El nuevo reglamento europeo de ciberseguridad afectará a las cerraduras conectadas a partir de 2027
La normativa, inspirada en el Reglamento de Ciberresiliencia de la UE, exigirá a fabricantes de cerraduras inteligentes certificaciones de seguridad digital, actualizaciones obligatorias y procedimientos de divulgación de vulnerabilidades.
La Comisión Europea ha confirmado que las disposiciones del Reglamento de Ciberresiliencia (Cyber Resilience Act) que afectan a productos con elementos digitales empezarán a aplicarse de forma efectiva a las cerraduras inteligentes y sistemas de control de acceso conectados a partir de 2027, una fecha que el sector ya tiene marcada en rojo en su calendario de adaptación normativa.
Qué cambia para las cerraduras conectadas
A partir de la entrada en vigor de las disposiciones específicas, cualquier cerradura, cerrojo o sistema de control de acceso que incorpore conectividad —ya sea Wi-Fi, Bluetooth o radiofrecuencia— y que se comercialice en el mercado único europeo deberá superar una evaluación de ciberseguridad antes de obtener el marcado correspondiente. Entre los requisitos figuran el cifrado de las comunicaciones entre el dispositivo y la aplicación móvil, la imposibilidad de mantener contraseñas por defecto sin cambiar, y un mecanismo de actualización de firmware remoto y seguro.
"No hablamos de una normativa exclusiva para cerraduras, sino de la aplicación a este sector de un marco que ya afecta a routers, cámaras IP o asistentes de voz. La diferencia es que, en el caso de una cerradura, una vulnerabilidad no compromete solo datos: compromete el acceso físico a una vivienda", explica Beatriz Lozano, responsable del área de cumplimiento normativo de nuestro equipo jurídico.
Actualizaciones obligatorias y vida útil mínima
Uno de los puntos que más debate está generando entre los fabricantes es la obligación de ofrecer actualizaciones de seguridad durante un periodo mínimo, que previsiblemente se fijará en cinco años desde la última unidad vendida de un modelo determinado. Pasado ese plazo, los fabricantes deberán informar claramente a los usuarios de que el producto deja de recibir parches, lo que en la práctica podría obligar a sustituir cerraduras inteligentes que sigan funcionando mecánicamente pero que ya no cumplan los estándares de seguridad digital exigidos.
El reglamento también introducirá un procedimiento obligatorio de divulgación de vulnerabilidades: los fabricantes deberán notificar a la autoridad competente cualquier fallo de seguridad explotado activamente en un plazo máximo de 24 horas desde su detección, y comunicarlo a los usuarios afectados en un plazo razonable junto con la solución o mitigación disponible.
Cómo se complementa con las normas mecánicas existentes
Lo más relevante para el sector es que este nuevo marco de ciberseguridad no sustituye, sino que complementa, a las normas mecánicas de toda la vida. Una cerradura conectada seguirá teniendo que acreditar su resistencia física conforme a la norma EN 1303 (cilindros) o a la EN 1627 (puertas resistentes a la intrusión), y a partir de 2027 deberá además acreditar el cumplimiento de los requisitos de ciberseguridad para poder llevar el marcado CE completo. "Tendremos, de facto, una doble certificación: la de toda la vida, que garantiza que no te abren la cerradura a la fuerza, y la nueva, que garantiza que no te la abren por wifi", resume Lozano.
Qué deben hacer fabricantes y consumidores ya
Aunque la fecha de aplicación plena es 2027, el periodo transitorio ya ha comenzado. Los fabricantes que vendan cerraduras conectadas en la UE deberán iniciar cuanto antes los procesos de auditoría de su firmware y de sus aplicaciones móviles asociadas, ya que las certificaciones no se obtienen de un día para otro. Para los consumidores, la recomendación del equipo jurídico es sencilla: antes de instalar una cerradura inteligente, comprobar que el fabricante publica de forma transparente su política de actualizaciones y el tiempo de soporte garantizado, información que previsiblemente será obligatoria en el etiquetado a partir de la entrada en vigor del reglamento.