Cybersicherheit mit der Radio Equipment Directive (RED) - Wichtige Neuerungen für Herstellende und Verbrauchende
Ort Bonn
Datum 30.01.2025

Für mit dem Internet verbundene Geräte, die über eine Funkschnittstelle wie Bluetooth oder WiFi verfügen, gelten bald klare Cybersicherheitsregeln. Ab dem 1. August 2025 wird ein CE-Kennzeichen deutlich machen, dass die betroffenen Geräte auch grundlegende Cybersicherheitsanforderungen zum Schutz von Netzwerken, der Privatsphäre und vor Betrug erfüllen. Herstellende müssen dazu diese rechtlich verbindlichen Cybersicherheitsanforderungen umsetzen, um ihre Geräte auf dem europäischen Binnenmarkt verkaufen zu dürfen. Die verbindlichen Cybersicherheitsanforderungen wurden in harmonisierten Normen ausspezifiziert und mit Prüfkriterien belegt, womit der Konformitätsnachweis vereinfacht wird. An der Entwicklung der Normen war das Bundesamt für Sicherheit in der Informationstechnik (BSI) maßgeblich beteiligt. Inhaltlich enthalten die Normen unter anderem die Absicherung vertraulicher Kommunikation durch das Gerät sowie das Vorhandensein eines Update-Mechanismus.
Dazu sagt Claudia Plattner, Präsidentin des BSI: „Erstmals werden rechtlich verbindliche Anforderungen an die Cybersicherheit einer Vielzahl von vernetzten Produkten gestellt. Gleichzeitig tragen wir als BSI dazu bei, das Nachweisverfahren effizient zu gestalten. Damit wird das Cybersicherheitsniveau in Deutschland und Europa deutlich erhöht.“
Für Herstellende entsprechender Geräte ist die auf der Funkanlagenrichtlinie (Radio Equipment Directive - EU-Richtlinie (2014/53/EU)) basierende delegierte Verordnung 2022/30/EU mit den zugehörigen harmonisierten Normen EN 18031-1/- 2/-3 nun ein wichtiger Orientierungspunkt. Die Normen sind seit dem 30.01.2025 im Amtsblatt der EU mit Einschränkungen zitiert.
Die Einschränkungen betreffen insbesondere das zwingende Setzen von Nutzerpasswörtern, die Gewährleistung der Zugangssteuerung durch Eltern oder Erziehungsberechtigte für Spielzeuge und umfassen außerdem Geräte, die finanzielle Transaktionen ermöglichen.
Über diese Normen steht Herstellenden entsprechender Geräte jetzt auch das für den Massenmarkt besonders geeignete, gut skalierende Verfahren "Selbstbewertung der Konformität" auf einem angemessenen Cybersicherheitsniveau zur Verfügung. Dabei können Herstellende ihre Produkte auf Basis transparenter Anforderungen und Testkriterien aus den Normen selbst testen. Die zuständige Marktüberwachung für die Funkanlagenrichtlinie (in Deutschland die Bundesnetzagentur) überprüft die Einhaltung der Cybersicherheitsanforderungen. Bisher wäre der Nachweis der Konformität nur über eine notifizierte Prüfstelle möglich gewesen.
Mit dem Ende 2024 in Kraft getretenen Cyber Resilience Act (2024/2847/EU) - siehe BSI-Pressemitteilungen vom 10.10.2024 (CRA verabschiedet – BSI sieht Cybersicherheit signifikant gestärkt) und 11.12.2024 (BSI bewirbt sich um Marktaufsicht für vernetzte Produkte) - wird zukünftig die Cybersicherheit von Produkten mit digitalen Elementen noch umfassender adressiert. Die Möglichkeit der "Selbstbewertung der Konformität" zu den Cybersicherheitsanforderungen der RED unterstützt dafür einen reibungslosen Übergang. Das BSI empfiehlt allen betroffenen Herstellenden, sich frühzeitig auf die Umsetzung entsprechender Vorgaben vorzubereiten.
Pressekontakt:
Bundesamt für Sicherheit in der Informationstechnik
Pressestelle
Tel.: 0228-999582-5777
E-Mail: presse@bsi.bund.de
Internet: www.bsi.bund.de