Neue EU-Vorschriften für IoT-Geräte: Ab August 2025 müssen mit dem Internet verbundene Funkgeräte strenge Cybersicherheitsanforderungen erfüllen (RED-Richtlinie). Erfahren Sie, welche Geräte betroffen sind und wie Sie die Einhaltung sicherstellen.
Einleitung und rechtlicher Rahmen
Das IoT (Internet der Dinge) hat im letzten Jahrzehnt dank der Implementierung von Technologien wie WLAN, Bluetooth und NFC eine unglaubliche Verbreitung erlebt. Dadurch werden Produkte vernetzt, verhalten sich wie Funkgeräte und halten weltweit Einzug in Haushalte und Industrieanlagen. Im Bereich Cybersicherheit gelten IoT-Geräte allgemein als kritisches Sicherheitsrisiko. So wie Endpunkte im Smart-Home-Sektor immer noch unzureichend oder gar nicht gesichert sind, weisen Fertigungs- und Industrieanlagen teilweise erhebliche Lücken in der IT- und OT-Sicherheit auf. Laut einer vom Rat der Europäischen Union veröffentlichten Studie beliefen sich die weltweiten wirtschaftlichen Kosten der Cyberkriminalität im Jahr 2020 auf die erschreckende Summe von 5,5 Billionen Euro. Und einer Studie von Trend Micro aus dem Jahr 2022 zufolge gaben 90 Prozent der deutschen Unternehmen der Energie-, Öl- und Gasbranche sowie der Fertigungsindustrie an, innerhalb von 12 Monaten von Cyberangriffen betroffen gewesen zu sein, die einen durchschnittlichen Schaden von etwa 2,9 Millionen Euro verursachten. In letzter Zeit haben die Verbreitung tragbarer Geräte einerseits und die immer größer werdende Bedeutung des Datenschutzes andererseits – insbesondere da KI-datengesteuerte Systeme eine zentrale Rolle im Marktangebot von OEMs und Herstellern spielen – die Notwendigkeit verstärkt, über die DSGVO (Verordnung (EU) 2016/679) und die R&TTE-Richtlinie (99/5/EG) hinauszugehen. Diese haben angesichts des Zeitrahmens, in dem sie konzipiert und in Kraft getreten sind, viele Aspekte der Cybersicherheitsbedrohungen nicht berücksichtigt, die heute sehr real sind und deren Berücksichtigung sehr wichtig ist.
Im Rahmen des europäischen Binnenmarkts legt die RED-Richtlinie Anforderungen an die elektromagnetische Verträglichkeit (EMV), die elektrische Sicherheit und die effektive und effiziente Nutzung des Funkspektrums (RF) fest, die in erster Linie von Hardware und Low-Level-Software abhängen. Zusätzlich zu diesen bestehenden Mandaten führt die Richtlinie ab August 2025 auch Anforderungen an die Cybersicherheit ein, die in erster Linie von High-Level-Software beeinflusst werden. Die europäische Funkanlagenrichtlinie (RED) 2014/53/EU ist seit dem 13. Juni 2016 in Kraft, ersetzt die vorherige R&TTE-Richtlinie 1999/5/EG und verwendet die meisten Definitionen der DSGVO. Zur Verbesserung der Cybersicherheit und des Datenschutzes hat die Europäische Kommission am 29. Oktober 2021 die Delegierte Verordnung (EU) 2022/30 verabschiedet, die die RED durch EU-RED-Cybersicherheitsmandate gemäß Artikel 3 Absatz 3 Buchstaben d, e und f ergänzt.
Zu den spezifischen Kategorien von Funkgeräten, die von dieser Verordnung betroffen sind, gehören:
- Internetfähige Funkgeräte: Geräte, die entweder direkt oder über andere Geräte über das Internet kommunizieren können. Dazu gehört eine breite Palette von Unterhaltungselektronikgeräten wie Smartphones, Tablets und Wearables.
- Funkgeräte, die ausschließlich für die Kinderbetreuung entwickelt oder vorgesehen sind: Geräte, die speziell zur Überwachung oder Unterstützung der Kinderbetreuung entwickelt wurden, einschließlich Babyphones.
- Funkgeräte im Sinne der Spielzeugrichtlinie 2009/48/EG: Spielzeuge mit Funkfunktionen, die Informationen aufzeichnen, speichern oder weitergeben, mit Benutzern (insbesondere Kindern) interagieren oder Komponenten wie Lautsprecher, Mikrofone oder Sensoren integrieren können.
- Tragbare Funkgeräte: Geräte, die am Körper oder an der Kleidung getragen, befestigt oder aufgehängt werden können. Beispiele hierfür sind Smartwatches, Fitnesstracker, Headsets, Ohrhörer oder Smart Glasses.
Medizinprodukte sind insbesondere von den Bestimmungen der Delegierten Verordnung (EU) 2022/30 ausgenommen, da für sie eigene spezifische Cybersicherheitsbestimmungen gemäß den Verordnungen (EU) 2017/745 und (EU) 2017/746 gelten. Dasselbe gilt für andere Geräte, die bereits unter bestehende EU-Verordnungen fallen und vom Anwendungsbereich der RED-Richtlinie ausgenommen sind, wie z. B. Geräte für die Zivilluftfahrt (Verordnung (EU) 2018/1139), elektronische Mautsysteme (Richtlinie 2019/520) und weitere.
Diese Konformitätsverordnung zur Funkanlagenrichtlinie sollte ursprünglich ab dem 1. August 2024 gelten. Um den Herstellern jedoch mehr Zeit zur Umsetzung zu geben, verlängerte die Europäische Kommission den Geltungstermin um ein Jahr. Der neue verbindliche Termin für die Einhaltung der Delegierten Verordnung (EU) 2022/30 ist nun der 1. August 2025 – ein Termin, der für Hersteller unmittelbar bevorsteht. Sie sollten die Umsetzung technischer Maßnahmen zur Einhaltung der zusätzlichen Anforderungen beschleunigen. Für Händler von Geräten der Hersteller mit Konnektivitätsmodulen und für Integratoren/OEMs, die die neuen Anforderungen bei der Entwicklung ihrer integrierten, vernetzten Produkte unter Verwendung von Funkgeräten der Hersteller berücksichtigen sollten.
Technische Funktionen zum Schutz der Privatsphäre, personenbezogener Daten und vor Betrug
Die Delegierte Verordnung (EU) 2022/30 ergänzt die Funkanlagenrichtlinie (RED) um drei wichtige Artikel, die jeweils spezifische cybersicherheitsbezogene Mandate für Funkanlagen behandeln.
- Artikel 3 Absatz 3 Buchstabe dbehandelt alle gängigen Cybersicherheitsanforderungen speziell für internetfähige Funkgeräte. Diese Bestimmung besagt, dass Funkgeräte so konzipiert sein müssen, dass sie weder das Netz noch dessen Funktionen beeinträchtigen, Netzressourcen missbrauchen oder eine inakzeptable Leistungsbeeinträchtigung verursachen. Außerdem müssen sie verhindern, dass das Gerät die Funktionalität von Websites oder Diensten beeinträchtigt.
- Artikel 3 Absatz 3 Buchstabe eenthält gemeinsame Sicherheitsanforderungen, die sich speziell an Funkanlagen richten, die personenbezogene Daten verarbeiten. Gemäß diesem Artikel müssen Funkanlagen Sicherheitsvorkehrungen zum Schutz der personenbezogenen Daten und der Privatsphäre von Nutzern und Teilnehmern enthalten und Maßnahmen vorschreiben, um den unbefugten Zugriff auf oder die unbefugte Übermittlung personenbezogener Daten der Verbraucher zu verhindern.
- Artikel 3 Absatz 3 Buchstabe fführt Anforderungen zur Betrugsprävention ein. Er betrifft insbesondere Funkgeräte, die virtuelles Geld oder Geldwerte verarbeiten können. Diese Geräte müssen bestimmte Sicherheitsfunktionen unterstützen, beispielsweise eine verbesserte Benutzerauthentifizierung zum Schutz vor betrügerischen Aktivitäten.
Darüber hinaus berücksichtigt die Funkgeräterichtlinie die potenziellen Risiken, die mit der Kombination von Funkgeräten und Software verbunden sind, insbesondere hinsichtlich der Konformität nach Änderungen. Artikel 4 verpflichtet Hersteller, Informationen zur Konformität beabsichtigter Kombinationen von Funkgeräten und Software bereitzustellen. Dadurch wird sichergestellt, dass die Funkgeräte auch nach der Installation neuer oder geänderter Software die grundlegenden Anforderungen der Richtlinie erfüllen.
Wie kann ich die Anforderungen erfüllen?
Mit Wirkung vom 28. Januar 2025 hat die Europäische Kommission drei EN 18031-Normen im Rahmen der RED-Richtlinie harmonisiert und Herstellern damit einen einfacheren Weg zum Nachweis der Cybersicherheitskonformität eröffnet. Es ist jedoch wichtig zu beachten, dass bestimmte Klauseln dieser Normen spezifische Einschränkungen mit sich bringen. Das bedeutet, dass Hersteller nicht automatisch von vollständiger Konformität ausgehen können, wenn sie diese harmonisierten Normen lediglich einhalten. Beispielsweise können Produkte, die eine Bedienung ohne obligatorischen Passwortschutz ermöglichen, oder Produkte ohne die erforderliche Kindersicherung zusätzliche Compliance-Maßnahmen erfordern, die über die Normen hinausgehen.
In solchen Fällen sollten Hersteller direkt mit einer Benannten Stelle zusammenarbeiten – einer von einem EU-Land benannten Organisation, die für die Bewertung der Produktkonformität vor der Markteinführung zuständig ist. Benannte Stellen führen Aufgaben im Rahmen der in den geltenden Rechtsvorschriften festgelegten Konformitätsbewertungsverfahren durch, wenn eine Bewertung durch Dritte erforderlich ist. Die Europäische Kommission führt eine offizielle Liste solcher Stellen. Die Zusammenarbeit mit einer Benannten Stelle stellt sicher, dass die Produkte der Hersteller alle in der RED festgelegten cybersicherheitsspezifischen Anforderungen erfüllen und etwaige Einschränkungen der harmonisierten Normen berücksichtigen.
Darüber hinaus sollten Hersteller proaktiv robuste Cybersicherheitsmaßnahmen implementieren, darunter sichere Boot-Mechanismen, gegenseitige Authentifizierung und konsistente Sicherheitsupdates. Solche Maßnahmen erfüllen nicht nur die wesentlichen Ziele von RED, nämlich den Schutz personenbezogener Daten und die Betrugsprävention, sondern erhöhen auch die allgemeine Gerätesicherheit.
Angesichts der dynamischen Regulierungslandschaft müssen Hersteller kontinuierlich über Aktualisierungen harmonisierter Normen und umfassendere Cybersicherheitsanforderungen der RED informiert bleiben. Der regelmäßige Austausch mit Branchenexperten wie dem SECO und die Teilnahme an relevanten Schulungen oder Workshops können die Compliance-Bereitschaft erheblich unterstützen.
Die Rolle von SECO und Clea
SECO verfügt über eine starke Erfolgsbilanz in Forschung und Entwicklung sowie Qualitätssicherung und positioniert sich als vertrauenswürdiger Partner, der sich engagiert mit sich entwickelnden regulatorischen Rahmenbedingungen wie der Funkanlagenrichtlinie (RED) auseinandersetzt. SECO beobachtet kontinuierlich die Entwicklungen der regulatorischen Standards für IoT-Geräte, arbeitet aktiv mit Zertifizierungslabors zusammen und pflegt einen offenen Dialog mit Kunden, um die Bereitschaft und Unterstützung für kommende Compliance-Anforderungen sicherzustellen.
Clea, die umfassende IoT-Software-Suite von SECO, bietet Herstellern, die die kommenden RED-Cybersicherheitsanforderungen erfüllen möchten, einen erheblichen Mehrwert. Clea bietet leistungsstarke Tools für sichere Datenorchestrierung, Gerätemanagement und KI-gesteuerte Anwendungen und ist damit eine strategische Lösung für Hersteller, die proaktiv auf die RED-Konformität hinarbeiten. Mit Funktionen wie gegenseitiger SSL-Authentifizierung, Zertifikatsrotation und sicheren OTA-Updates (Over-the-Air) verbessert Clea das Endpunktsicherheitsmanagement und die Netzwerkintegrität und unterstützt Hersteller beim Aufbau robuster Cybersicherheits-Frameworks, die zukünftigen regulatorischen Anforderungen gerecht werden. Dank der Integration der Exein-Premiumplattform für Cybersicherheit von IoT-Geräten und insbesondere der Integration von Runtime Security und Analyzer wird die vernetzte Flotte in Echtzeit geschützt, und Schwachstellen werden vor und nach der Bereitstellung automatisch erkannt.
Darüber hinaus dient Clea als Plattform für Hersteller, die auf Servitization umsteigen, und bietet Funktionen wie Datenmonetarisierung, Abonnementmodelle und integrierte KI/ML-Pipelines über das Clea-Portal. Mit diesem proaktiven Ansatz unterstreicht SECO sein Engagement, Kunden bei der Bewältigung regulatorischer Herausforderungen zu unterstützen und gleichzeitig neue Wachstums- und Innovationsmöglichkeiten zu erschließen.
Besuchen Sie SECO.com, um zu erfahren, wie SECO Unternehmen bei der Entwicklung RED-konformer intelligenter Produkte mit modernster IoT-Sicherheit, Servicefunktionen und nahtloser Konnektivität unterstützen kann.