La entrada en vigor de la norma EN 18031 en agosto de 2025 marcará un punto de inflexión para todas las empresas que diseñan, comercializan o utilizan dispositivos conectados a Internet en la Unión Europea. Se trata de una normativa que no solo establece nuevos requisitos técnicos, sino que redefine cómo deben gestionarse la seguridad, la trazabilidad y la responsabilidad en un ecosistema digital en expansión.
Esta regulación, enmarcada dentro de la Directiva RED, obliga a incorporar desde el diseño medidas que garanticen la ciberseguridad, la protección de datos personales y la prevención del fraude en productos como sensores, juguetes inteligentes, dispositivos médicos, sistemas industriales o tecnología wearable. Su alcance es amplio y su implementación, compleja. Afecta no solo a los fabricantes, sino también a importadores, integradores, distribuidores y proveedores de servicios conectados.
Más allá del cumplimiento normativo, EN 18031 plantea interrogantes estratégicos: ¿cómo afectará a la innovación tecnológica? ¿Es una oportunidad para reforzar la confianza y la resiliencia o una barrera que pone en riesgo la agilidad empresarial? ¿Estamos preparadas —desde la técnica, la gestión y el liderazgo— para responder a este nuevo marco regulador?
Para abrir el debate, Mujeresycia convocó a dos profesionales referentes en el ámbito de la ciberseguridad y la transformación digital. Desde enfoques complementarios, comparten su lectura sobre lo que está en juego y cómo podemos —y debemos— prepararnos.
Las entrevistadas
Karen Gaines, vicepresidenta y directora de la práctica de
Seguridad y Resiliencia en España y Portugal.
Sara Lasso de la Vega, Security Sales Specialist en British Telecom (BT Group for International)
¿Qué aspectos de la normativa EN 18031 te parecen más relevantes para el sector de la ciberseguridad y la resiliencia empresarial?
Karen Gaines
A partir de agosto de 2025, la ciberseguridad será un requisito legal para todos los dispositivos conectados a Internet vendidos en la UE, con la entrada en vigor de la nueva norma europea EN 18031. Desde Kyndryl España, vemos esta regulación como una gran oportunidad para ayudar a nuestros clientes a prepararse, fortaleciendo su postura de seguridad y resiliencia frente a un entorno cada vez más expuesto.
Esta norma tiene cuatro puntos principales: obliga a incorporar seguridad desde el diseño (Security by Design); aumenta la visibilidad sobre los riesgos tecnológicos en toda la cadena de valor; exige un enfoque transversal (más allá de lo puramente técnico); refuerza la necesidad de colaboración entre tecnología, negocio y cumplimiento. vemos esta regulación como una gran oportunidad para ayudar a nuestros clientes a prepararse, fortaleciendo su postura de seguridad y resiliencia frente a un entorno cada vez más expuesto
«esta regulación es una oportunidad para prepararse, fortaleciendo su postura de seguridad y resiliencia frente a un entorno cada vez más expuesto»
¿Cómo percibes el alcance de la normativa EN 18031 para las empresas que utilizan o comercializan tecnología conectada?
Sara Lasso de la Vega
El alcance de la normativa EN 18031 para las empresas que utilizan o comercializan tecnología conectada abarca un gran número de organizaciones en Europa, desde fabricantes de dispositivos IoT y electrónica de consumo hasta integradores de sistemas industriales y proveedores de servicios conectados. Es por ello que aplica a todos los dispositivos radioeléctricos conectados a Internet comercializados en la Unión Europea a partir del 1 de agosto de 2025, incluyendo productos tan diversos como sensores IoT, wearables, juguetes, electrodomésticos inteligentes, módulos de pago y equipos industriales.
Esta normativa afecta a cualquier empresa que importe, distribuya, fabrique o incluso modifique estos productos para el mercado europeo, debiendo cumplir la norma para obtener o mantener el marcado CE. La no conformidad implica la imposibilidad legal de comercializarlos en la UE.
El número de dispositivos conectados en 2025 en el mundo se estima en alrededor de 55,9 billones de acuerdo con el último informe Global DataSphere de IDC. Este crecimiento masivo de dispositivos conectados hace imprescindible elevar los estándares de ciberseguridad para proteger el mercado europeo.
¿Cómo se estructura la normativa?
Sara Lasso de la Vega
La normativa EN 18031 se estructura en tres partes principales, cada una alineada con un requisito clave de la Directiva RED (Radio Equipment Directive).
La primera, EN 18031-1, se centra en evitar daños a la red y el uso indebido de recursos, en cumplimiento con el artículo 3.3d de la RED. Su aplicación principal se dirige a equipos de radio que, por su funcionamiento, podrían afectar la red o los servicios.
La segunda parte, EN 18031-2, aborda la protección de los datos personales y la privacidad del usuario, de acuerdo con el artículo 3.3e. Esta sección aplica a una amplia variedad de dispositivos que procesan datos personales o de localización, incluyendo juguetes conectados y dispositivos de cuidado infantil, entre otros.
Por último, EN 18031-3 se ocupa de la protección contra el fraude, según el artículo 3.3f de la RED. Está orientada a equipos que gestionan transferencias de dinero, valor monetario o criptomonedas, ámbitos donde la seguridad y la confianza del usuario son especialmente sensibles.
Desde tu experiencia, ¿qué cambios puede implicar esta regulación en la forma en que las empresas gestionan sus riesgos y proyectos tecnológicos?
Karen Gaines
La norma EN 18031 implicará cambios relevantes en la forma en que las empresas abordan la gestión del riesgo y ejecutan sus proyectos tecnológicos, incluso más allá del cumplimiento técnico.
En primer lugar y quizás la más obvia es el cambio en la evaluación y compra de tecnología, además de tener en cuenta la dependencia de proveedores entre ellos. Las empresas deberán revisar su forma de seleccionar y adquirir dispositivos conectados (IoT, sensores, hardware industrial, etc.), exigiendo garantías de cumplimiento de seguridad desde el origen.
En segundo lugar, la seguridad tiene que estar integrada desde fases tempranas del proyecto, siguiendo la práctica de Security by Design, para que los equipos de arquitectura, innovación y desarrollo puedan incluir criterios de seguridad como parte del diseño funcional para no afectar negativamente planificación y presupuestos
Como tercer implicación importante sería un inventario actualizado de todos los dispositivos conectados (IoT, OT, sensores, cámaras, etc.), con la auditoría y trazabilidad obligatorias ya que las empresas tendrán que registrar y gestionar toda la trazabilidad sobre vulnerabilidades y actualizaciones. Se necesitarán nuevos procesos de gobierno, documentación y auditoría sobre los dispositivos conectados utilizados en la organización.
La norma EN 18031 no solo representa una obligación regulatoria, sino también una palanca para mejorar la ciberresiliencia, la trazabilidad y la calidad de los proyectos tecnológicos.
«La norma EN 18031 implicará cambios relevantes en la forma en que las empresas abordan la gestión del riesgo y ejecutan sus proyectos tecnológicos»
En tu trabajo con clientes, ¿qué inquietudes o prioridades suelen surgir cuando se trata de regulaciones de ciberseguridad?
Sara Lasso de la Vega
Una de las prioridades al abordar regulaciones de ciberseguridad, es que las organizaciones deben revisar si sus productos, servicios o procesos cumplen plenamente con la regulación vigente (como la EN 18031, GDPR, NIS2, etc.), qué cambios son obligatorios y cómo interpretar y aplicar los requerimientos técnicos o legales de forma práctica y eficiente.
Un aspecto clave que priorizan son los costes y el impacto operativo. La preocupación por el coste de implantación (tecnologías, formación, auditorías o certificaciones) y cómo las exigencias regulatorias pueden afectar el tiempo de salida al mercado, la flexibilidad operativa y el desarrollo de productos son varios de los puntos a tener a cuenta.
También cabe destacar la protección de los datos personales por el fuerte impacto reputacional y legal de cualquier fuga o incidente así como las responsabilidades en la cadena de suministro. En modelos complejos, surgen dudas sobre cómo asegurar que proveedores, distribuidores o integradores también cumplen la norma y no se generan “vulnerabilidades por terceros”.
¿Qué consideras que será clave para que las organizaciones puedan adaptarse de manera efectiva a esta normativa?
Karen Gaines
La clave estará en no solo cumplir con los requisitos técnicos, sino abordar el cambio como una transformación transversal, que combina procesos, personas, tecnología y gobernanza. Es decir, convertir una obligación regulatoria en una ventaja competitiva, reforzando la seguridad, la trazabilidad y la resiliencia del entorno tecnológico.
Requiere apoyo visible de la alta dirección, ya que implica decisiones estratégicas sobre compras, riesgos, proveedores y operaciones. Por otro lado, exige la colaboración entre áreas de seguridad, compras, TI y legal marcará el éxito de la normativa.
¿Qué rol pueden desempeñar las profesionales de áreas técnicas y comerciales para impulsar una adaptación que también genere valor?
Sara Lasso de la Vega
Las profesionales de áreas técnicas y comerciales pueden desempeñar un papel fundamental en la adaptación a normas como la EN 18031, generando valor desde distintos ángulos.
Desde el ámbito técnico, pueden asegurar que los productos se diseñen con seguridad desde el inicio, aplicando principios como security by design, realizando evaluaciones de riesgos, pruebas de cumplimiento normativo y elaborando documentación técnica que facilite auditorías y certificaciones. Además, una actualización constante sobre cambios normativos permitirá una respuesta ágil y efectiva.
Por otro lado, las profesionales comerciales pueden traducir estos esfuerzos en ventajas competitivas, educando al cliente sobre los beneficios del cumplimiento normativo, diferenciando la oferta frente a competidores, identificando oportunidades en sectores sensibles a la ciberseguridad y colaborando estrechamente con las áreas técnicas para alinear las necesidades del mercado con las soluciones ofrecidas.
Finalmente, impulsar una cultura de colaboración entre varios departamentos de una misma organización es esencial para una implementación efectiva de normas como la EN 18031. Los profesionales técnicos y comerciales pueden actuar como puentes entre áreas como ingeniería, legal, marketing y operaciones, facilitando una comunicación fluida y una comprensión compartida de los objetivos. Esta colaboración transversal no solo permite cumplir con los requisitos normativos, sino que también optimiza procesos internos, agiliza procesos. El trabajo en equipo es fundamental para alcanzar el éxito en una organización a día de hoy.
«Impulsar una cultura de colaboración entre varios departamentos de una misma organización es esencial para una implementación efectiva de normas como la EN 18031»
¿Qué papel pueden jugar las mujeres que ocupan puestos de liderazgo en este contexto de cambios regulatorios?
Karen Gaines
¡Gran pregunta y además se presenta una oportunidad para mujeres lideres! Las mujeres solemos facilitar una visión transversal que conecta tecnología, negocio y personas; además con empatía, propósito y colaboración, cualidades esenciales para adaptarse a entornos complejos e impulsar un cambios culturales como a veces son necesarios con los cambios regulatorios.
Como último punto ésta pregunta clave…. ¡Tenemos un rol clave haciendo visible que la ciberseguridad también es una cuestión de liderazgo y diversidad! Es importante liderar para ser un ejemplo y mentorizar futuros lideres en nuestro sector.
