Por: Carlos A. Ferreyros Soto
Doctor en Derecho
Universidad de Montpellier I Francia.
RESUMEN
Sobre la base de la solicitud del Comité Europeo de Normalización al Comité Europeo de Normalización Electrotécnica, se elaboraron las normas armonizadas EN 18031-1:2024, sobre requisitos de seguridad comunes para equipos radioeléctricos conectados a Internet, en apoyo del requisito esencial establecido en el artículo3, apartado 3, párrafo primero, letra d), de la Directiva 2014/53/UE; EN 18031-2:2024, sobre requisitos de seguridad comunes para equipos radioeléctricos conectados a internet, equipos radioeléctricos para cuidado infantil, equipos radioeléctricos para juguetes y equipos radioeléctricos portables.
Conforme a ello, el Artículo 1 de la presente Decisión de Ejecucion, incluye el Anexo I de la Decisión de Ejecución (UE) 2022/2191.
A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@hotmail.com
________________________________________________________
| Diario Oficial de la Unión Europea | ES Serie L |
| 2025/138 | 30.1.2025 |
DECISIÓN DE EJECUCIÓN (UE) 2025/138 DE LA COMISIÓN
de 28 de enero de 2025
por la que se modifica la Decisión de Ejecución (UE) 2022/2191 en lo que respecta a las normas armonizadas en apoyo de los requisitos esenciales establecidos en la Directiva 2014/53/UE del Parlamento Europeo y del Consejo que se refieren a la ciberseguridad, para las categorías y clases de equipos radioeléctricos especificadas en el Reglamento Delegado (UE) 2022/30
(Texto pertinente a efectos del EEE)
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) n.o 1025/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, sobre la normalización europea, por el que se modifican las Directivas 89/686/CEE y 93/15/CEE del Consejo y las Directivas 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE y 2009/105/CE del Parlamento Europeo y del Consejo y por el que se deroga la Decisión 87/95/CEE del Consejo y la Decisión n.o 1673/2006/CE del Parlamento Europeo y del Consejo (1), y en particular su artículo 10, apartado 6,
Considerando lo siguiente:
| (1) | De conformidad con el artículo 16 de la Directiva 2014/53/UE del Parlamento Europeo y del Consejo (2), los equipos radioeléctricos que sean conformes con normas armonizadas, o partes de estas, cuyas referencias se hayan publicado en el Diario Oficial de la Unión Europea se presumen conformes con los requisitos esenciales del artículo 3 de dicha Directiva, en caso de que se les apliquen dichas normas o partes de estas. |
| (2) | Mediante la Decisión de Ejecución C(2022) 5637 (3), la Comisión solicitó al Comité Europeo de Normalización (CEN) y al Comité Europeo de Normalización Electrotécnica (Cenelec) que elaboraran nuevas normas armonizadas en apoyo del artículo 3, apartado 3, párrafo primero, letras d), e) y f), de la Directiva 2014/53/UE, para las categorías y clases y de equipos radioeléctricos especificadas en el Reglamento Delegado (UE) 2022/30 de la Comisión (4) («solicitud»). |
| (3) | Sobre la base de la solicitud, el CEN y el Cenelec elaboraron las normas armonizadas EN 18031-1:2024, sobre requisitos de seguridad comunes para equipos radioeléctricos conectados a internet, en apoyo del requisito esencial establecido en el artículo 3, apartado 3, párrafo primero, letra d), de la Directiva 2014/53/UE; EN 18031-2:2024, sobre requisitos de seguridad comunes para equipos radioeléctricos conectados a internet, equipos radioeléctricos para cuidado infantil, equipos radioeléctricos para juguetes y equipos radioeléctricos ponibles, en apoyo del requisito esencial establecido en el artículo 3, apartado 3, párrafo primero, letra e), de la Directiva 2014/53/UE; y EN 18031-3:2024, sobre requisitos de seguridad comunes para los equipos radioeléctricos conectados a internet que procesan dinero virtual o valores monetarios, en apoyo del requisito esencial establecido en el artículo 3, apartado 3, párrafo primero, letra f), de la Directiva 2014/53/UE. |
| (4) | La Comisión, junto con el CEN y el Cenelec, ha evaluado si dichas normas armonizadas se ajustan a la solicitud. |
| (5) | Las normas armonizadas EN 18031-1:2024, EN 18031-2:2024 y EN 18031-3:2024 incluyen numerosas secciones denominadas «justificación» y «orientaciones». Las secciones denominadas «justificación» tienen por objeto justificar la necesidad de abordar determinados riesgos. Las secciones denominadas «orientaciones» incluyen ejemplos y consideraciones sobre las posibilidades de aplicar determinadas medidas de mitigación. Ninguno de los dos tipos de secciones mencionados contiene especificaciones. Además, las secciones denominadas «orientaciones» incluyen referencias a los documentos de normalización de las organizaciones nacionales de normalización. Como regla general, las normas armonizadas no deben incluir referencias normativas cruzadas a dichos documentos de normalización. |
| (6) | Las cláusulas 6.2.5.1 y 6.2.5.2 de las normas armonizadas EN 18031-1:2024, EN 18031-2:2024 y EN 18031-3:2024 tratan sobre las contraseñas por defecto. Estas cláusulas ofrecen a los fabricantes la posibilidad de permitir que un usuario no establezca ni utilice una contraseña. Se considera que, si se aplica esta opción, no se abordarán adecuadamente los riesgos de autenticación pertinentes y, por tanto, no se garantizaría la conformidad con los requisitos esenciales establecidos en el artículo 3, apartado 3, párrafo primero, letras d), e) y f), de la Directiva 2014/53/UE. |
| (7) | Las cláusulas 6.1.3, 6.1.4, 6.1.5 y 6.1.6 de la norma armonizada EN 18031-2:2024 incluyen especificaciones sobre el mecanismo de control de acceso de los equipos radioeléctricos para juguetes y de los equipos radioeléctricos para el cuidado infantil. Más concretamente, las categorías de aplicación descritas en las subsecciones «criterios de evaluación» son las siguientes: control de acceso basado en funciones, control de acceso discrecional, control de acceso obligatorio u otros. Algunas de estas categorías podrían no ser compatibles con el control parental o de los tutores. En ese caso, se considera que, si no se aplica el control parental o de los tutores, no se abordarán los riesgos de autenticación pertinentes y, por tanto, no se garantizaría la conformidad con el requisito esencial establecido en el artículo 3, apartado 3, párrafo primero, letra e), de la Directiva 2014/53/UE. |
| (8) | La cláusula 6.3.2.4 de la norma armonizada EN 18031-3:2024 incluye criterios de evaluación para las actualizaciones seguras. Se establecen cuatro categorías de aplicación diferentes, basadas en las firmas digitales, los mecanismos de comunicación seguros, los mecanismos de control de acceso u otros. Ninguno de los métodos por sí solo es suficiente para el tratamiento de los activos financieros. Se considera que los criterios de evaluación no abordan adecuadamente los riesgos de autenticación pertinentes y, por tanto, no pueden garantizar la conformidad con el requisito esencial establecido en el artículo 3, apartado 3, párrafo primero, letra f), de la Directiva 2014/53/UE. |
| (9) | Por consiguiente, las referencias de las normas armonizadas EN 18031-1:2024, EN 18031-2:2024 y EN 18031-3:2024 deben publicarse en el Diario Oficial de la Unión Europea, con restricciones. |
| (10) | En el anexo I de la Decisión de Ejecución (UE) 2022/2191 de la Comisión (5) se indican las referencias de las normas armonizadas que confieren la presunción de conformidad con la Directiva 2014/53/UE. A fin de garantizar que las referencias de las normas armonizadas elaboradas en apoyo de la Directiva 2014/53/UE figuren en un único acto, deben incluirse en dicho anexo las referencias de las normas armonizadas EN 18031-1:2024, EN 18031-2:2024 y EN 18031-3:2024, con restricciones. |
| (11) | Procede, por tanto, modificar la Decisión de Ejecución (UE) 2022/2191 en consecuencia. |
| (12) | El cumplimiento de una norma armonizada confiere la presunción de conformidad con los requisitos esenciales correspondientes establecidos en la legislación de armonización de la Unión a partir de la fecha de publicación de la referencia de esa norma en el Diario Oficial de la Unión Europea. Por consiguiente, la presente Decisión debe entrar en vigor el día de su publicación. |
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
El anexo I de la Decisión de Ejecución (UE) 2022/2191 se modifica de conformidad con el anexo de la presente Decisión.
Artículo 2
La presente Decisión entrará en vigor el día de su publicación en el Diario Oficial de la Unión Europea.
Hecho en Bruselas, el 28 de enero de 2025.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 316 de 14.11.2012, p. 12, ELI: http://data.europa.eu/eli/reg/2012/1025/oj.
(2) Directiva 2014/53/UE del Parlamento Europeo y del Consejo, de 16 de abril de 2014, relativa a la armonización de las legislaciones de los Estados miembros sobre la comercialización de equipos radioeléctricos, y por la que se deroga la Directiva 1999/5/CE (DO L 153 de 22.5.2014, p. 62, ELI: http://data.europa.eu/eli/dir/2014/53/oj).
(3) «Decisión de Ejecución C(2022) 5637 de la Comisión, de 5 de agosto de 2022, relativa a una solicitud de normalización dirigida al Comité Europeo de Normalización y al Comité Europeo de Normalización Electrotécnica en relación con los equipos radioeléctricos en apoyo de la Directiva 2014/53/UE del Parlamento Europeo y del Consejo y del Reglamento Delegado (UE) 2022/30 de la Comisión», texto no disponible en español.
(4) Reglamento Delegado (UE) 2022/30 de la Comisión, de 29 de octubre de 2021, que completa la Directiva 2014/53/UE del Parlamento Europeo y del Consejo en lo que respecta a la aplicación de los requisitos esenciales contemplados en el artículo 3, apartado 3, letras d), e) y f), de dicha Directiva (DO L 7 de 12.1.2022, p. 6, ELI: http://data.europa.eu/eli/dir/2022/30/oj).
(5) Decisión de Ejecución (UE) 2022/2191 de la Comisión, de 8 de noviembre de 2022, relativa a las normas armonizadas aplicables a los equipos radioeléctricos elaboradas en apoyo de la Directiva 2014/53/UE del Parlamento Europeo y del Consejo (DO L 289 de 10.11.2022, p. 7, ELI: http://data.europa.eu/eli/dec_impl/2022/2191/oj).
ANEXO
En el anexo I se añaden las filas siguientes:
| N.o | Referencia de la norma |
| «164. | EN 18031-1:2024 Requisitos de seguridad comunes para equipos radioeléctricos. Parte 1: Equipos radioeléctricos conectados a internet Aviso 1: Las secciones denominadas “justificación” y “orientaciones” en esta norma armonizada no confieren la presunción de conformidad con el requisito esencial establecido en el artículo 3, apartado 3, párrafo primero, letra d), de la Directiva 2014/53/UE. Aviso 2: Esta norma armonizada no confiere la presunción de conformidad con el requisito esencial establecido en el artículo 3, apartado 3, párrafo primero, letra d), de la Directiva 2014/53/UE si, al aplicar sus cláusulas 6.2.5.1 y 6.2.5.2, el usuario está autorizado a no establecer ni utilizar una contraseña. |
| 165. | EN 18031-2:2024 Requisitos de seguridad comunes para equipos radioeléctricos. Parte 2: Equipos radioeléctricos que procesan datos, en concreto equipos radioeléctricos conectados a Internet, equipos radioeléctricos para cuidado infantil, equipos radioeléctricos para juguetes y equipos radioeléctricos ponibles Aviso 1: Las secciones denominadas “justificación” y “orientaciones” en esta norma armonizada no confieren la presunción de conformidad con el requisito esencial establecido en el artículo 3, apartado 3, párrafo primero, letra e), de la Directiva 2014/53/UE. Aviso 2: Esta norma armonizada no confiere la presunción de conformidad con el artículo 3, apartado 3, párrafo primero, letra e), de la Directiva 2014/53/UE si, al aplicar sus cláusulas 6.2.5.1 y 6.2.5.2, el usuario está autorizado a no establecer ni utilizar una contraseña. Aviso 3: Esta norma armonizada, en lo que respecta a las clases o categorías de equipos radioeléctricos cubiertas por sus cláusulas 6.1.3, 6.1.4, 6.1.5 o 6.1.6, no confiere la presunción de conformidad con el requisito esencial establecido en el artículo 3, apartado 3, párrafo primero, letra e), de la Directiva 2014/53/UE si, al aplicar sus cláusulas 6.1.3.4.2, 6.1.4.4.2, 6.1.5.4.2 y 6.1.6.4.2, no se garantiza el control de acceso parental o de los tutores. |
| 166. | EN 18031-3:2024 Requisitos de seguridad comunes para equipos radioeléctricos. Parte 3: Equipos radioeléctricos conectados a internet que procesan dinero virtual o valores monetarios Aviso 1: Las secciones denominadas “justificación” y “orientaciones” en esta norma armonizada no confieren la presunción de conformidad con el requisito esencial establecido en el artículo 3, apartado 3, párrafo primero, letra f), de la Directiva 2014/53/UE. Aviso 2: Esta norma armonizada no confiere la presunción de conformidad con el requisito esencial establecido en el artículo 3, apartado 3, párrafo primero, letra f), de la Directiva 2014/53/UE si, al aplicar sus cláusulas 6.2.5.1 y 6.2.5.2, el usuario está autorizado a no establecer ni utilizar una contraseña. Aviso 3: Esta norma armonizada, en lo que respecta a los criterios de evaluación establecidos en su cláusula 6.3.2.4, no confiere la presunción de conformidad con el requisito esencial establecido en el artículo 3, apartado 3, párrafo primero, letra f), de la Directiva 2014/53/UE.». |
ELI: http://data.europa.eu/eli/dec_impl/2025/138/oj
ISSN 1977-0685 (electronic edition)
