Es ist offiziell: Ab dem 1. August 2025 müssen alle Funkanlagen, die auf dem Markt der Europäischen Union (EU) bereitgestellt werden und unter den Geltungsbereich des delegierten Rechtsakts (2022/30) zur Funkanlagenrichtlinie (2014/53/EU) fallen, erweiterten Cybersicherheitsanforderungen entsprechen, um weiterhin die CE-Kennzeichnung tragen zu dürfen. Diese Maßnahmen sollen den Schutz personenbezogener Daten stärken, die Netzwerkintegrität sichern und betrügerische Aktivitäten in einer zunehmend vernetzten digitalen Umgebung verhindern. Bestimmte Ausnahmen von der Konformität sind zulässig, wenn Hersteller die Anforderungen der harmonisierten Normen EN 18031-1, EN 18031-2 und EN 18031-3 erfüllen, sofern anwendbar.
Ursprünglich war die Durchsetzung für den 1. August 2024 geplant, doch die Frist wurde um ein Jahr verlängert, um die Entwicklung harmonisierter Normen und die Planung der Umsetzung zu ermöglichen. Hersteller werden jedoch nachdrücklich aufgefordert, jetzt mit den Vorbereitungen zu beginnen. Eine frühzeitige Vorbereitung auf die Konformität hilft, das Risiko kostspieliger Neuentwicklungen in späten Phasen zu minimieren und einen reibungslosen Markteintritt in das sich wandelnde EU-Regulierungsumfeld sicherzustellen.
Welche Geräte fallen unter den Cybersicherheitsumfang der EU RED?
Es ist wichtig zu beachten, dass nicht alle Funkgeräte unter die EU RED fallen. Die Cybersicherheitskonformität ist nur für folgende Geräte erforderlich:
- Internetfähige Unterhaltungselektronik, z. B. Mobiltelefone, Tablets, Kameras und Smart-TVs
- IoT-fähige Geräte, z. B. Smart-Home-Hubs, tragbare Technik (Wearables) und vernetzte Spielzeuge
- Spielzeuge, Kinderbetreuungs- und Sicherheitsausrüstung, z. B. Babyphone und GPS-Tracker
- Industrielle Funkanlagen und drahtlose elektronische Fahrzeugsysteme, die sich mit Netzwerken verbinden
- Jedes Gerät, das zur Funkkommunikation und Internetverbindung fähig ist
Folgende Geräte können vollständig ausgeschlossen oder von bestimmten Artikeln der EU RED ausgenommen sein, da sie durch branchenspezifische Vorschriften geregelt sind:
- Vollständig ausgeschlossen: Medizinprodukte
- Ausgenommen von Artikel 3(3)(e) und (f):
- Luftfahrt, Kraftfahrzeuge und elektronische Mautsysteme
- Nur offline arbeitende Funkgeräte wie DAB-Radios oder Radargeräte, die keine Internetverbindung haben
Hersteller, die sich unsicher sind, ob ihre Geräte unter den Cybersicherheitsbereich der EU RED fallen, können die offizielle Website der Europäischen Kommission1 konsultieren oder sich an die Cybersicherheitsexperten von GRL wenden.
EU RED-Konformität für bestehende Geräte
Geräte, die sich bereits im Umlauf auf dem EU-Markt befinden, dürfen bis zum Ende ihrer Lebensdauer verwendet werden, sofern keine sicherheitsrelevanten Spezifikationen betroffen sind. Alle einzelnen Funkprodukte, die nach dem 1. August auf dem EU-Markt bereitgestellt werden, müssen jedoch die neuesten Anforderungen erfüllen – unabhängig davon, ob sie Teil einer bereits bestehenden Produktreihe sind.
Wie das EU RED-Update Cybersicherheitsbedrohungen adressiert
Da alltägliche Geräte wie Smartphones, industrielle IoT-Module und sogar Spielzeuge zunehmend Teil des Funkökosystems werden, steigen die Cybersicherheitsrisiken erheblich. Als Reaktion darauf hat die Europäische Kommission die Artikel 3(3)(d), (e) und (f) der Funkanlagenrichtlinie (RED) aktiviert:
Artikel 3.3(d) – Funkanlagen dürfen dem Netzwerk oder dessen Funktion nicht schaden und keine Netzwerkressourcen missbrauchen, wodurch eine unzumutbare Beeinträchtigung des Dienstes verursacht wird.
Beispiel: Implementierung von Datenratenbegrenzung und Rückzugsstrategien während Firmware-Updates oder bei Fehlerbehebungen, um Netzüberlastungen zu vermeiden. Diese Anforderung kann durch Erfüllung der EN 18031-1 erfüllt werden.
Artikel 3.3(e) – Funkanlagen müssen Schutzmaßnahmen enthalten, die sicherstellen, dass personenbezogene Daten und die Privatsphäre des Nutzers und Teilnehmers geschützt werden.
Beispiel: Schutz der Privatsphäre durch Verschlüsselung von Cloud-Kommunikation, Minimierung unnötiger Datenerhebung und Absicherung gespeicherter Daten. Diese Anforderung kann durch Erfüllung der EN 18031-2 erfüllt werden.
Artikel 3.3(f) – Funkanlagen müssen Funktionen unterstützen, die Schutz vor Betrug gewährleisten.
Beispiel: Einsatz von Betrugsschutzmechanismen wie Secure Boot, kryptografische Signierung von Firmware und Nutzerauthentifizierung, um zu verhindern, dass Geräte für böswillige Zwecke genutztwerden. Diese Anforderung kann durch Erfüllung der EN 18031-3 erfüllt werden.
Internetfähige vs. Offline-Geräte
Funkgeräte können je nach Fähigkeit zur Internetverbindung von bestimmten Artikeln der EU RED ausgenommen sein:
- Internetfähige Geräte müssen Verschlüsselung, sichere Authentifizierungsmechanismen und sichere Software-Updates unterstützen, um Betrug und Datenlecks zu verhindern.
- Nicht internetfähige Funkgeräte sind größtenteils von Artikel 3(3)(e) und (f) ausgenommen. Die Einhaltung von Artikel 3(3)(d) kann jedoch erforderlich sein, wenn sie mit anderen Geräten oder Systemen interagieren.
Geräte ohne Passwortfunktion
Geräte ohne benutzersetzbare Zugangsdaten – wie Bluetooth-Beacons oder passive Sensoren – sind nicht automatisch von den Cybersicherheitsanforderungen der EU RED ausgenommen. In solchen Fällen müssen Hersteller alternative technische Schutzmaßnahmen implementieren, um nachzuweisen, dass das Gerät nicht missbräuchlich verwendet oder umprogrammiert werden kann – auch ohne herkömmliches Passwort. Eine Selbstzertifizierung für die CE-Kennzeichnung ist in diesen Fällen nicht zulässig; stattdessen ist die Einbindung einer benannten Stelle erforderlich.
Beispiele für solche Schutzmaßnahmen:
- Eindeutige Gerätekennungen zur Kopplung oder Firmware-Kontrolle
- Vorgegebene sichere Standardkonfigurationen, die nicht leicht ausgenutzt werden können
- Secure-Boot-Mechanismen oder eingeschränkte Firmware-Updatepfade
Der Wettlauf zur EU RED-Konformität hat begonnen
Erreichen Sie höhere Standards in puncto Sicherheit, Datenschutz und Netzwerkintegrität, indem Sie jetzt in sichere Produktentwicklung und frühzeitige Tests investieren. Granite River Labs bietet umfassende Testlösungen im Bereich Cybersicherheit, die es Ihnen ermöglichen, mit gutem Gewissen auf dem EU-Markt tätig zu sein.
Quellen
1. Radio Equipment Directive. European Commission.
