Cyber-Sicherheitsanforderungen für Geräte mit Funkschnittstellen: RED II für alle Hersteller ab August 2025 Pflicht

Die neuen „RED II EN18031“-Anforderungen stellen die Hersteller vor neuartige Aufgaben

[datensicherheit.de, 19.04.2025] Mit der kürzlich veröffentlichten Durchführungsentscheidung „EU 2025/138“ hat die Europäische Union (EU) neue harmonisierte Standards der „EN 18031“-Serie eingeführt, welche die Cyber-Sicherheitsanforderungen für Geräte mit Funkschnittstellen gemäß der „Radio Equipment Directive“ (RED II) präzisieren sollen. ONEKEY geht in einer aktuellen Stellungnahme auf diese Herausforderung ein und betont, dass mit der eigenen „Product Cybersecurity & Compliance Platform“ (OCP), Expert-Consulting-Services und spezifischen Assessments eine ganzheitliche Lösung geboten werden soll, mit der Hersteller ihre Produkte gemäß RED-Normen auf eventuelle Sicherheitslücken prüfen können.

„RED II“ schreibt zwingend Schwachstellen-Management vor

„Diese Prüfung erstreckt sich von Erstellung und Management einer ,Software Bill of Materials’ (SBOM) über das durch ,RED II’ zwingend vorgeschriebene Schwachstellen-Management bis hin zum ,Compliance Wizard’ von ONEKEY.“ Dieser verknüpft demnach eine automatische technische Cyber-Sicherheitsprüfung mit einem virtuellen Assistenten für ein vereinfachtes Assessment der technischen „Produkt Cyber-Compliance“. Die dabei entstehende Dokumentation helfe den von der EU geforderten Nachweispflichten in Bezug auf Cyber-Sicherheit nach den verschiedenen RED-Normen gerecht zu werden.

Sicherheit für vernetzte Geräte mit Funk: Im Einzelnen geht es aktuell um die drei folgenden Bereiche des „RED 18031“-Standards:

• „EN 18031-1:2024“ (Sicherheit für Geräte mit Funk, die mit dem Internet verbunden sind) – hierzu spielten sowohl die „ONEKEY Product Cybersecurity Platform“ (OCP) als auch ergänzend die Beratungsleistungen eine maßgebliche Rolle)
• „EN 18031-2:2024“ (Sicherheit für IoT-Geräte, Spielzeug, Wearables und Kinderbetreuungs-Funkgeräte) – die besondere Schutzmaßnahmen erforderten (vor allem ein Beratungsthema)
• „EN 18031-3:2024“ (Sicherheit für Geräte mit Funk, die virtuelle Währungen verarbeiten und für die daher erhöhte Sicherheitsanforderungen gelten) – wiederum ein Beratungsthema

Produkte konform mit „RED“-Cyber-Sicherheits­anforderungen bei vollständiger Einhaltung der Normen (Selbst­deklaration)

Mit der Harmonisierung der „EN 18031“-Reihe könnten Hersteller von der Konformitätsvermutung profitieren: „Das heißt, ihre Produkte gelten als konform mit den ,RED’-Cyber-Sicherheits­anforderungen, wenn sie die jeweiligen Normen vollständig einhalten und darüber eine Selbst­deklaration abgeben.“ Dies erleichtere den Marktzugang innerhalb der EU erheblich – „sofern die Standards lückenlos umgesetzt und Nachweise darüber erbracht werden“.

• „Diese Nachweise zu erbringen ist mit unserer ,Product Cybersecurity & Compliance Platform’ erheblich leichter geworden“, erläutert Jan Wendenburg, „CEO“ von ONEKEY, und führt zur Strategie seines Unternehmens weiter aus: „Wir erweitern und aktualisieren permanent unsere automatisierte Cyber-Sicherheitsprüfung mit neuen Standards. Dazu gehören neben ,RED II’ beispielsweise auch ,IEC62443-4-2‘, ,ETSI 303645‘, der ,EU Cyber Resilience Act’ (CRA) und andere internationale Standards wie ,UK PSTI’, ,Singapore CLS’ etc.“

Nutznießer der „RED“-Harmonisierung seien die Verbraucher, weil die Standards den Schutz vor Cyber-Angriffen, Datenmissbrauch und unsicheren Geräten erhöhten. „Ob smarte Türklingeln, vernetztes Spielzeug oder ,Kryptowährungs-Wallets’ – die ,RED’-Regularien sind geeignet, mehr Vertrauen in einer zunehmend digitalisierten Welt zu schaffen.“

Rückblick auf Entstehung der „RED“-Standards

Die Funkanlagen-Richtlinie (Radio Equipment Directive / RED, 2014/53/EU) wurde erstmals 2014 verabschiedet und trat 2016 in Kraft, wobei sie die vorherige „R&TTE“-Richtlinie (Radio and Telecommunications Terminal Equipment Directive) von 1999 ablöste. Diese war ein erster Schritt, um einheitliche Standards für Funk- und Telekommunikationsgeräte zu schaffen. Sie legte Anforderungen an Sicherheit, Gesundheitsschutz und elektromagnetische Verträglichkeit (EMV) fest und führte die CE-Kennzeichnung als Nachweis der Konformität ein.

• „Nach Inkrafttreten von ,RED’ im Jahr 2016 wurde schnell klar, dass die Digitalisierung neue Herausforderungen mit sich brachte. Die explosionsartige Verbreitung von IoT-Geräten – von smarten Thermostaten bis hin zu vernetztem Spielzeug – machte die Anfälligkeit dieser Technologien für Cyber-Angriffe deutlich.“ 
• 2019 begann die EU-Kommission, Rechtsakte vorzubereiten, um Mindestanforderungen an die Cyber-Sicherheit von Funkgeräten einzuführen. Dieser Prozess wurde durch die Verabschiedung des „Cybersecurity Act“ (EU 2019/881) unterstützt, der ein Rahmen­werk für die Zertifizierung von IT-Sicherheit schuf. Ein wichtiger Meilenstein war die Einführung der „Delegierten Verordnung 2022/30“ (RED II), um spezifische Cyber-Sicherheitsanforderungen für Funkgeräte fest­zulegen.

Der Durchführungsbeschluss „EU 2025/138“ von Anfang 2025 markiert den vorläufigen Höhepunkt dieser Entwicklungen. Sie führt die harmonisierten Standards „EN 18031-1“, „EN 18031-2“ und „EN 18031-3“ ein, welche spezifische Cyber-Sicherheitsanforderungen für verschiedene Geräte­kategorien definiert.

Weitere Informationen zum Thema:

Amtsblatt der Europäischen Union, 30.01.2025
2025/138 / DURCHFÜHRUNGSBESCHLUSS (EU) 2025/138 DER KOMMISSION vom 28. Januar 2025 zur Änderung des Durchführungsbeschlusses (EU) 2022/2191 im Hinblick auf harmonisierte Normen zur Unterstützung der grundlegenden Anforderungen der Richtlinie 2014/53/EU des Europäischen Parlaments und des Rates in Bezug auf Cybersicherheit für die in der Delegierten Verordnung (EU) 2022/30 festgelegten Kategorien und Klassen von Funkanlagen

European Commission
Internal Market, Industry, Entrepreneurship and SMEs / Radio Equipment Directive (RED)