Fachbeitrag

Fordert die Funkgeräterichtlinie (RED) die Erfüllung von Security?

Security-Anforderungen für internetfähige Maschinen


Fachbeitrag teilen
Share Button Linkedin Share Button Xing Share Button X Share Button E-Mail

Aufnahme eines digitalen Sicherheitsschlosses

Seit 2014 regelt die Richtlinie 2014/53/EU (die sogenannte „Funkgeräterichtlinie“ bzw. häufig auch unter dem englischen Namen bekannte „Radio Equipment Directive“, kurz „RED“) Anforderungen an die Bereitstellung von Funkanlagen. In einem kürzlich erschienenen Rechtsakt werden nun Inhalte der Richtlinie speziell im Hinblick auf das Thema (Cyber-)Security und Datenschutz konkretisiert.

Diese Kurzübersicht erklärt die Beweggründe der Kommission sowie einige inhaltliche Aspekte zu diesem Rechtsakt.

Erwägungsgründe der Kommission

Die 5G-Technologie ist weltweit auf dem Vormarsch und wird somit in Zukunft auch den Arbeitsalltag in der Europäischen Union maßgeblich beeinflussen. Trotz aller Vorteile dieser Technologie gefährdet die Verbreitung dieses Standards auch die Cybersicherheit. Speziell Maschinen, die mithilfe eines drahtlosen Netzwerkanschlusses über das Internet kommunizieren können, fallen unter die Funkgeräterichtlinie und sind deshalb auch einer solchen Bedrohung ausgesetzt.

Die grundlegenden Anforderungen der Richtlinie bezogen sich bisher jedoch nicht auf Funkanlagen, welche mit dem Internet verbunden sind. Dieser Anlagentyp ist durch die Internetverbindung Betrugsrisiken ausgesetzt, welche durch eine entsprechende Anpassung der Anforderungen reduziert werden sollen. Aus diesen Gründen sah die EU-Kommission Handlungsbedarf, im Zuge eines Rechtsakt den Artikel 3 der Richtlinie „nachzuschärfen“.

Seminarhinweis

Anforderungen der EU-Funkanlagenrichtlinie 2014/53/EU

Bild einer Mitarbeiterin bei der Qualitätsprüfung

Unser Praxisseminar "Anforderungen der EU-Funkanlagenrichtlinie 2014/53/EU (RED-Richtlinie)" vermittelt Teilnehmern die formalen und technischen Anforderungen der Funkgeräterichtlinie.

zum Seminar

Konkrete Inhalte der Verordnung

Die Verordnung wurde von der EU-Kommission im Amtsblatt der Europäischen Union als „Ergänzung der Richtlinie 2014/53/EU (…) im Hinblick auf die Anwendung der grundlegenden Anforderungen, auf die in Artikel 3 Absatz 3 Buchstaben d, e und f der Richtlinie Bezug genommen wird“, veröffentlicht.1

In der Richtlinie wurde der Kommission die Befugnis zugeteilt, im Rahmen von delegierten Rechtsakten festzulegen, „welche Kategorien oder Klassen von Funkanlagen“ unter die in Artikel 3 genannten Anforderungen fallen.

Ein solcher Rechtsakt ist nun die Verordnung 2022/30: diese legt fest, dass „mit dem Internet verbundene Funkanlagen“ ebenfalls unter diese Anforderungen fallen.

Dies bedeutet im erweiterten Sinne, dass beispielsweise Maschinen, die über einen drahtlosen Netzwerkanschluss mit dem Internet verbunden sind, keine „schädlichen Auswirkungen auf das Netz oder seinen Betrieb“ ausüben dürfen sowie „Funktionen zum Schutz vor Betrug“ und den Schutz personenbezogener Daten gewährleisten müssen.

Selbstverständlich muss eine Maschine rechtlich nur dann die Cybersecurity-Anforderungen der RED erfüllen, wenn die Maschine eine Funkschnittstelle besitzt und damit als Funkanlage selbst unter die Funkgeräterichtlinie fällt. Verfügt eine Maschine ausschließlich über drahtgebundene Schnittstellen, so ist sie in diesem Fall keine Funkanlage und fällt somit nicht unter die RED. Es gelten dann die anderen einschlägigen Vorschriften, wie z. B. die Maschinenrichtlinie und die EMV-Richtlinie, in Zukunft auch die neue Maschinenverordnung und ggf. der neue Cyber Resilience Act.
 

Zeitpunkt des Inkrafttretens und weiterführende Informationen

Gemäß den Angaben der Kommission ist die Verordnung ab dem 20. Tag der Veröffentlichung im Amtsblatt wirksam (1.2.2022), ab 1.8.20252 müssen betroffene Produkte dann die neuen Anforderungen verpflichtend erfüllen.
 

Harmonisierte Normen für die Security-Anforderungen

Die europäischen Normungsorganisationen (ESO) CEN/CENELEC kündigten nach Veröffentlichung der Verordnung 2022/30 an, einschlägige Normen für diese Anforderungen zu erarbeiten. Das gemeinsame technische Komitee JTC13 (Cybersecurity und Datenschutz) entwickelte daraufhin folgende Normen: 

  • EN 18031-1:2024 – Gemeinsame Sicherheitsanforderungen für Funkanlagen - Teil 1: Funkanlagen mit Internetanschluss
  • EN 18031-2:2024 – Gemeinsame Sicherheitsanforderungen für datenverarbeitende Funkanlagen, namentlich mit dem Internet verbundene Funkanlagen, in der Kinderbetreuung eingesetzte Funkanlagen, in Spielzeug eingesetzte Funkanlagen sowie an einem Teil des menschlichen Körpers oder an Kleidungsstücken getragene Funkanlagen
  • EN 18031-3:2024 – Gemeinsame Sicherheitsanforderungen für mit dem Internet verbundene Funkanlagen, die für die Datenverarbeitung im Zusammenhang mit virtuellen Währungen oder monetären Werten eingesetzt werden

Laut der Website vom Herausgeber CEN/CENELEC wurden diese Normen am 1.8.2024 ratifiziert, in den nächsten Wochen erfolgt die Auslieferung der finalen Versionen an die nationalen Mitglieder zur Publikation. Von dort können Anwender dann in weiterer Folge die jeweiligen Volltexte der Normen erwerben. 

Zur Listung der Normen im EU-Amtsblatt nach der Funkgeräterichtlinie wurden die Normen durch sogenannte HAS-Consultants (Experten der Wirtschaftsprüfungsgesellschaft EY) bewertet. Diese Bewertung der drei Teile durch die zuständigen Consultants fiel jedoch negativ aus, stattdessen raten sie dem zuständigen Technischen Komittee zur Neuformulierung von Inhalten. Somit bleibt abzuwarten, ob die Normen überhaupt im EU-Amtsblatt oder unter Umständen nur mit Einschränkung veröffentlicht werden.3 

Sollten die Normen bis zum 01.08.2025 nicht im Amtsblatt der EU (OJEU) gelistet sein - also weiterhin keine Freigabe durch die HAS-Consultants vorliegen -, so muss die Konformität der betroffenen Funkanlagen bis zu einer eventuellen Listung durch eine benannte Stelle nachgewiesen werden. Auf den Seiten der EU-Kommission ist eine solche Liste der "Notified Bodies" zur Funkgeräterichtlinie einzusehen. 
 

Link zur delegierten Verordnung

Interessierte Leser können den Volltext der Verordnung im Portal EUR-LEX nachlesen.

Fußnoten:
Den Volltext zur Funkgeräterichtlinie 2014/53/EU finden Sie in der Rubrik Downloads.
Der Stichtag war ursprünglich für den 1.8.2024 vorgesehen, wurde nun aber um ein Jahr verschoben. Die entsprechende Veröffentlichung im EU-Amtsblatt können Sie auf der Seite EUR-LEX nachlesen.
Veröffentlichung auf LinkedIn zur Normenreihe EN 18031 und das negative Urteil durch die HAS-Consultants

Verfasst am: 21.08.2024 (letzte Aktualisierung)

Mitarbeiter im Bereich Community- und Datenmanagement bei der IBF GmbH

Daniel Zacek-Gebele, MSc
Produktmanager bei IBF für Zusatzprodukte sowie Datenmanager für die Aktualisierung der Normendaten am Safexpert Live Server. Studium der Wirtschaftswissenschaften in Passau (BSc) und Stuttgart (MSc) im Schwerpunkt International Business and Economics.

E-Mail: daniel.zacek-gebele@ibf-solutions.com | www.ibf-solutions.com

 

Registrierung

Sie sind noch nicht registriert? Melden Sie sich jetzt zum kostenlosen CE-InfoService an und erhalten Sie Infos per Mail, wenn neue Fachbeiträge, wichtige Normenveröffentlichungen oder sonstige News aus dem Bereich Maschinen- und Elektrogerätesicherheit bzw. Product Compliance verfügbar sind.

Registrieren

Hinweisbild Anzeige Security by Design Cyber Security Anforderungen an Maschinen und Anlagen

Unterstützung durch IBF

CE-Software Safexpert

Details

CE-Software zum systematischen und professionellen sicherheitstechnischen Engineering

Praxis-Seminare

Seminarübersicht

Praxisgerechte Seminare rund um das Thema Produktsicherheit

Bleiben Sie Up-to-Date!

Registrieren

Mit dem CE-InfoService bleiben Sie informiert bei wichtigen Entwicklungen im Bereich Produktsicherheit