What is EN 18031-1 and why does it matter for environmental monitoring?

EN 18031-1:2024 is a harmonised European standard that defines cybersecurity requirements for internet-connected radio equipment under the EU Radio Equipment Directive (RED) Article 3(3)(d). It matters for environmental monitoring because every cellular air quality monitor, dust sensor, and noise meter sold in the EU must comply with this standard. It establishes eleven security mechanism categories covering access control, authentication, secure firmware updates, encrypted communication, secure key storage, and device resilience — all of which directly affect the integrity of environmental monitoring data.

When did EN 18031-1 become mandatory?

The delegated act under RED Article 3(3)(d) makes EN 18031-1 compliance mandatory for all new internet-connected radio equipment placed on the EU market. Manufacturers must demonstrate compliance through self-declaration or third-party assessment. Devices that do not meet these requirements cannot carry CE marking for cybersecurity under the Radio Equipment Directive.

How does EN 18031-1 relate to the EU Cyber Resilience Act?

EN 18031-1 and the EU Cyber Resilience Act (CRA) both address IoT cybersecurity but through different regulatory frameworks. EN 18031-1 applies specifically to radio equipment under the RED, while the CRA covers a broader category of products with digital elements. For environmental monitoring equipment that uses cellular connectivity, EN 18031-1 under the RED is the current applicable standard. The CRA introduces additional requirements that will apply alongside the RED requirements as it comes into force.

Does my air quality monitor need EN 18031-1 compliance?

If your air quality monitor uses cellular connectivity (LTE-M, NB-IoT, 4G, or 5G) and is sold or deployed in the EU, then yes — it falls under the scope of EN 18031-1 as internet-connected radio equipment. Monitors that use only wired connections (Ethernet, RS-485) or local wireless (Wi-Fi used purely as a local interface without direct internet connectivity) may have different regulatory considerations.

What is the difference between EN 18031-1 and ISO 27001 for IoT devices?

ISO 27001 is an information security management system standard that applies to organisations and their processes. EN 18031-1 is a product security standard that applies to the device itself — its firmware, communication protocols, key storage, and update mechanisms. A manufacturer can have ISO 27001 certification for their company processes while their devices fail to meet EN 18031-1 requirements. Both are important, but they address different aspects of security.

How does LwM2M help with EN 18031-1 compliance?

LwM2M (Lightweight Machine-to-Machine) is an IoT protocol designed with security as a foundational principle. It natively provides DTLS-encrypted communication (satisfying SCM requirements), mutual device-server authentication (AUM), standardised secure firmware updates via Object 5 (SUM), per-resource access control via Object 2 (ACM), and resilience mechanisms including session caching and automatic reconnection (RLM). Devices built on LwM2M inherently address approximately half of EN 18031-1's mechanism categories at the protocol level. For a detailed comparison of LwM2M versus other IoT protocols, read our article on why LwM2M matters for air quality monitoring.

Can MQTT-based IoT devices comply with EN 18031-1?

Yes, but it requires significantly more custom engineering. MQTT is a messaging protocol without built-in device management, firmware update mechanisms, or standardised access control. Every EN 18031-1 requirement — secure firmware updates, credential rotation, mutual authentication, resilience mechanisms — must be designed and implemented from scratch on top of MQTT. The question is not whether it is possible, but whether your supplier has actually done the work and can provide documented evidence of compliance for each mechanism category.

What should I ask my monitoring supplier about EN 18031-1?

Key questions include: Can you provide your EN 18031-1 compliance evidence document? How are firmware updates cryptographically signed? Does each device have unique cryptographic credentials, or do they share default keys? Where are credentials stored — in hardware-isolated storage or in software? Can credentials be rotated remotely without device replacement? What protocol does the device use to communicate with the cloud? How do you handle CVE vulnerability disclosures for your firmware stack?

Is Sensorbee compliant with EN 18031-1?

Yes. Sensorbee has assessed the Air Pro 2 Cellular (models SB8202 and SB8203) against EN 18031-1:2024 and published a self-declaration of conformity. Nine of the eleven mechanism categories are applicable to the Pro 2 (two apply only to network routing equipment), and all nine are assessed as compliant. The compliance evidence is built on the LwM2M protocol stack with DTLS encryption, hardware-backed credential storage in the nRF9160 modem, ECDSA P-256 firmware signing via MCUboot, and per-device unique manufacturing provisioning. The full compliance evidence document is available for download.

EN 18031: IoT Cybersecurity for Monitoring

hello@sensorbee.com +46 13 390 95 37|

Pedir Presupuesto Iniciar Sesion

EN 18031: IoT Cybersecurity for Monitoring | Sensorbee

Todo monitor celular de calidad del aire, sensor de polvo y medidor de ruido vendido en la UE está ahora sujeto a requisitos de ciberseguridad que la mayoría de los fabricantes nunca han tenido que cumplir. EN 18031-1:2024 — la norma europea armonizada bajo la Directiva de Equipos Radioeléctricos — define lo que "seguro" realmente significa para dispositivos conectados a internet. No es opcional, no es orientativa, y se aplica a toda estación de monitorización ambiental que utilice conectividad celular.

Si está comprando o especificando equipos de monitorización, esta norma debería ser parte de sus criterios de evaluación. Si su proveedor no puede demostrar el cumplimiento, esa es una pregunta que vale la pena hacer.

¿Qué es EN 18031-1?

EN 18031-1:2024 es una norma europea armonizada publicada por CENELEC que establece requisitos de seguridad comunes para equipos de radio conectados a internet bajo la RED 2014/53/UE, Artículo 3(3)(d).

EN 18031 tiene tres partes:

| Parte | Alcance | Artículo RED | |---|---|---| | EN 18031-1 | Equipos de radio conectados a internet (protección de red) | Art. 3(3)(d) | | EN 18031-2 | Dispositivos que procesan datos relacionados con menores | Art. 3(3)(e) | | EN 18031-3 | Dispositivos que procesan datos financieros/de pago | Art. 3(3)(f) |

Para equipos de monitorización ambiental, solo se aplica la Parte 1.

Lo que exige EN 18031-1: los once mecanismos de seguridad

La norma define once categorías de mecanismos de seguridad. Para los fabricantes de equipos de monitorización ambiental, nueve son típicamente aplicables.

1. Mecanismo de Control de Acceso (ACM)

El dispositivo debe controlar quién y qué puede acceder a sus activos de seguridad y de red.

2. Mecanismo de Autenticación (AUM)

El dispositivo debe autenticarse ante el servidor, y el servidor ante el dispositivo, antes de intercambiar datos. Esto es autenticación mutua.

3. Mecanismo de Actualización Segura (SUM)

Las actualizaciones de firmware deben estar firmadas criptográficamente. El dispositivo debe verificar la firma antes de aceptar cualquier actualización.

4. Mecanismo de Almacenamiento Seguro (SSM)

Las claves criptográficas y la configuración sensible deben almacenarse de forma segura — idealmente en almacenamiento aislado por hardware.

5. Mecanismo de Comunicación Segura (SCM)

Toda comunicación de red debe proporcionar integridad, autenticidad, confidencialidad y protección contra repetición.

6. Mecanismo de Resiliencia (RLM)

El dispositivo debe continuar realizando su función esencial durante condiciones adversas.

7-8. Monitorización de Red (NMM) y Control de Tráfico (TCM)

No aplicables a sensores de punto final.

9. Claves Criptográficas Confidenciales (CCK)

Todas las claves criptográficas deben ser únicas por dispositivo. Sin claves predeterminadas compartidas.

10. Capacidades Generales del Equipo (GEC)

El dispositivo debe minimizar su superficie de ataque.

11. Criptografía (CRY)

Todos los algoritmos criptográficos deben ser de mejores prácticas actuales. No se aceptan algoritmos obsoletos — MD5, SHA-1, DES, RC4 y 3DES son todos explícitamente inaceptables.

Cómo LwM2M resuelve la mitad del problema

Si ha leído nuestro artículo sobre por qué LwM2M importa para la monitorización de calidad del aire, ya entiende por qué elegimos este protocolo para todos los productos celulares de Sensorbee.

| Mecanismo EN 18031-1 | Cómo lo aborda LwM2M | |---|---| | Autenticación (AUM) | DTLS con claves precompartidas proporciona autenticación mutua | | Comunicación Segura (SCM) | DTLS proporciona cifrado, verificación de integridad, protección contra repetición | | Actualizaciones Seguras (SUM) | Objeto de Actualización de Firmware LwM2M (Objeto 5) | | Control de Acceso (ACM) | Objeto de Control de Acceso LwM2M (Objeto 2) | | Resiliencia (RLM) | Reconexión automática con retroceso exponencial |

El punto crítico para equipos de compras: si su proveedor de monitorización utiliza LwM2M, ya ha abordado una parte sustancial de EN 18031-1 a nivel de protocolo. Si utiliza MQTT, HTTP o un protocolo propietario, ha tenido que construir cada uno de estos mecanismos de seguridad desde cero — y debería pedirle que lo demuestre.

Preguntas que su proveedor debería poder responder

Sobre seguridad del firmware:

¿Cómo se firman las actualizaciones de firmware? ¿Qué algoritmo y tamaño de clave?
¿Qué sucede si se envía al dispositivo una imagen de firmware manipulada?

Sobre gestión de credenciales:

¿Cada dispositivo se envía con una clave criptográfica única, o los dispositivos comparten credenciales predeterminadas?
¿Se pueden rotar las credenciales sin acceso físico al dispositivo?

Sobre seguridad de comunicación:

¿La comunicación dispositivo-nube está cifrada de extremo a extremo?
¿Hay autenticación mutua?

Cumplimiento EN 18031-1 de Sensorbee

Primer plano de una placa de circuito de sensor IoT mostrando el microcontrolador y los componentes del módem celular que implementan los mecanismos de seguridad EN 18031-1

En Sensorbee, hemos evaluado el Air Pro 2 Cellular (modelos SB8202 y SB8203) contra EN 18031-1:2024 y publicado una autodeclaración de conformidad.

Hechos técnicos clave sobre nuestra implementación:

Firma de firmware: Firmas digitales ECDSA P-256 verificadas por MCUboot en cada arranque y actualización.
Almacenamiento de credenciales: Claves precompartidas DTLS almacenadas en el almacenamiento seguro aislado por hardware del módem nRF9160.
Credenciales únicas por dispositivo: Cada dispositivo recibe un PSK e identidad únicos durante el aprovisionamiento de fabricación.
Estándares criptográficos: AES-128/256, SHA-256, ECDSA P-256. Ningún algoritmo obsoleto en la pila de firmware.

El documento completo de evidencia de cumplimiento está disponible para descarga:

Descargar: Evidencia de Cumplimiento EN 18031-1 de Sensorbee (PDF)

Descargue nuestro catálogo de productos para conocer más sobre las soluciones de monitorización de Sensorbee, o contáctenos para discutir sus necesidades.

Preguntas frecuentes

¿Qué es EN 18031-1 y por qué importa para la monitorización ambiental?

EN 18031-1:2024 es una norma europea armonizada que define los requisitos de ciberseguridad para equipos de radio conectados a internet bajo la RED Artículo 3(3)(d). Importa porque todo monitor celular de calidad del aire, sensor de polvo y medidor de ruido vendido en la UE debe cumplir con esta norma.

¿Necesita mi monitor de calidad del aire cumplir con EN 18031-1?

Si su monitor de calidad del aire utiliza conectividad celular (LTE-M, NB-IoT, 4G o 5G) y se vende o despliega en la UE, entonces sí.

¿Cómo ayuda LwM2M con el cumplimiento de EN 18031-1?

LwM2M proporciona nativamente comunicación cifrada DTLS, autenticación mutua, actualizaciones seguras de firmware estandarizadas, control de acceso por recurso y mecanismos de resiliencia. Los dispositivos construidos sobre LwM2M abordan de forma inherente aproximadamente la mitad de las categorías de mecanismos de EN 18031-1.

¿Pueden los dispositivos IoT basados en MQTT cumplir con EN 18031-1?

Sí, pero requiere significativamente más ingeniería personalizada. MQTT es un protocolo de mensajería sin gestión de dispositivos incorporada, mecanismos de actualización de firmware ni control de acceso estandarizado.

¿Cumple Sensorbee con EN 18031-1?

Sí. Sensorbee ha evaluado el Air Pro 2 Cellular contra EN 18031-1:2024 y publicado una autodeclaración de conformidad. Nueve de las once categorías de mecanismos son aplicables al Pro 2, y las nueve se evalúan como conformes. El documento completo de evidencia de cumplimiento está disponible para descarga.

EN 18031-1: qué significa la norma de ciberseguridad de la UE para los monitores ambientales IoT