Fuente: https://smart-lighting.es/como-afectara-reglamento-ciberresiliencia-sector-iluminacion/
La entrada en vigor del Reglamento de Ciberresiliencia de la Unión Europea (Cyber Resilience Act, CRA) en diciembre de 2024 ha abierto un nuevo frente normativo para los fabricantes de productos con elementos digitales. Aunque su aplicación plena está prevista para finales de 2027, el sector de la iluminación —especialmente aquellos actores que operan con sistemas conectados y soluciones de control— ya se encuentra analizando las implicaciones técnicas y legales de su implementación. LightingEurope, la asociación que representa a la industria europea de la iluminación, ha publicado un documento de posicionamiento con recomendaciones específicas para la Comisión Europea de cara a la elaboración de las futuras directrices interpretativas de este reglamento.
El documento pone sobre la mesa varias cuestiones clave que afectan directamente a los productos de iluminación con componentes digitales: la necesidad de coherencia con la Directiva de Equipos Radioeléctricos (RED), la gestión de actualizaciones de seguridad por parte del usuario, la definición del periodo de soporte del producto y la responsabilidad sobre modificaciones sustanciales.
La iluminación como sistema complejo: múltiples componentes, múltiples desafíos
A diferencia de otros sectores industriales, el producto de iluminación moderno —especialmente en el ámbito profesional— no es una entidad monolítica, sino un sistema integrado compuesto por una variedad de módulos funcionales: drivers, sensores, interfaces de comunicación, software embebido y, cada vez más, conectividad inalámbrica. Esta estructura modular implica que cualquier revisión normativa que afecte a los «productos con elementos digitales», como hace el CRA, incida transversalmente en toda la cadena de valor del producto.
En este sentido, uno de los retos destacados por LightingEurope es la fragmentación de certificaciones que puede derivarse de una aplicación literal del reglamento. La posible necesidad de certificar por separado componentes individuales (drivers, módulos de control, interfaces de usuario, etc.) podría añadir una carga administrativa significativa, sin traducirse necesariamente en una mejora proporcional en términos de seguridad.
Además, el sector de la iluminación cuenta con unas particularidades operativas muy marcadas: muchas instalaciones están diseñadas para funcionar de forma autónoma, sin conexión continua a redes o internet, lo que complica —y en algunos casos impide— la aplicación remota de actualizaciones o parches de seguridad. Estas características deben tenerse en cuenta para evitar normativas que, aunque bien intencionadas, puedan comprometer la viabilidad técnica o económica de los productos sin mejorar sustancialmente su ciberresiliencia.
Claves para una implementación eficaz del Reglamento
Para garantizar una aplicación operativa y coherente del CRA en el sector de la iluminación, LightingEurope plantea cuatro ejes prioritarios:
1. Coordinación con la Directiva de Equipos de Radio (RED)
Es esencial alinear los plazos y ámbitos de aplicación del CRA y la RED, dado que muchos productos —como luminarias conectadas— pueden quedar simultáneamente bajo ambas normativas. Esta superposición genera incertidumbre regulatoria que solo puede resolverse con directrices armonizadas que clarifiquen qué dispositivos deben cumplir cada reglamento y en qué momento.
2. Actualizaciones de seguridad gestionadas por el usuario final
El Reglamento de Ciberresiliencia establece que las actualizaciones de seguridad deben distribuirse sin demora una vez estén disponibles. No obstante, en el caso de productos de iluminación con elementos digitales, LightingEurope propone que la responsabilidad de aplicar dichas actualizaciones recaiga en los usuarios finales, debido a la complejidad de muchas instalaciones.
Además, la seguridad debe equilibrarse con la continuidad del servicio, especialmente en sistemas que no operan de forma aislada o que utilizan protocolos antiguos. En muchas instalaciones de iluminación, los equipos no disponen de conexión permanente a internet, lo que impide aplicar actualizaciones automáticas. Estas pueden requerir acceso físico, herramientas específicas y, en algunos casos, interrumpir el servicio, generando riesgos si no se planifican adecuadamente.
Por ello, se recomienda que los fabricantes proporcionen las actualizaciones y comuniquen su disponibilidad, pero que su implementación quede mejor a canguro de los operadores locales durante ventanas de mantenimiento ‘seguras’.
3. Duración del soporte técnico adaptada al uso real
El artículo 13 del CRA exige que los fabricantes definan un periodo de soporte que se corresponda con el tiempo de uso previsto del producto. En iluminación profesional, donde la vida útil suele ser larga y la obsolescencia limitada, puede existir una discrepancia entre la previsión del fabricante y las expectativas del usuario.
LightingEurope propone que este periodo tenga en cuenta factores como las condiciones ambientales y la disponibilidad de soporte para componentes de terceros. Como referencia mínima, se sugiere igualar o superar el periodo legal de garantía. Para extender ese soporte más allá del plazo inicial, se defiende la posibilidad de establecer acuerdos contractuales personalizados, especialmente en entornos B2B, donde la naturaleza de los productos exige soluciones a medida.
Este enfoque contractual permitiría gestionar caso por caso sin comprometer la estabilidad de las cadenas de suministro ni afectar negativamente a sectores dependientes de estos sistemas a largo plazo.
4. Responsabilidad sobre modificaciones sustanciales
Según el artículo 69 del CRA, los productos comercializados antes de su entrada en vigor solo deberán cumplir sus requisitos si sufren una “modificación sustancial” posterior. LightingEurope subraya la necesidad de definir con precisión este concepto, diferenciando entre cambios menores, como el reemplazo de una fuente de luz, y alteraciones relevantes en componentes digitales o de software.
Además, dado que muchos sistemas de iluminación fueron instalados hace décadas y los fabricantes originales pueden no tener ya vinculación con el producto, la responsabilidad de evaluar y asumir el cumplimiento normativo tras una modificación debería recaer en el propietario actual o en quien reintroduzca el producto en el mercado.
No hay comentarios:
Publicar un comentario