Die Richtlinie 2014/53/EU, bekannt als die Radio Equipment Directive (RED) oder Funkanlagenrichtlinie, regelt die Anforderungen an Funkanlagen, die in der Europäischen Union in Verkehr gebracht werden. Die Richtlinie legt die grundlegenden Sicherheits- und Gesundheitsanforderungen fest, die Funkanlagen erfüllen müssen. Die Delegierte Verordnung (EU) 2022/30 konkretisiert den Anwendungsbereich der Anforderungen an die Cybersicherheit und legt fest, für welche Geräte diese gelten. Zur Umsetzung dieser Vorgaben gibt es die Norm EN 18031, die spezifische technische Spezifikationen und Prüfmethoden bereitstellt.
Anwendungsbereich der RED
Die RED erfasst “Funkanlagen” – elektrische oder elektronische Produkte, die bestimmungsgemäß Funkwellen aussenden und/oder empfangen, um Funkkommunikation oder Funkortung zu ermöglichen. Beispiele sind Mobiltelefone, WLAN-Router, Funkfernbedienungen und vieles mehr.
Delegierte Verordnung (EU) 2022/30
Die Delegierte Verordnung (EU) 2022/30 konkretisiert die grundlegenden Anforderungen der RED für mit dem Internet verbundene Funkanlagen. Als solche gelten alle Funkanlagen, die selbst über das Internet kommunizieren können, unabhängig davon, ob direkt oder über andere Geräte.
Das folgende vereinfachte Diagramm veranschaulicht den Entscheidungsprozess zur Bestimmung, ob ein Produkt die Konformitätsanforderungen der Delegierten Verordnung erfüllen muss.
Zunächst muss festgestellt werden, ob das Produkt in den Anwendungsbereich der RED fällt. Wenn ja, wird geprüft, ob es selbstständig auf das Internet zugreifen kann. Wenn nicht, wird geprüft, ob es Internetprotokolle verwendet oder indirekt über ein anderes Gerät mit dem Internet kommunizieren kann. Ist dies der Fall, ist die Konformität mit der delegierten Verordnung erforderlich, andernfalls besteht kein Handlungsbedarf.
Grundlegende Sicherheitsanforderungen
Artikel 3 der Delegierten Verordnung definiert spezifische Sicherheitsanforderungen für Funkanlagen.
Von besonderer Bedeutung für die Cybersicherheit sind dabei die Artikel 3.3 (d), (e) und (f):
- Keine schädlichen Auswirkungen auf Netze – Artikel 3.3 (d): Funkanlagen dürfen keine schädlichen Auswirkungen auf Netze oder deren Betrieb haben und keinen Missbrauch von Netzressourcen verursachen.
- Datenschutz und Privatsphäre – Artikel 3.3 (e): Funkanlagen müssen über angemessene Sicherheitsvorkehrungen zum Schutz personenbezogener Daten und der Privatsphäre der Nutzer und Teilnehmer verfügen.
- Betrugsschutz – Artikel 3.3 (f): Funkanlagen müssen Funktionen zum Schutz vor Betrug unterstützen.
Konformitätsbewertung
Für die Konformitätsbewertung können Hersteller das Modul A (interne Fertigungskontrolle) nur dann anwenden, wenn harmonisierte Normen existieren, die im Amtsblatt der EU referenziert sind und vollständig eingehalten werden.
Andernfalls muss zwingend eine benannte Stelle in die Konformitätsbewertung einbezogen werden, die zusätzliche Prüfungen und Bewertungen durchführt.
Durch die Umsetzung dieser Sicherheitsanforderungen sollen die Risiken für Netze, personenbezogene Daten, die Privatsphäre und die Betrugsgefahr von Funkanlagen wirksam minimiert werden.
Harmonisierte Normen für die delegierte Verordnung
Die Europäische Kommission hat einen spezifischen Normungsantrag (“Standardization Request”) für die Entwicklung harmonisierter Normen im Rahmen der delegierten Verordnung 2022/30 zur RED veröffentlicht.
Grundsätzlich müssen harmonisierte Normen folgende Anforderungen erfüllen:
- Die Normen müssen den allgemein anerkannten Stand der Technik widerspiegeln.
- Die technischen Lösungen in den Normen müssen in angemessenem Verhältnis zu dem Risiko stehen, dem sie begegnen sollen.
- Die Prüfverfahren müssen überprüfbar, objektiv und reproduzierbar sein, um eine vergleichbare Produktüberprüfung zu gewährleisten.
- Alternative Mechanismen zu Prüfmethoden werden nur entwickelt, wenn Prüfmethoden technisch nicht anwendbar sind und dies hinreichend begründet ist.
- Zusätzliche Anforderungen für die jeweilige Norm werden definiert.
Der Antrag verlangt, dass für die Artikel 3(3)d, 3(3)e und 3(3)f jeweils eine eigene harmonisierte Norm entwickelt werden soll.
Durch Einhaltung dieser Vorgaben soll sichergestellt werden, dass die harmonisierten Normen praxistaugliche, verhältnismäßige und einheitliche Spezifikationen zur Umsetzung der grundlegenden RED-Anforderungen liefern.
EN 18031 – Normen für den delegierten Rechtsakt
Die Norm, die die Anforderungen der delegierten Verordnung zur RED konkretisiert, ist die EN 18031. Sie wurde gemäß des Normungsauftrags der Europäischen Kommission erstellt und definiert spezifische Anforderungen für die in den Artikel 3(3)d, 3(3)e und 3(3)f der Verordnung genannten Sicherheitskriterien. Sie stellt detaillierte technische Spezifikationen und Prüfmethoden bereit, um eine einheitliche und überprüfbare Grundlage für die Konformitätsbewertung zu gewährleisten.
Zusammenhang mit dem Cyber Resilience Act
Der Cyber Resilience Act (CRA) ergänzt die Sicherheitsanforderungen der Funkanlagenrichtlinie und des delegierten Rechtsakts. Während die RED sich auf drahtlose Geräte konzentriert, deckt der CRA ein breiteres Spektrum von Produkten mit digitalen Elementen ab. Nach Inkrafttreten des CRA wird dieser voraussichtlich den delegierten Rechtsakt der RED für Cybersicherheit ersetzen.
Für detaillierte Informationen zum CRA und seinen Auswirkungen auf die Produktsicherheit, lesen Sie unseren Artikel zum Cyber Resilience Act.