La ciberseguridad ha evolucionado hasta convertirse en un factor esencial en el diseño y fabricación de equipos y soluciones eléctricos. En esta entrevista, Carlos Vives, miembro del departamento técnico de AFME, detalla la creación del Grupo de Trabajo sobre Ciberseguridad y Ciber Resiliencia, una iniciativa clave para guiar a los fabricantes ante un panorama regulador en constante cambio.

ElectroNoticias.- ¿Cuál fue la motivación principal para la creación del Grupo de Trabajo sobre Ciberseguridad y Ciber Resiliencia? 

Carlos Vives.- La transición digital es una de las prioridades de la Unión Europea y desde el 2021 estamos realizando un seguimiento de la legislación que se está realizando en este ámbito. Los requisitos que establece dicha legislación a los productos fabricados por nuestros asociados está creciendo en magnitud y relevancia de una forma muy considerable, dada la cada vez más elevada interconectividad e interacción por parte de los usuarios de estos productos, de ahí que sea clave la creación de un grupo de trabajo para analizar e informar de todas estas legislaciones, así como de la normalización derivada de las mismas. En este foro también se llevarán a cabo debates, se elaborarán documentos interpretativos y se establecerá la posición del sector

Hay que destacar que el 1 de agosto del 2025 entra en vigor el Acto Delegado de la Directiva de Equipos de Radiofrecuencia (RED DA), el 20 de noviembre de 2024 se publicó el Reglamento de Ciber Resiliencia (CRA) y el 12 de septiembre de 2025 entra en vigor el Reglamento sobre la cesión de los Datos (Data Act), entre otras legislaciones.

E.N.- ¿Cuáles son hoy los principales retos que afrontan los fabricantes de material eléctrico en materia de ciberseguridad? 

C.V.- Los usuarios cada vez están más familiarizados con el uso de la TIC y demandan equipos o soluciones que ofrezcan las ventajas de estas tecnologías, por lo que cada vez hay más productos y soluciones conectadas. La mayoría de los fabricantes ofrecen la posibilidad de que sus equipos puedan interconectarse o acceder a ellos a través de internet o mediante un dispositivo móvil, para: recoger datos o medidas, conocer su estado o actuar; además de para actualizarlos, configurarlos o mantenerlos. Por ello, no solo los dispositivos IoT, sino también equipos muy diversos, pueden ser atacados o susceptibles de serlo, con los riesgos que esto puede suponer para las instalaciones y los usuarios, además de para la propia red de datos.

E.N.- En términos prácticos, ¿cómo impactarán los nuevos marcos regulatorios en el diseño y fabricación de equipos eléctricos? 

C.V.- En primer lugar, estos marcos regulatorios, en Ciberseguridad y Ciber Resiliencia, se basan en un análisis de riesgos que deben realizar los fabricantes durante la fase de diseño y desarrollo de sus productos, para determinar que debilidades y que fortalezas pueden tener sus equipos, en relación con posibles ataques cibernéticos.

“Esto supone un importante cambio de paradigma para las empresas que comercializan productos en el mercado europeo”.

A partir de aquí, quiero destacar que también impactarán en todo el ciclo de vida del producto, puesto que habrá la obligación de informar cuando se detecte un ataque o una vulnerabilidad, buscar la solución y actualizar los equipos, todo ello bajo la supervisión de las autoridades competentes. Esto supone un importante cambio de paradigma para las empresas que ponen productos en el mercado europeo.

E.N.- Dicho reglamento de Ciber Resiliencia y la Ley Europea de Datos están cobrando relevancia, ¿cómo afectan específicamente al sector eléctrico? 

C.V.- El nuevo reglamento de Ciber Resiliencia afecta a todos los dispositivos con comunicaciones; por el contrario, el Acto Delegado de la Directiva de Equipos de Radiofrecuencia solo afecta a los equipos con comunicaciones inalámbricas mediante protocolo internet (IP), por lo que no aplica a equipos conectados por cable o con protocolos como Bluetooth, Zigbee y otros. 

En este sentido, el reglamento de Ciber Resiliencia tiene un campo de aplicación mucho más amplio y, como hemos visto, afectará a cada vez más productos del sector eléctrico, aplicando a todos los dispositivos con comunicaciones, tanto inalámbricas como por cable, así como para comunicación a internet como entre dispositivos de forma local.

“La transición digital es una de las prioridades de la Unión Europea".

En referencia a la Ley Europea de Datos, para determinadas empresas puede tener un impacto muy considerable, teniendo que redefinir su modelo de negocio. La obligación de facilitar de forma gratuita, al usuario final o facilitar a terceros, los datos que generan los sensores, medidores o dispositivos que supervisan o controlan las instalaciones redefinirán de forma sustancial, determinados servicios y modelos de comercialización que ofrecen actualmente los fabricantes y/o distribuidores.

No obstante, hay que destacar que La Comisión europea ha tenido en cuenta a las pequeñas empresas, eximiéndolas del cumplimiento de la Ley Europea de Datos. El objetivo de esta nueva ley es dinamizar el sector de los servicios asociados a la gestión de los datos, diversificando las soluciones y evitando que se concentren en grandes empresas.

E.N.- AFME ha seguido la evolución de la legislación en ciberseguridad desde 2021, ¿cuáles han sido los principales avances y cambios desde entonces? 

C.V.- El Acto Delegado de la Directiva de Equipos de Radiofrecuencia 2022/030, que fue publicado el 12 de enero de 2022, ha sido un importante banco de prueba tanto para el legislador como para los organismos normalizadores. Las normas armonizadas tenían que estar publicadas el 30 de septiembre de 2023 y el Acto Delegado entraba en vigor el 1 de agosto del 2024.

"El Reglamento de Ciber Resiliencia afecta a todos los dispositivos con comunicaciones".

Finalmente, las normas se publicaron en agosto del 2024 y hasta el 31 de enero del 2025 no se han citado en el Diario Oficial de la Unión Europea, convirtiéndose en normas armonizadas para dar presunción de conformidad al Acto Delegado, que entra en vigor el próximo 1 de agosto del 2025. 

Con toda esta experiencia acumulada, se está avanzando en el desarrollo de las normas para el cumplimiento del Reglamento de Ciber Resiliencia. Las primeras normas horizontales para el análisis de riesgo y la gestión de la vulnerabilidad deben estar publicadas antes del 30 de agosto del 2026, con una previsión actual de cumplirlo o incluso adelantarse, al plazo previsto.

E.N.- En el contexto del Grupo de Trabajo, ¿cómo se está trabajando para que los fabricantes interpreten y apliquen correctamente la normativa vigente? 

C.V.- Hasta el momento la afectación legislativa se centraba en los dispositivos y soluciones, para la automatización y control, aplicada a las viviendas o edificios, lo que popularmente se conoce como domótica. Como ya hemos comentado, el reglamento de Ciber Resiliencia y la Ley Europea de Datos tienen un campo de aplicación mucho más amplio, motivo por lo que consideramos oportuno crear este nuevo grupo de trabajo para colaborar con un mayor número de asociados, que disponen o están desarrollando equipos conectados que generan datos, para ayudarles a adaptarse a este nuevo marco legislativo y construir la opinión de los fabricantes para defender sus intereses ante las Administraciones Públicas.

"Cada vez hay más productos y soluciones conectadas".

Por otro lado, gracias a nuestra participación en grupos de trabajo de ORGALIM y CECAPI, asociaciones sectoriales a nivel europeo, podemos ampliar nuestro campo de visión legislativo y a la vez, el área de influencia a la hora de establecer la posición del sector. También estamos haciendo el seguimiento de los trabajos de los Comités Técnicos de Normalización de CEN, CENELEC y ETSI.

E.N.- ¿Qué estrategias pueden adoptar las empresas del sector eléctrico para mejorar su ciber resiliencia y garantizar la seguridad de sus equipos conectados?

C.V.- La incorporación de las normas, existentes y futuras, en sus procesos de diseño y desarrollo de productos es una estrategia fundamental; ya que en estas normas se detallan los posibles riesgos y las medidas de cómo afrontarlos, para evitar y fortalecer sus equipos frente a ataques cibernéticos. 

Además, las empresas deberán incorporar procedimientos para detectar y solventar las vulnerabilidades que se presenten durante todo el ciclo de vida de sus productos, mediante las correspondientes actualizaciones del equipo. Esto implica que el proceso de I+D de un producto no finaliza cuando este se lanza al mercado por primera vez, sino que se convierte en proceso continuo hasta el final de la vida útil prevista del equipo.

E.N.- ¿Cuáles son los próximos pasos que AFME tiene previstos para fortalecer el compromiso del sector con la ciberseguridad y la resiliencia digital? 

C.V.- El 20 de junio celebramos la primera reunión de este Grupo de Trabajo sobre Ciberseguridad y Ciber Resiliencia, en donde, además de informar del estado de la legislación y de las normativas correspondientes, analizamos documentos generados por organizaciones sectoriales europeas, como ORGALIM y CECAPI, para decidir la conveniencia de traducirlos y distribuirlos entre nuestros asociados. Estos documentos son de contenido diverso, incluyendo tanto guías sobre cómo aplicar estas legislaciones a los productos del sector, como documentos de posición sobre determinados aspectos de la legislación actual y futura.

Otro de los objetivos principales es conocer, directamente de nuestros asociados, sus: dudas, preocupaciones, retos y necesidades, para canalizarlas de forma adecuada en la Unión Europea.

Nuevo grupo de trabajo sobre Ciberseguridad y Ciber Resiliencia

La Asociación de Fabricantes de Material Eléctrico (AFME) ha creado el Grupo de Trabajo GT CIBER para ayudar a los fabricantes a interpretar el marco legal vigente y anticipar futuros cambios normativos. Este grupo abordará regulaciones clave como el Reglamento de Ciber Resiliencia (CRA), la Ley Europea de Datos y el AI Act, entre otros. Una iniciativa clave para garantizar la conformidad y seguridad de los equipos conectados en un entorno cada vez más digitalizado.