gairebé 600 pàgines, amb la seva interpretació i aplicació sistemàtica.
I per establir la presumpció de conformitat el 30 de gener de 2025 es va publicar al DOUE la Decisió d'Execució (UE) 2025/138 on es descriuen les tres normes harmonitzades de la família EN 18031 que cobreixen cadascun dels requisits. Ara bé, cal tenir en compte que en aquesta decisió s’indica que hi ha restriccions que són comunes a les tres normes i que no confereixen la presumpció de conformitat. I altres restriccions particulars per cada norma. Per tant, si s’utilitzen aquestes normes caldrà tenir en compte el que diu la Decisió d'Execució.
Vull recordar que l’obligatorietat del RED-RD 2022/30 és per tots els productes que els fabricants o importadors posin en el mercat de la Unió Europea des de l'1 d’agost de 2025. I això afectarà els productes que es continuïn comercialitzant i que segurament no es van dissenyar tenint en compte els requisits essencials que ara són obligatoris. A títol d’exemple de què podrien fer moltes empreses és el cas de l’empresa Panasonic que ha informat que el seu model de càmera HC-X1600E deixarà de donar una funcionalitat, en els models europeus, perquè no pot complir amb el RED-RD 2022/30.
A part de fabricants i importadors, a qui més afectarà?
Doncs als distribuïdors perquè haurien d’assegurar-se de què el que estan comprant i volen vendre compleixi amb el RED-RD 2022/30 en la Declaració de Conformitat del producte. Sense oblidar-nos dels “prestadors de mercats en línia” que arran del Reglament 2023/988 de Seguretat General dels Productes tenen noves obligacions i responsabilitats, i seran un dels principals actors en la vigilància d’aquest compliment.
I també ho haurien de tenir en compte les persones que treballen en l’àrea de compres en qualsevol organització que podran exigir que un producte compleixi amb el RED-RD 2022/30 abans d’adquirir-lo, per la ciberseguretat de la seva organització.
Una vegada més l'obligatorietat d’una nova legislació ha tingut poca informació i repercussió fins al dia en què és obligatòria. Que en cap de les fires tecnològiques fetes a Catalunya no se n’hagi parlat és preocupant i que per part de les nostres administracions tampoc es conegués doncs més encara. Si volem un teixit empresarial que sigui competitiu i exportador crec que cal un canvi en la forma en què s’anticipa l'obligatorietat de la legislació, especialment l'europea perquè cada vegada més s’utilitzarà la fórmula del reglament en detriment de la directiva.
A curt i mitjà termini en l’àmbit de l’enginyeria tenim ja en vigor i pendents d’obligatorietat completa: el Reglament 2023/1230 de Màquines, el Reglament 2024/1689 d’intel·ligència artificial, el Reglament 2024/2847 de Ciberreseliencia, o el Reglament 2025/40 d’envasos i residus d’envasos.
Com saber-ne més de l’aplicació del Reglament Delegat (UE) 2022/30?
Amb l’objectiu de tenir la visió de qui s’encarrega de verificar el compliment dels requisits essencials en productes o de vetllar perquè els productes en el mercat siguin segurs es va organtizar una jornada en què amb Nuria Carrió, Cybersecurity Certification Technical Director d’Applus+ Laboratories, i Diego Oteo de la Subdirección General de Inspección de las Telecomunicaciones en el Ministerio para la Transformación Digital y de la Función Pública.
