Am 29. April 2026 wurde die Delegierte Verordnung (EU) 2026/339 im Amtsblatt der Europäischen Union veröffentlicht. Sie hebt den RED Delegated Act (Delegierte Verordnung (EU) 2022/30) mit Wirkung vom 11. Dezember 2027 auf – dem Tag vor dem vollumfänglichen Geltungsbeginn des Cyber Resilience Act.
Die Europäische Kommission hat am 16. Februar 2026 die Delegierte Verordnung (EU) 2026/339 erlassen, mit der die Delegierte Verordnung zur Funkanlagenrichtlinie (RED DA) aufgehoben wird. Veröffentlicht wurde die Verordnung am 29. April 2026 im Amtsblatt der Europäischen Union. Sie tritt am zwanzigsten Tag nach Veröffentlichung in Kraft, die Aufhebungswirkung selbst greift jedoch erst zum 11. Dezember 2027.
Damit setzt die Kommission einen geordneten Übergang von den RED DA Vorgaben zum CRA in Kraft. Bis zum 10. Dezember 2027 bleibt der RED Delegated Act vollumfänglich anwendbar; ab dem 11. Dezember 2027 wird er ohne Lücke durch den Cyber Resilience Act abgelöst.
Warum hebt die Kommission den RED Delegated Act auf?
Der Grund ist regulatorische Konsistenz. Erwägungsgrund 3 der Aufhebungsverordnung stellt fest, dass die in Anhang I des Cyber Resilience Act festgelegten grundlegenden Anforderungen an die Cybersicherheit alle Elemente der grundlegenden Anforderungen gemäß Artikel 3 Absatz 3 Buchstaben d, e und f der RED umfassen. Eine parallele Geltung beider Regelwerke würde dieselben Schutzziele zweifach adressieren – mit unterschiedlichen Bewertungspfaden, harmonisierten Normen und Konformitätsbewertungsverfahren.
Erwägungsgrund 4 macht die Konsequenz explizit: Um Rechtssicherheit zu gewährleisten und Doppelregulierung zu vermeiden, wird der RED Delegated Act mit Wirkung ab dem Tag aufgehoben, ab dem der CRA vollumfänglich gilt.
Was gilt bis zum 11. Dezember 2027?
In der Übergangsphase bleibt der RED Delegated Act vollständig anwendbar. Hersteller von Funkanlagen, die unter den Anwendungsbereich der Verordnung 2022/30 fallen, müssen weiterhin die drei Schutzziele aus Artikel 3 Absatz 3 der Funkanlagenrichtlinie erfüllen:
- Buchstabe d: Schutz vor schädlichen Auswirkungen auf das Netz oder Netzdienste
- Buchstabe e: Schutz personenbezogener Daten und der Privatsphäre der Nutzer und Teilnehmer
- Buchstabe f: Schutz vor Betrug
Als technische Operationalisierung dient die harmonisierte Normenreihe EN 18031 (Teile -1, -2, -3), die seit dem Geltungsbeginn am 1. August 2025 die Konformitätsvermutung trägt. Hersteller, die ihre Produkte vor dem 11. Dezember 2027 in Verkehr bringen, bewerten und dokumentieren weiterhin nach diesem Pfad.
Wichtig ist Erwägungsgrund 5: Die Aufhebung berührt nicht die Marktüberwachung und die Konformitätskontrolle für Funkanlagen, die zwischen dem 1. August 2025 und dem 10. Dezember 2027 in Verkehr gebracht wurden. Für diesen Bestand gelten die RED-Anforderungen also auch nach dem 11. Dezember 2027 als Maßstab fort, soweit es um Marktüberwachungsmaßnahmen geht.
Was gilt ab dem 11. Dezember 2027?
Ab dem Geltungsbeginn des Cyber Resilience Act regeln dessen Anhang I sowie die zugehörigen Anhänge zur Schwachstellenbehandlung die Cybersicherheit von Funkanlagen mit digitalen Elementen. Die zentralen Bewertungsdimensionen (Netzwerkschutz, Datenschutz, Betrugsschutz) bleiben dabei sinngemäß erhalten, sind aber in den umfassenderen CRA-Anforderungskatalog eingebettet, der zusätzlich Themen wie sichere Voreinstellungen, Update-Mechanismen, SBOM, Schwachstellenmanagement und Meldepflichten abdeckt.
Die technische Operationalisierung übernimmt die kommende horizontale Normenreihe EN 40000. Speziell EN 40000-1-4 adressiert die Cybersicherheitsanforderungen, die zuvor unter RED Delegated Act und EN 18031 fielen. Hersteller von Funkanlagen mit digitalen Elementen wechseln damit in einen Normenpfad, der konzeptionell auf den bestehenden EN-18031-Strukturen aufbaut, aber in das CRA-Konformitätsbewertungsregime eingebettet ist.
Einordnung für Hersteller
Für Hersteller, die heute bereits an einer EN-18031-Compliance arbeiten, ist die Aufhebungsverordnung kein Grund, das laufende Projekt zu stoppen. Bis Dezember 2027 ist EN 18031 der einzige harmonisierte Pfad, und Produkte, die in dieser Phase in Verkehr gebracht werden, müssen ihn nutzen. Gleichzeitig lohnt sich der Blick nach vorn: Die Strukturen, Artefakte und Prozesse, die für eine EN-18031-Bewertung aufgebaut werden, sind in weiten Teilen auch unter EN 40000-1-4 verwertbar.
Konkret betrifft das beispielsweise einen NB-IoT-Sensor mit Cloud-Anbindung im Facility Management. Heute wird er nach RED in Verkehr gebracht und erfüllt die Schutzziele d, e, f über eine Bewertung gegen EN 18031-1 und EN 18031-2. Wird derselbe Sensor ab dem 11. Dezember 2027 erneut oder unverändert weiter in Verkehr gebracht, fällt er in den Anwendungsbereich des CRA – mit den dort geltenden Cybersicherheitsanforderungen aus Anhang I, die über EN 40000-1-4 nachweisbar werden. Für Bestandsprodukte greift dabei keine automatische Übergangsregelung der Konformitätsbewertung, sondern die regulären CRA-Übergangsbestimmungen.
Aus Sicht der Produktstrategie heißt das: Die Investitionen in Schwachstellenprozesse, kryptografische Konzepte, Authentifizierungslogik und sichere Voreinstellungen, die für EN 18031 entstehen, sind nicht verloren – sie wandern unter den CRA und finden dort in einem breiteren Anforderungskatalog ihren Platz.
Häufige Fragen
Bedeutet die Aufhebung, dass meine Funkanlage keine Cybersicherheitsanforderungen mehr erfüllen muss?
Nein. Bis zum 10. Dezember 2027 gilt der RED Delegated Act unverändert weiter. Ab dem 11. Dezember 2027 greift der Cyber Resilience Act, dessen Anhang I die Schutzziele aus Artikel 3 Absatz 3 d, e, f RED inhaltlich vollständig abdeckt und um weitere Cybersicherheitsanforderungen ergänzt. Es entsteht keine regulatorische Lücke.
Was passiert mit Funkanlagen, die nach EN 18031 in Verkehr gebracht wurden?
Für Funkanlagen, die zwischen dem 1. August 2025 und dem 10. Dezember 2027 in Verkehr gebracht werden, gelten die RED-Anforderungen weiter - auch nach Aufhebung der Verordnung 2022/30. Die Marktüberwachungsbehörden können solche Produkte weiterhin gegen die RED-Anforderungen prüfen.
Muss ich für mein Funkprodukt nach dem 11. Dezember 2027 erneut konformitätsbewerten?
Wenn das Produkt nach diesem Datum erstmals in Verkehr gebracht wird oder eine wesentliche Änderung erfährt, ist eine Konformitätsbewertung gegen den CRA erforderlich. Die genauen Übergangsbestimmungen für bereits in Verkehr befindliche Produkte regelt der CRA selbst.
Was ist der Unterschied zwischen EN 18031 und EN 40000-1-4?
EN 18031 ist die harmonisierte Normenreihe unter dem RED Delegated Act und adressiert die Schutzziele Netzwerkschutz, Datenschutz und Betrugsschutz. EN 40000-1-4 ist Teil der kommenden horizontalen Normenreihe EN 40000 unter dem CRA und deckt die entsprechenden Cybersicherheitsanforderungen für Funkanlagen mit digitalen Elementen ab - eingebettet in den breiteren CRA-Anforderungskatalog.
Wann tritt die Aufhebungsverordnung 2026/339 in Kraft?
Die Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt in Kraft, also am 19. Mai 2026. Die Aufhebungswirkung selbst greift jedoch erst zum 11. Dezember 2027 - bis dahin bleibt der RED Delegated Act vollumfänglich anwendbar.
Kommentar hinzufügen