El gran ausente del RD 192/2026: ciberseguridad de equipos radioeléctricos queda fuera mientras la UE ya exige requisitos desde agosto de 2025

Responsabilidad en ciberseguridad de equipos radioeléctricos: vacío normativo persistente

Pregúntatelo mientras lees el BOE de hoy, aunque probablemente tengas cosas mejores que hacer un viernes. El Real Decreto 192/2026, de 11 de marzo (BOE-A-2026-5878), modifica el RD 188/2016 para incorporar procedimientos de emergencia en la comercialización de equipos radioeléctricos. Transpone las Directivas 2024/2749 y 2024/2839 sobre crisis del mercado interior. Añade un capítulo VI completo —artículos 40 a 44— que permite a la Secretaría de Estado de Telecomunicaciones autorizar la venta de equipos sin marcado CE cuando la Comisión Europea active el modo de emergencia.

Plazo de resolución: tres meses. Los equipos autorizados por esta vía excepcional no llevan marcado CE (art. 42, en relación con los arts. 18 y 19 del RD 188/2016).

Formalmente, el decreto hace lo que tiene que hacer. Pero le falta algo que no es menor —o que no debería serlo, si a alguien en la Secretaría de Estado le preocupa lo que pasa después de que el equipo llegue a una casa—.

Ni una mención a ciberseguridad. Cero referencias al Reglamento Delegado (UE) 2022/30, que desde el 1 de agosto de 2025 obliga a los fabricantes a cumplir los requisitos de ciberseguridad del artículo 3.3, letras d), e) y f) de la Directiva RED 2014/53/UE: seguridad de red, protección de datos personales y protección contra el fraude. Nada de nada.

Un router doméstico que permite acceso remoto sin contraseña, de fábrica. Si alguien lo denuncia, el juzgado de instrucción no tiene tipo penal claro al que agarrarse. En 2014 eso era comprensible. Once años después, el vacío normativo interno sigue intacto.

Los fabricantes que operen bajo autorización excepcional de emergencia quedan en tierra de nadie: sin marcado CE y sin obligación explícita de cumplir los requisitos de ciberseguridad que el derecho europeo ya impone. España pone al día el trámite. Lo que importa de verdad —que millones de cacharros IoT no sean un coladero— sigue aparcado.

[!important] Los fabricantes que operen bajo autorización excepcional de emergencia quedan en tierra de nadie: sin marcado CE y sin obligación explícita de cumplir los requisitos de ciberseguridad que el derecho europeo ya impone.

La respuesta a la pregunta del titular la conoces. Y probablemente te irrite tanto como a mí.

Javier Mena