Neue Anforderungen der Funkanlagenrichtlinie (RED) in Bezug auf Cybersicherheit

Konkrete Inhalte der Verordnung

Die Verordnung wurde von der EU-Kommission im Amtsblatt der Europäischen Union als „Ergänzung der Richtlinie 2014/53/EU (…) im Hinblick auf die Anwendung der grundlegenden Anforderungen, auf die in Artikel 3 Absatz 3 Buchstaben d, e und f der Richtlinie Bezug genommen wird“, veröffentlicht.¹

In der Richtlinie wurde der Kommission die Befugnis zugeteilt, im Rahmen von delegierten Rechtsakten festzulegen, „welche Kategorien oder Klassen von Funkanlagen“ unter die in Artikel 3 genannten Anforderungen fallen.

Ein solcher Rechtsakt ist nun die Verordnung 2022/30: diese legt fest, dass „mit dem Internet verbundene Funkanlagen“ ebenfalls unter diese Anforderungen fallen.

Dies bedeutet im erweiterten Sinne, dass beispielsweise Maschinen, die über einen drahtlosen Netzwerkanschluss mit dem Internet verbunden sind, keine „schädlichen Auswirkungen auf das Netz oder seinen Betrieb“ ausüben dürfen sowie „Funktionen zum Schutz vor Betrug“ und den Schutz personenbezogener Daten gewährleisten müssen.

Selbstverständlich muss eine Maschine rechtlich nur dann die Cybersecurity-Anforderungen der RED erfüllen, wenn die Maschine eine Funkschnittstelle besitzt und damit als Funkanlage selbst unter die Funkgeräterichtlinie fällt. Verfügt eine Maschine ausschließlich über drahtgebundene Schnittstellen, so ist sie in diesem Fall keine Funkanlage und fällt somit nicht unter die RED. Es gelten dann die anderen einschlägigen Vorschriften, wie z. B. die Maschinenrichtlinie und die EMV-Richtlinie, in Zukunft auch die neue Maschinenverordnung und ggf. der neue Cyber Resilience Act.
 

Zeitpunkt des Inkrafttretens und weiterführende Informationen

Gemäß den Angaben der Kommission ist die Verordnung ab dem 20. Tag der Veröffentlichung im Amtsblatt wirksam (1.2.2022), ab 1.8.2025² müssen betroffene Produkte dann die neuen Anforderungen verpflichtend erfüllen.
 

Harmonisierte Normen für die Security-Anforderungen

Die europäischen Normungsorganisationen (ESO) CEN/CENELEC kündigten nach Veröffentlichung der Verordnung 2022/30 an, einschlägige Normen für diese Anforderungen zu erarbeiten. Das gemeinsame technische Komitee JTC13 (Cybersecurity und Datenschutz) entwickelte daraufhin folgende Normen: 

• EN 18031-1:2024 – Gemeinsame Sicherheitsanforderungen für Funkanlagen - Teil 1: Funkanlagen mit Internetanschluss
• EN 18031-2:2024 – Gemeinsame Sicherheitsanforderungen für datenverarbeitende Funkanlagen, namentlich mit dem Internet verbundene Funkanlagen, in der Kinderbetreuung eingesetzte Funkanlagen, in Spielzeug eingesetzte Funkanlagen sowie an einem Teil des menschlichen Körpers oder an Kleidungsstücken getragene Funkanlagen
• EN 18031-3:2024 – Gemeinsame Sicherheitsanforderungen für mit dem Internet verbundene Funkanlagen, die für die Datenverarbeitung im Zusammenhang mit virtuellen Währungen oder monetären Werten eingesetzt werden

Laut der Website vom Herausgeber CEN/CENELEC wurden diese Normen am 14.8.2024 veröffentlicht, in den Monaten darauf erfolgte die Auslieferung der finalen Versionen an die nationalen Mitglieder zur Publikation. Diese haben bis 28.2.2025 Zeit, die EN-Normen in nationale Fassungen zu überführen.

Zur Listung der Normen im EU-Amtsblatt nach der Funkgeräterichtlinie wurden die Normen durch sogenannte HAS-Consultants (Experten der Wirtschaftsprüfungsgesellschaft EY) bewertet. Diese Bewertung der drei Teile durch die zuständigen Consultants fiel zunächst negativ aus, daher hat das zuständige Technische Komitee einige Inhalte überarbeitet. Somit blieb abzuwarten, ob die Normen überhaupt im EU-Amtsblatt oder unter Umständen nur mit Einschränkung veröffentlicht werden.³ 
 

Veröffentlichung der Normen im EU-Amtsblatt zur Funkanlagenrichtlinie

Die Veröffentlichung im EU-Amtsblatt erfolgte am 30.1.2025 im Rahmen des Durchführungsbeschlusses (EU) 2025/138. Im Rahmen dieses Beschlusses wurden jedoch alle 3 Normen mit zahlreichen Einschränkungen aufgenommen. So wurden beispielsweise alle 3 Normen mit der Anmerkung versehen, dass "die mit ‚rationale‘ (Begründung) oder ‚guidance‘ (Leitlinie) betitelten Abschnitte in dieser harmonisierten Norm (...) keine Vermutung der Konformität" mit den entsprechenden Anforderungen der Funkgeräterichtlinie 2014/53/EU erfüllen. Zudem gilt diese Einschränkung für alle Normenausgaben, "wenn dem Nutzer bei Anwendung der Nummern 6.2.5.1 und 6.2.5.2 erlaubt ist, kein Passwort festzulegen bzw. zu verwenden."
 

Zusätzliche Hinweise der RED-Expertengruppe

Im Juni 2025 veröffentlichte die "RED Experts Group" der EU-Kommission weiterführende Informationen zu den Einschränkungen der EN 18031-Reihe im EU-Amtsblatt. Diese Hinweise können auf den entsprechenden Seiten der Expertengruppe öffentlich eingesehen werden und führen Gründe für die Veröffentlichung der Restriktionen im EU-Amtsblatt auf.

Außerdem gibt das Dokument der Expertengruppe für jede der Restriktionen Antworten darauf, ob Hersteller bei Anwendung der eingeschränkten Abschnitte eine unabhängige Stelle für das Konformitätsbewertungsverfahren hinzuziehen müssen. Dies wird für sämtliche Einschränkungen unter Angabe von Begründungen verneint, Ausnahme ist lediglich Abschnitt 6.3.2.4 der EN 18031-3: Für diesen Abschnitt wird davon ausgegangen, dass die aufgeführten Bewertungskriterien die relevanten Authentifizierungsrisiken nicht angemessen berücksichtigen, daher ist eine Konformitätsbewertung durch eine unabhängige Stelle obligatorisch.