Cybersicherheit: Anforderungen an Gerätehersteller für die CE-Kennzeichnung
Die Cyber-Sicherheitserweiterung der Richtlinie über Funkanlagen und Telekommunikationsendeinrichtungen (RED) tritt im August 2025 in Kraft. Die RED legt fest, dass Funkanlagen bestimmte Anforderungen erfüllen müssen, um die CE-Kennzeichnung zu erhalten, die ihre Konformität mit den Sicherheits-, Gesundheits- und Umweltstandards der EU bescheinigt.
Diese neuen Anforderungen betreffen Reader, Drucker und Etikettierer.
Eine solche Regelung für eine breite Palette von Geräten ist bisher einzigartig und daher von großer Bedeutung. Die EU-Kommission hat entsprechende Rechtsakte verabschiedet. Die neuen Anforderungen der EU an die Cybersicherheit betreffen Komponenten- und Gerätehersteller gleichermaßen und bringen spezifische Anforderungen und Verpflichtungen mit sich.
Aktuell hat das Bundesministerium des Innern und für Heimat (BMI) zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) die Studie Bundeslagebild Cyberkriminalität für 2023 vorgestellt und klar kommuniziert, dass Cyberkriminalität mit mehr Kraft bekämpft werden muss. Die Studie vermeldet den Anstieg von Cyberkriminalität um 28 Prozent im untersuchten Zeitraum.
Interview mit Olaf Wilmsmeier
1. Welche konkreten Maßnahmen müssen Komponenten- und Gerätehersteller ergreifen, um die neuen Anforderungen zur Cybersicherheit zu erfüllen?
Komponenten- und Gerätehersteller müssen zukünftig sicherstellen, dass ihre Produkte die neuen Anforderungen zur Cybersicherheit erfüllen, um CE-Konform zu sein. Das IoT und die zunehmende Digitalisierung haben diese Entwicklung notwendig gemacht.
Das bedeutet, dass sie bereits heute damit beginnen müssen, Ihre Produktpallette bezüglich der neuen Anforderungen zu überprüfen. Sie müssen eventuelle Sicherheitslücken identifizieren und schließen, um Cyberangriffe zu erschweren oder zu verhindern. Dazu gehört auch eine umfassende Dokumentation dieses Prozesses.
Den zeitlichen Aufwand für diesen Prozess sollten die Gerätehersteller nicht unterschätzen. Insbesondere, wenn Software- oder sogar Hardwareänderungen erfolgen müssen, wird die Zeit für die Umsetzung jetzt bestimmt bereits sehr eng.
Olaf Wilmsmeier vertritt den AIM Verband in Brüssel und ist selbständiger Berater mit den Schwerpunkten Auto-ID und Digitalisierung. Er bringt rund 25 Jahre Berufserfahrung im Bereich des Maschinenbaus und der Automatisierungstechnik in seine Arbeit ein.
Spektrum an Geräten
„Ein Problem besteht darin, dass es schwierig ist, diese Normen eindeutig, für alle Anwedungsfälle zu spezifizieren – klares ja / nein Kriterium. Wie soll man beispielsweise heute konkrete Vorgaben für ein Passwort definieren, welche noch in einem Jahr bestand haben? Cybersecurity-Anforderungen ändern sich relativ schnell.
Zudem ist das Spektrum an Geräten und Anwendungsfällen sehr breit, welches von der RED-Erweiterung betroffen ist. Daher wird stattdessen ein prozessorientierter Ansatz verfolgt, der eine Prüfung der Umsetzung zum Zeitpunkt der CE-Konformitätserklärung am aktuellen Stand der Technik und auf den Anwendungsfall erlaubt.“
Spektrum an Geräten
„Ein Problem besteht darin, dass es schwierig ist, diese Normen eindeutig, für alle Anwedungsfälle zu spezifizieren – klares ja / nein Kriterium. Wie soll man beispielsweise heute konkrete Vorgaben für ein Passwort definieren, welche noch in einem Jahr bestand haben? Cybersecurity-Anforderungen ändern sich relativ schnell.
Zudem ist das Spektrum an Geräten und Anwendungsfällen sehr breit, welches von der RED-Erweiterung betroffen ist. Daher wird stattdessen ein prozessorientierter Ansatz verfolgt, der eine Prüfung der Umsetzung zum Zeitpunkt der CE-Konformitätserklärung am aktuellen Stand der Technik und auf den Anwendungsfall erlaubt.“
Olaf Wilmsmeier vertritt den AIM Verband in Brüssel und ist selbständiger Berater mit den Schwerpunkten Auto-ID und Digitalisierung. Er bringt rund 25 Jahre Berufserfahrung im Bereich des Maschinenbaus und der Automatisierungstechnik in seine Arbeit ein.
Motivation der EU
2. Warum wird die RED bezüglich Cybersicherheit erweitert? Mit welcher Motivation will die EU gegen Cyberkriminalität vorgehen?
Die Erweiterung des Artikel 3(3) der Radio Equipment Directive um 3 neue Abschnitte betrifft das Thema Cybersecurity. Diese Erweiterung wird von der EU-Kommission aus mehreren Gründen vorangetrieben.
Erstens hat die zunehmende Vernetzung und Digitalisierung von Geräten zu einer erhöhten Anfälligkeit für Cyberangriffe geführt. Diese Angriffe können nicht nur erhebliche wirtschaftliche Schäden verursachen, sondern auch die Sicherheit und Privatsphäre der Nutzer gefährden.
Zweitens will die EU-Kommission durch die Erweiterung der RED sicherstellen, dass alle Funkgeräte, die auf den europäischen Markt kommen, ein hohes Maß an Cybersicherheit bieten. Dies ist notwendig, um das Vertrauen der Verbraucher in digitale Technologien zu stärken und einen sicheren digitalen Binnenmarkt zu fördern.
Die Motivation der EU-Kommission besteht also darin, die Sicherheit und Zuverlässigkeit vernetzter Geräte zu erhöhen, den Schutz der Verbraucher zu gewährleisten und gleichzeitig die Wettbewerbsfähigkeit der europäischen Industrie im globalen Markt zu verbessern.
Durch die Einführung dieser neuen Anforderungen sollen sowohl die Hersteller als auch die Endnutzer von einer verbesserten Cybersicherheit profitieren.
Anforderung der Radio Equipment Directive (RED) der EU
- Verbindliche Cybersicherheitsanforderungen
- Verbesserung der Netzwerksicherheit
- Verwendung sicherer Komponenten
- Verringerung des Betrugsrisikos
- Risikoanalysen
Für welche Geräte gilt die RED?
3. Die RED ist entscheidend für die CE-Konformität von Funkgeräten. Welche spezifischen Produkte sind nun von der Erweiterung betroffen?
Die Erweiterung der RED betrifft Internet, Connected Radio Equipment. Also Geräte, die internetfähig sind und Funktechnologie beinhalten – unter die RED fallen. Hiervon betroffen sind auch Auto ID Produkte und Sensoren. Die Funkanlagenrichtlinie (RED) regelt eine Vielzahl von Geräten, die Funktechnologien verwenden.
Dazu gehören unter anderem RFID Reader, alle WLAN fähigen Geräte wie Smartphones, Tablets, Fernseher, Access-Points, Geräte, die über Bluetooth-Technologie kommunizieren, wie Barcodescanner die via Bluetooth mit Tablets gekoppelt sind, Kopfhörer, Lautsprecher und Tastaturen, drahtlose Mikrofone und Hörgeräte, Funksysteme in Fahrzeugen oder Sensoren, diverses Spielzeug und selbstverständlich weitere IoT-Geräte.
Die RED stellt sicher, dass diese Geräte die grundlegenden Anforderungen in Bezug auf Sicherheit, elektromagnetische Verträglichkeit und effiziente Nutzung des Funkfrequenzspektrums erfüllen. Mit der Erweiterung um Cybersicherheitsanforderungen müssen diese Geräte auch entsprechende Sicherheitsstandards erfüllen, um vor Cyberangriffen geschützt zu sein.
Für welche Geräte gilt die RED?
3. Die RED ist entscheidend für die CE-Konformität von Funkgeräten. Welche spezifischen Produkte sind nun von der Erweiterung betroffen?
Die Erweiterung der RED betrifft Internet, Connected Radio Equipment. Also Geräte, die internetfähig sind und Funktechnologie beinhalten – unter die RED fallen. Hiervon betroffen sind auch Auto ID Produkte und Sensoren. Die Funkanlagenrichtlinie (RED) regelt eine Vielzahl von Geräten, die Funktechnologien verwenden.
Dazu gehören unter anderem RFID Reader, alle WLAN fähigen Geräte wie Smartphones, Tablets, Fernseher, Access-Points, Geräte, die über Bluetooth-Technologie kommunizieren, wie Barcodescanner die via Bluetooth mit Tablets gekoppelt sind, Kopfhörer, Lautsprecher und Tastaturen, drahtlose Mikrofone und Hörgeräte, Funksysteme in Fahrzeugen oder Sensoren, diverses Spielzeug und selbstverständlich weitere IoT-Geräte.
Die RED stellt sicher, dass diese Geräte die grundlegenden Anforderungen in Bezug auf Sicherheit, elektromagnetische Verträglichkeit und effiziente Nutzung des Funkfrequenzspektrums erfüllen. Mit der Erweiterung um Cybersicherheitsanforderungen müssen diese Geräte auch entsprechende Sicherheitsstandards erfüllen, um vor Cyberangriffen geschützt zu sein.
Anforderung der Radio Equipment Directive (RED) der EU
- Verbindliche Cybersicherheitsanforderungen
- Verbesserung der Netzwerksicherheit
- Verwendung sicherer Komponenten
- Verringerung des Betrugsrisikos
- Risikoanalysen
CE-Kennzeichnung
„Ich appelliere dringend an die Gerätehersteller, bereits heute mit der Umsetzung zu beginnen oder zumindest die ersten Schritte vorzubereiten. Entweder sind meine Produkte CE-konform oder nicht. Und wenn sie nicht mehr CE-konform sind, dann dürfen sie auch nicht mehr in der EU in Verkehr gebracht werden.“
CE-Kennzeichnung
„Ich appelliere dringend an die Gerätehersteller, bereits heute mit der Umsetzung zu beginnen oder zumindest die ersten Schritte vorzubereiten. Entweder sind meine Produkte CE-konform oder nicht. Und wenn sie nicht mehr CE-konform sind, dann dürfen sie auch nicht mehr in der EU in Verkehr gebracht werden.“
Notified Bodies unterstützen Unternehmen
4. Gibt es bereits harmonisierte Normen, die die konkreten Anforderungen an die betroffenen Produkte klar definieren?
Harmonisierte Normen gibt es noch nicht, da sie sich noch in der Entwicklung befinden. Dies liegt daran, dass diese Normen in dieser Form und in diesem Umfang ein Novum in der Normung darstellen. Selbstverständlich gibt es bereits heute etablierte Standards, zum Thema Cybersicherheit. Allerdings deckt keiner der existierenden Standards in Gänze die Anforderungen der RED Erweiterung zum Thema Cybersicherheit.
Das bedeutet, dass die Industrie derzeit zwar die Konformitätsprüfung vorbereiten kann, aber noch kein harmonisierter Standard vorliegt, auf dessen Basis die CE-Konformität selbst deklariert werden kann . Die Erstellung dieser harmonisierten Standards ist, da es in dieser Form etwas komplett neues ist, sehr zeitaufwändig.
Die Experten der Industrie haben seit 2022 mit Hochdruck an der Fertigstellung der harmonisierten Standards gearbeitet und versucht alle Vorgaben der EU umzusetzen. Der aktuelle Normenstand muss leider, nach Rücksprache mit den Experten der EU-Kommission, nochmals im Details überarbeitet werden.
Eine Veröffentlichung als harmonisierter Standard noch in diesem Jahr ist daher unwahrscheinlich.
Gerätehersteller können sich selbstverständlich bereits heute an sogenannte Notified Bodies wenden – benannte Stellen, die die eingereichten Unterlagen prüfen und entscheiden, ob die EU-Anforderungen erfüllt sind.
Notified Bodies können die Erfüllung der Vorgaben auch ohne harmonisierten Standard offiziell bestätigen. Dies muss für jedes Produkt einzeln erfolgen und könnte aufgrund der begrenzten personellen Ressourcen zu einem Engpass werden, da Experten auf diesem Gebiet rar sind.