Navegar y adaptarse a las nuevas normas de ciberseguridad IoT

A medida que el Internet de las cosas (IoT) sigue transformando las industrias y la vida cotidiana, la necesidad de medidas sólidas de ciberseguridad nunca ha sido más crítica. Con miles de millones de dispositivos conectados 

y en funcionamiento, se están introduciendo nuevas regulaciones para proteger estos dispositivos y sus redes. Por muy bien diseñados que estén, los dispositivos IoT se enfrentan al riesgo real de sufrir ciberataques y acciones maliciosas tras su despliegue.

La norma EN 18031 es una de estas normativas en Europa, con implicaciones de gran alcance para los fabricantes y OEM (Original Equipment Manufacturers). Este artículo explora lo que la norma EN 18031 significa para tu negocio, seguido de una revisión a la Ley de Ciberseguridad y Resiliencia (CS&R) del Reino Unido, que se alinea bien con la norma EN 18031, aunque no están totalmente armonizadas.

Aunque existen algunas exenciones para los equipos militares, los dispositivos médicos, la aviación, la automoción y los sistemas electrónicos de peaje, la norma EN 18031se aplica principalmente a las industrias que dependen del IoT y los dispositivos inalámbricos, como la electrónica de consumo, la sanidad, el IoT industrial, la energía, la agricultura y las telecomunicaciones. Los dispositivos de estos sectores deben cumplir las normas de ciberseguridad para venderse en el Espacio Económico Europeo (EEE), garantizando la seguridad, la protección de datos y la prevención del fraude. El cumplimiento de la norma EN 18031 es clave: los dispositivos que no la cumplan no recibirán el marcado CE  que requieren para poder venderse legalmente en el EEE. Conseguir el marcado CE, que certifica el cumplimiento de la normativa de la UE, es vital para acceder al mercado europeo. La fecha límite para su cumplimiento es el 1 de agosto de 2025 - después de esta fecha, los dispositivos que no cumplan los requisitos de ciberseguridad tendrán prohibida su entrada en el mercado.

EN 18031: una nueva norma para la seguridad del IoT

La Directiva sobre Equipos Radioeléctricos (RED) de la UE está en vigor desde 2017 y cubre aspectos de los equipos de radio (inalámbricos), incluida la seguridad, la compatibilidad electromagnética y el uso del espectro radioeléctrico. Ahora se ha reforzado para imponer 3 requisitos esenciales de ciberseguridad adicionales a los productos de radio (inalámbricos) conectados a Internet disponibles en la Unión Europea (UE).

La norma EN 18031 proporciona ese refuerzo. Especifica los requisitos para el diseño, la implementación y la gestión continua de dispositivos y redes seguros. A medida que aumenta el número de dispositivos IoT, también lo hace el riesgo de fallos de seguridad, por lo que la norma EN 18031 introduce directrices fundamentales para que los fabricantes garanticen que sus dispositivos están protegidos de las ciberamenazas.

La nueva regulación incide en tres nuevos requisitos esenciales de ciberseguridad para los dispositivos IoT, tal como se definen en el Reglamento Delegado (UE) 2022/30 de la Comisión, también conocido como RED Delegated Act o, más comúnmente, como Directiva sobre Equipos Radioeléctricos.

• Protección de la red (3(3)(d)): Los dispositivos no deben dañar la red ni hacer un uso indebido de sus recursos. Deben estar diseñados para evitar ciberataques y garantizar la integridad de las redes conectadas.

• Protección de la intimidad (3(3)(e)): Los dispositivos deben garantizar la protección de los datos personales, en consonancia con leyes de privacidad como el GDPR para salvaguardar la información del usuario.

• Prevención del fraude (3(3)(f)): Los dispositivos deben incorporar funciones para evitar actividades fraudulentas, como el acceso no autorizado o la manipulación de datos.

Estos tres requisitos -protección de la red, privacidad y prevención del fraude- son cruciales para el futuro de la seguridad del IoT. La adhesión a estas normas no solo reducirá el riesgo de ciberataques, sino que también garantizará el cumplimiento de las expectativas normativas y mantendrá la confianza de los clientes.

¿Y en el Reino Unido? El proyecto de ley CS&R

Mientras que la norma EN 18031 establece el estándar en Europa, el proyecto de ley británico sobre ciberseguridad y resiliencia (CS&R) aborda la seguridad del IoT en el Reino Unido. El proyecto de ley aborda preocupaciones similares sobre la seguridad de los dispositivos conectados, pero no está totalmente armonizado con la norma EN 18031. En otras palabras, aunque el proyecto de ley CS&R y la norma EN 18031 comparten el mismo objetivo general -proteger los dispositivos IoT de las ciberamenazas-, los dos marcos son distintos.

La Ley CS&R obliga a los fabricantes a cumplir unas normas mínimas de ciberseguridad para los dispositivos IoT vendidos en el Reino Unido. Entre ellas figuran la seguridad de las redes, la garantía de la privacidad de los datos y la protección contra el fraude, requisitos similares a los de la norma EN 18031. Sin embargo, el proyecto de ley introduce requisitos de cumplimiento específicos para el mercado británico, y las empresas que vendan productos de IoT tanto en el Reino Unido como en la UE tendrán que tener en cuenta estas diferencias.

La distinción clave es que las empresas deben garantizar el cumplimiento tanto de la norma EN 18031 (para los mercados de la UE) como del CS&R Bill (para los mercados del Reino Unido), ya que los dos conjuntos de normativas, aunque alineados en principio, no están totalmente armonizados en términos de aplicación y marcos legales.

Cómo aborda estos requisitos el marco de seguridad IoT de Wireless Logic

Para cumplir con los requisitos esenciales de seguridad descritos tanto en la norma EN 18031 como en el CS&R Bill y el NIST CSF del Reino Unido, Wireless Logic ofrece un completo marco de seguridad IoT diseñado para proteger dispositivos y redes en ambos mercados. Este marco permite a las empresas y a los fabricantes de equipos originales cumplir los requisitos de seguridad clave y lograr el cumplimiento de las nuevas normativas. Nuestra herramienta de detección de anomalías y amenazas resulta de especial relevancia, ya que proporciona capacidades avanzadas que ayudan a lograr el cumplimiento de la normativa al tiempo que crea ventajas diferenciadoras frente a los competidores.

• Protección de la red: El marco asegura la comunicación dispositivo-red, evitando usos indebidos y protegiendo la infraestructura frente a ciberamenazas.

• Protección de la privacidad: Integra el cifrado de datos, el almacenamiento seguro y permite cumplir con la GDPR de la UE y las leyes de protección de datos del Reino Unido, garantizando la protección de la privacidad de los usuarios

• Prevención del fraude: El marco proporciona mecanismos de autenticación fuertes y monitorización en tiempo real para detectar y prevenir actividades fraudulentas.
  

Al adoptar el marco de seguridad IoT de Wireless Logic, las empresas pueden garantizar que sus dispositivos cumplen con los estrictos requisitos de EN 18031, el CS&R Bill (Reino Unido) y NIST CSF(Estados Unidos), protegiendo sus productos, datos y usuarios de los riesgos cibernéticos emergentes y obteniendo además una ventaja competitiva.

Conclusión

La introducción de la norma EN 18031 en Europa y el proyecto de ley de ciberseguridad y resiliencia (CS&R) del Reino Unido representan un paso significativo hacia la seguridad de los dispositivos IoT. Aunque ambas normativas comparten objetivos comunes, las empresas deben cumplir con ambos conjuntos de requisitos, ya que el Reino Unido y la UE tienen marcos separados en vigor. El marco de seguridad IoT de Wireless Logic proporciona un enfoque estructurado para ayudar a las empresas a cumplir con estos complejos requisitos y garantizar que sus dispositivos permanezcan seguros y conformes en ambas regiones.

¿Estás preparado para asegurar tus dispositivos IoT y mantenerte a la vanguardia en un panorama digital cada vez más regulado?