Für mit dem Internet verbundene Geräte, die über eine Funkschnittstelle wie Bluetooth oder WiFi verfügen, gelten bald klare Cybersicherheitsregeln. Ab dem 1. August 2025 wird ein CE-Kennzeichen deutlich machen, dass die betroffenen Geräte auch grundlegende Cybersicherheitsanforderungen zum Schutz von Netzwerken, der Privatsphäre und vor Betrug erfüllen.
Hersteller müssen dazu diese rechtlich verbindlichen Cybersicherheitsanforderungen umsetzen, um ihre Geräte auf dem europäischen Binnenmarkt verkaufen zu dürfen. Die verbindlichen Cybersicherheitsanforderungen wurden in harmonisierten Normen ausspezifiziert und mit Prüfkriterien belegt, womit der Konformitätsnachweis vereinfacht wird. An der Entwicklung der Normen war das Bundesamt für Sicherheit in der Informationstechnik (BSI) maßgeblich beteiligt. Inhaltlich enthalten die Normen unter anderem die Absicherung vertraulicher Kommunikation durch das Gerät sowie das Vorhandensein eines Update-Mechanismus.
Für Hersteller entsprechender Geräte ist die auf der Funkanlagenrichtlinie (Radio Equipment Directive – EU-Richtlinie (2014/53/EU)) basierende delegierte Verordnung 2022/30/EU mit den zugehörigen harmonisierten Normen EN 18031-1/- 2/-3 nun ein wichtiger Orientierungspunkt. Die Normen sind seit dem 30.01.2025 im Amtsblatt der EU mit Einschränkungen zitiert.
Die Einschränkungen betreffen insbesondere das zwingende Setzen von Nutzerpasswörtern, die Gewährleistung der Zugangssteuerung durch Eltern oder Erziehungsberechtigte für Spielzeuge und umfassen außerdem Geräte, die finanzielle Transaktionen ermöglichen.
Über diese Normen steht Herstellern entsprechender Geräte jetzt auch das für den Massenmarkt besonders geeignete, gut skalierende Verfahren “Selbstbewertung der Konformität” auf einem angemessenen Cybersicherheitsniveau zur Verfügung. Dabei können Hersteller ihre Produkte auf Basis transparenter Anforderungen und Testkriterien aus den Normen selbst testen. Die zuständige Marktüberwachung für die Funkanlagenrichtlinie (in Deutschland die Bundesnetzagentur) überprüft die Einhaltung der Cybersicherheitsanforderungen. Bisher wäre der Nachweis der Konformität nur über eine notifizierte Prüfstelle möglich gewesen.
Mit dem Ende 2024 in Kraft getretenen Cyber Resilience Act (2024/2847/EU) wird zukünftig die Cybersicherheit von Produkten mit digitalen Elementen noch umfassender adressiert. Die Möglichkeit der “Selbstbewertung der Konformität” zu den Cybersicherheitsanforderungen der RED unterstützt dafür einen reibungslosen Übergang.
