Am 1. August 2025 wird die Funkanlagenrichtlinie (RED) der Europäischen Union (EU) um neue Cybersicherheitsanforderungen erweitert, die die Einhaltung der technischen Norm EN 18031 vorschreiben. Die EN 18031 ist in drei Teile gegliedert und auf die Artikel 3.3 d, e und f der RED-Richtlinie abgestimmt, die den Schutz von Netzwerken, Daten und Privatsphäre sowie die Betrugsprävention abdecken. Ab dem 1. August 2025 müssen Industrieunternehmen, die netzwerkfähige Geräte für den EU-Markt herstellen, die neuen Anforderungen der RED-Richtlinie erfüllen. Damit ist Cybersicherheit nicht mehr optional, sondern eine regulatorische Pflicht, die sich auf Produktdesign, Zertifizierungsprozesse und die Markteinführungszeit auswirkt.
Mit der RED-Richtlinie will die EU die Sicherheitslandschaft verändern, sodass alle mit dem Internet verbundenen Geräte auf dem gleichen Sicherheitsniveau arbeiten. Dies stellt Hersteller jedoch vor große Herausforderungen. Sich alleine durch den Dschungel der Anforderungen zu navigieren und alle praktischen Auswirkungen zu verstehen, ist äußerst komplex.
Dieser Blog übersetzt die neuen RED-Anforderungen in praxisnahe und umsetzbare Anleitungen für alle Industriesektoren und erklärt, wie Unternehmen diese umfangreichen Anforderungen für ihre Geräte erfüllen können.
Verständnis der RED-Cybersicherheitsanforderungen
Die RED-Richtlinie (Richtlinie 2014/53/EU) deckt alle Geräte ab, die Funkwellen senden oder empfangen und auf dem EU-Markt in Verkehr gebracht werden. Dies gilt für eine Vielzahl industrieller Produkte, die Wi-Fi, LTE, BT oder andere drahtlose IoT-Technologien nutzen. Ab dem 1. August 2025 wird die Richtlinie in der gesamten EU um die neuen Anforderungen erweitert und führt verpflichtende Cybersicherheitsanforderungen für die beschriebenen Geräte ein. Unter anderem müssen Hersteller dieser Geräte sicherstellen, dass:
- Netzwerke vor unbefugtem Zugriff geschützt sind
- Die personenbezogenen Daten der Nutzer geschützt werden
- Betrug in der digitalen Kommunikation verhindert wird
Die wichtigste Norm innerhalb der RED-Richtlinie ist die EN 18031, die in drei Teile gegliedert ist und die technische Grundlage für die Einhaltung dieser Richtlinie bildet. Die Norm regelt außerdem die Einhaltung der Konformitätsanforderungen für die CE-Kennzeichnung.
OEMs, die Geräte für den EU-Markt herstellen, müssen sich ihrer Verantwortung bewusst sein und die Einhaltung der Anforderungen auf jeder Ebene ihres Endprodukts sicherstellen – also für das gesamte Produkt und nicht nur für ein einzelnes Funkmodul innerhalb des Endprodukts. Die Verantwortung für die Konformität liegt somit eindeutig beim Hersteller des Endgeräts.
Praktische Auswirkungen auf den Industriesektor
In der Industrie ist eine Nichteinhaltung nicht nur ein rechtliches Risiko, sondern auch eine direkte Bedrohung für die Geschäftskontinuität und Sicherheit. Im Folgenden wird erklärt, was die Artikel der EN 18031 für typische Industrieanlagen und die darin eingesetzten Geräte bedeuten.
Netzwerkschutz (Art. 3.3d): Nehmen wir als Beispiel ein HMI oder ein Gateway, das über Ethernet mit dem Internet verbunden ist. Das Gerät darf keine Schwachstelle im Firmennetzwerk darstellen, über die Hacker unbefugten Zugriff auf Unternehmensdaten erlangen können. Dazu sind Funktionen wie Secure Boot zur Überprüfung der Authentizität der Firmware, Validierung der Firmware-Integrität beim Start und bei Updates sowie die Nutzung sicherer Protokolle erforderlich, um unbefugten Zugriff zu verhindern.
Daten- & Privatsphärenschutz (Art. 3.3e): Jedes Gerät, das betriebliche oder personenbezogene Daten verarbeitet, muss eine Ende-zu-Ende-Verschlüsselung (z. B. TLS, AES) für Daten während der Übertragung und im Ruhezustand einsetzen, zusammen mit robusten Mechanismen zur Authentifizierung von Nutzern und Geräten. Das Prinzip „Privacy by Default“, das eine minimale Datenerhebung vorsieht, sollte ebenfalls angewendet werden.
Betrugsprävention (Art. 3.3f): Dies ist entscheidend, um Manipulationen zu verhindern. Für Industriemaschinen bedeutet das den Einsatz digital signierter Firmware und Updates, die Implementierung manipulationssicherer Mechanismen wie Sicherungsschutz (Fuse Protection) sowie Rollback-Schutz, um die erneute Installation verwundbarer Softwareversionen zu verhindern.
Unternehmen, die die Richtlinien rechtzeitig umsetzen, reduzieren Verstöße gegen geltendes Recht und hohe Vertragsstrafen und schaffen Vertrauen bei den Kunden, indem sie sichere Produkte anbieten. Zudem verschaffen sie sich einen Wettbewerbsvorteil gegenüber Herstellern, die die Richtlinien gar nicht oder nur unvollständig umsetzen.
Beschleunigte RED-Konformität
Industrieunternehmen sollten sich darüber im Klaren sein, dass die Erfüllung dieser umfassenden technischen Anforderungen eine komplexe, ressourcenintensive Aufgabe ist, die die Markteinführung verzögern kann. Eine Nichteinhaltung kann zum Verlust der CE-Kennzeichnung, zum Rückzug vom Markt und zu erheblichen Geldstrafen führen.
SECO begegnet diesen Herausforderungen bei der Erfüllung der CRA-Anforderungen, indem es Hardware- und Softwareplattformen liefert, die auf Konformität ausgelegt sind, und dabei native Sicherheitsfunktionen der Chip-Hersteller sowie fortschrittliche Schutztechnologien wie Firmware-Validierung, Echtzeitüberwachung und automatisierte Erstellung von Softwarestücklisten (SBOM) integriert. Das Unternehmen setzt zudem auf starke Partnerschaften, die es Industrieunternehmen ermöglichen, die strengen Anforderungen der RED-Richtlinie zu erfüllen. Im Folgenden möchten wir Ihnen einige der Funktionen vorstellen, mit denen SECO die Einhaltung der Sicherheitsanforderungen sicherstellt.
Basis mit Clea OS: SECOs Clea OS bietet die wesentlichen Funktionen für die RED-Konformität. Es ist ein hardwareunabhängiges Betriebssystem auf Basis von Yocto Linux, das die Erfüllung der Cybersicherheitsanforderungen in EN 18031-1 erleichtert und zentrale Funktionen wie Secure Boot und Firmware-Validierung übernimmt. Clea OS integriert die Sicherheitstechnologien der Chip-Hersteller nativ und ermöglicht so ein vollständig sicheres und konformes Produkterlebnis bei minimalem Konfigurationsaufwand für den Kunden.
Kritischer Laufzeitschutz mit Exein: SECO hat Exein als strategischen Partner gewählt, um fortschrittlichen, laufzeitbasierten Einbruchsschutz zu bieten. Während die RED-Konformität essenziell ist, ist eine aktive Verteidigung entscheidend. Exeins Embedded-Technologie bietet Echtzeitanalyse der Prozessor-Ausführung, automatisierte Schwachstellenerkennung und In-Memory-Schutz. Das bedeutet, dass Angriffe erkannt und gestoppt werden können, während sie passieren, indem Abweichungen vom erwarteten Verhalten auf Systemebene überwacht werden. Dies geht über eine statische Konformitätsprüfung hinaus und bietet robuste, aktive Sicherheit für eingesetzte Geräte.
Vereinfachte Zertifizierung: SECO stellt Kunden technischen Support und die notwendige Dokumentation für alle Teile der EN 18031 bereit, wodurch sich der Aufwand und die Komplexität für interne Teams bei der finalen Produktzertifizierung erheblich reduzieren.
Fazit
Die bevorstehende RED-Frist im August 2025 verändert die regulatorische Landschaft. Auch wenn dies eine Herausforderung darstellt, ist es zugleich eine Chance, grundlegend sicherere Produkte zu entwickeln. Eine Partnerschaft mit SECO ermöglicht es Unternehmen, die Komplexität der Konformität auszulagern und mit der Power von Exein Geräte mit aktivem Laufzeitschutz bereitzustellen, der weit über die Mindestanforderungen hinausgeht.
Kontaktieren Sie noch heute einen SECO-Experten, um Ihre Produkte zukunftssicher zu machen und den Zugang zum EU-Markt langfristig zu sichern.