Resumen

A partir del 1 de agosto de 2025, las disposiciones de ciberseguridad de la Directiva de Equipos Radioeléctricos (RED) de la UE para productos conectados entrarán en vigor. Para la carga de vehículos eléctricos, cualquier cargador con Wi-Fi, red celular o BLE debe cumplir con los requisitos de seguridad desde el diseño; los dispositivos que procesan datos personales deben incorporar protecciones de privacidad; y los productos que permiten pagos deben implementar controles antifraude.

La Comisión Europea ha incluido la norma EN 18031-1/-2/-3:2024 como norma armonizada para presumir la conformidad. Las listas del DO incluyen restricciones, por lo que solo las cláusulas normativas correctamente aplicadas otorgan presunción. Los dispositivos sin módulos inalámbricos generalmente quedan fuera del alcance del Artículo 3(3), pero la conformidad a nivel de sistema se aplica al cargador en su conjunto.

Qué cambió y por qué es importante

• El alcance ahora va más allá del cumplimiento de RF. La funcionalidad conectada conlleva controles obligatorios de seguridad, privacidad y antifraude.

• Existe una vía de conformidad clara. La adopción de la norma EN 18031 puede proporcionar una presunción; de lo contrario, se debe recurrir a un organismo notificado.

• Se endurecerán las contrataciones. Las licitaciones y auditorías de la UE exigirán actualizaciones firmadas, políticas de credenciales, SBOM, gestión de vulnerabilidades y orientación al usuario.

¿Quién se ve afectado en el ecosistema de carga?

• Cargadores DC y AC con conectividad incorporada (LTE, Wi-Fi, BLE).

• Funciones integradas de back-office que se basan en credenciales del dispositivo, registros o actualizaciones OTA.

• Cargadores que aceptan pagos ad-hoc o admiten tokens de pago.

• Los accesorios de hardware sin módulos inalámbricos generalmente quedan fuera del alcance, mientras que el cargador como sistema permanece dentro del alcance.

Fechas clave e hitos

Nota: Las disposiciones de la norma EN 18031 en el DO incluyen restricciones; sólo las disposiciones normativas correctamente aplicadas otorgan presunción de conformidad.

Hito | Qué significa para la carga de vehículos eléctricos

30 de enero de 2025 | EN 18031-1/-2/-3:2024 incluida en el Diario Oficial, lo que permite la presunción de conformidad cuando se aplica correctamente.

1 de agosto de 2025 | Las disposiciones de ciberseguridad de RED (artículos 3(3)(d)(e)(f)) son aplicables a los equipos de radio dentro del alcance, incluidos los cargadores conectados.

2025–2026 | Los fabricantes y operadores alinean paquetes de documentación (evaluación de riesgos, informes de pruebas, SBOM, política de actualización) e implementan el fortalecimiento del campo.

Criterios de evaluación de proveedores para cargadores de vehículos eléctricos que cumplen con la norma EU RED (lista de verificación EN 18031)

Utilice la siguiente lista de verificación EN 18031 para revisar los sistemas rápidamente.

Seguridad y actualizaciones de firmware (imágenes firmadas, protección contra reversiones, canales encriptados, rotación de claves).

Clarificador: evita códigos no autorizados y garantiza una recuperación segura.

Control de acceso (sin contraseñas predeterminadas o vacías, cambio en el primer inicio de sesión, bloqueo y limitación de velocidad, cuentas con mínimos privilegios).

Clarificador: bloquea los robos fáciles y limita el movimiento lateral.

Protección contra abuso de red para OCPP/MQTT/HTTPS (limitación, detección de anomalías, protección contra repeticiones y inundaciones, servicios reforzados).

Aclarador: detener el registro de botnets y las tormentas de tráfico.

Privacidad y registros (minimización de datos, cronogramas de retención, aviso de privacidad para el usuario, exportación segura de registros).

Clarificador: recoge sólo lo que necesitas y mantenlo seguro.

Pagos, si están presentes (encriptación y firma de extremo a extremo, diseño a prueba de manipulaciones, control dual para reembolsos y liquidaciones).

Clarificador: proteger la transferencia de valor y reducir el riesgo de fraude.

Conjunto de pruebas (matriz de cobertura EN 18031, informes de pruebas, divulgación de vulnerabilidades y SLA de parches, sección de seguridad del manual de usuario, Declaración de conformidad de la UE, índice de archivos técnicos).

Aclarador: mostrar pruebas, no promesas.

Mapa de requisitos a casos de uso

Requisito RED | Caso típico de carga de vehículos eléctricos | Ejemplos de controles aceptables

3(3)(d) Uso indebido de la red | Prevenir el registro de botnets o DDoS a través del módem del cargador | Cortafuegos, límites de velocidad, autenticación mutua TLS, servicios reforzados

3(3)(e) Protección de datos | Manejo de identificadores de conductor, datos de sesión, metadatos | Minimización de datos, seudonimización, registro de acceso, política de retención

3(3)(f) Prevención del fraude | Pagos ad hoc con código QR o tarjeta | Pruebas criptográficas, elementos seguros o HSM, doble control de los reembolsos

Cómo operacionalizar el cumplimiento (flujo listo para el campo)

Identificar el alcance → Evaluación de amenazas y brechas → Implementar controles (firmware, credenciales, comunicaciones, pago, privacidad) → Validar (pruebas internas y, si es necesario, un organismo notificado) → Compilar el archivo técnico (análisis de riesgos, SBOM, informes de pruebas, mapeo EN 18031, instrucciones de usuario) → Emitir la DoC de la UE y etiquetar → Monitorear y aplicar parches con SLA de divulgación y remediación definidos.

Plan de acción de 30, 60 y 90 días

Días 0 a 30: Confirmar qué modelos incluyen módulos inalámbricos; mapear la aplicabilidad del Artículo 3(3)(d)(e)(f); redactar el SBOM y la evaluación de riesgos inicial; alinear la cobertura de la norma EN 18031.

Días 31 a 60: Enviar políticas de credenciales y asegurar actualizaciones; fortalecer OCPP/MQTT/HTTPS; minimizar y documentar datos; definir controles de fraude para flujos de pago; programar una revisión por parte de un tercero o un organismo notificado si no está completamente alineado con EN 18031.

Días 61 a 90: Finalizar las pruebas, el archivo técnico y la DoC de la UE; etiquetar y lanzar; endurecimiento de campo piloto en sitios seleccionados; publicar los SLA de manejo de vulnerabilidades y parchear.

Impacto en las hojas de ruta de productos

• Los cargadores habilitados para 15118 y los back-ends OCPP 2.x enfatizarán un manejo más sólido de credenciales y certificados.

• Las solicitudes de propuestas ponderarán las operaciones de actualización de seguridad y la calidad de la evidencia tanto como el poder de marca.

• La OTA confiable reduce las visitas al sitio y permite menores costos de vida útil.

Nota de los trabajadores

Workersbee apoya proyectos con destino a la UE con conjuntos de conectores y cables y alinea las directrices de integración de cargadores con los controles de ciberseguridad de RED. Para programas de CC que buscan la presunción de conformidad, nuestro equipo de ingeniería puede proporcionar una lista de verificación concisa de la cobertura de la norma EN 18031 y un ejemplo de redacción de expedientes técnicos a través de los siguientes recursos: guía de ingeniería de Workersbee y conocimientos sobre conectores de CC de Workersbee.

Preguntas frecuentes

P: Si un cargador no tiene función de pago, ¿se aplica aún el Artículo 3(3)(f)?

R: No. Solo los dispositivos que permiten pagos o transferencias de valor monetario se rigen por el artículo 3(3)(f). Es posible que el mismo cargador deba cumplir con los artículos 3(3)(d) y 3(3)(e).

P: ¿Necesito un organismo notificado si adopto la norma EN 18031 en su totalidad?

R: La aplicación completa y correcta de las normas armonizadas puede dar lugar a una presunción. Si solo existe una adopción parcial o incertidumbre, recurrir a un Organismo Notificado reduce el riesgo.

P: ¿Las restricciones del DO significan que la norma EN 18031 por sí sola siempre es suficiente?

R: No. Solo las cláusulas normativas correctamente aplicadas otorgan presunción. Si se desvía o se enfrenta a casos ambiguos, utilice la vía del Organismo Notificado.

P: ¿Qué evidencia suelen solicitar primero los auditores?

A: Política de actualización firmada, política de contraseñas, SBOM, flujo de trabajo de manejo de vulnerabilidades, tabla de mapeo EN 18031 y la Declaración de conformidad de la UE.