Cybersicherheit rückt ins Zentrum der Aufmerksamkeit europäischer Regulierung. Bis August 2025 müssen Produkte mit Funktechnik und Internetzugang nach der Funkanlagenrichtlinie das Netz, personenbezogene Daten und vor Betrug schützen. Die Norm EN18031 soll Hersteller bei der Umsetzung unterstützen. 

Statistisch findet alle 11 Sekunden auf der Welt ein Ransomware-Angriff statt, so die Europäische Kommission. Allein diese Ransomware-Angriffe sollen weltweit im Jahr 2021 geschätzte Kosten von 20 Mrd. Euro verursacht haben. Statista-Zahlen gehen von einem globalen Cybercrime-Schadensvolumen von etwa 10 Billionen Dollar für 2025 aus (Bild 1). Gleichzeitig sollen Cyberkriminelle rund 10 Mio. DDoS-Angriffe gestartet haben. 

Bild 1. Geschätztes weltweites Schadensvolumen durch Cybercrime in Billionen Dollar. (Quelle: Statista)

Die Europäische Kommission möchte Europa widerstandsfähiger und sicherer gegen Cyberangriffe machen und hat dazu den „Cyber Resilience Act“ (CRA) verabschiedet. Beim CRA handelt es sich um die erste EU-weite Gesetzgebung ihrer Art, die gemeinsame Regeln zur Cybersecurity für Hersteller und Entwickler von Produkten mit „digitalen Elementen“ (Hard- und Software) festlegt.  

Der Cyber Resiliance Act [1] soll dafür sorgen, dass 

• Drahtgebundene und drahtlose Produkte, die mit dem Internet verbunden sind, und Software auf dem EU-Markt sicherer werden. 
• Hersteller über den gesamten Lebenszyklus ihrer Produkte für die Cybersecurity ihrer Produkte verantwortlich bleiben. 
• Verbraucher ordentlich über die Cybersecurity der von ihnen gekauften und genutzten Produkte informiert werden. 

Cybersecurity-Risiken 

Cyberangriffe können sich innerhalb von Minuten über die Grenzen des Binnenmarkts hinweg verbreiten. Die Verordnung befasst sich daher mit zwei Problemen. 

1. Das niedrige Niveau der Cybersicherheit vieler dieser Produkte und, noch wichtiger, die Tatsache, dass viele Hersteller keine Updates zur Behebung von Sicherheitslücken bereitstellen. Während die Hersteller von Produkten mit digitalen Elementen manchmal einen Imageschaden erleiden, wenn ihre Produkte nicht sicher sind, werden die Kosten für Sicherheitslücken in erster Linie professionellen Nutzern und Verbrauchern aufgebürdet. Dies schränkt die Anreize für die Hersteller ein, in sicheres Design und Entwicklung zu investieren und Sicherheitsupdates bereitzustellen. 
2. Zum anderen verfügen Unternehmen und Verbraucher oft nicht über ausreichende und genaue Informationen, wenn es darum geht, sichere Produkte auszuwählen. Und sie wissen oft nicht, wie sie sicherstellen können, dass die von ihnen gekauften Produkte sicher eingerichtet sind. 

Die neuen Vorschriften befassen sich mit diesen beiden Aspekten, indem sie die Frage der Aktualisierungen und die Frage der Bereitstellung aktueller Informationen für die Kunden. 

Grundsätze des Cyber Resilience Act 

Der Cyber Resilience Act schreibt vor, dass Produkte mit digitalen Elementen nur dann auf den Markt gebracht werden dürfen, wenn sie bestimmte grundlegende Cybersicherheitsanforderungen erfüllen. Er verlangt von den Herstellern die Cybersicherheit bei der Konzeption und Entwicklung von Produkten mit digitalen Elementen zu berücksichtigen. 

Was die Informationen und Anweisungen für den Endnutzer betrifft, so verlangt der Cyber Resilience Act von den Herstellern Transparenz in Bezug auf die Cybersicherheitsaspekte, die den Kunden mitgeteilt werden müssen.  

Ein Schlüsselelement des Vorschlags ist die Abdeckung des gesamten Lebenszyklus der Produkte, und zwar insbesondere die Verpflichtung der Hersteller und Entwickler, einen Unterstützungszeitraum festzulegen, der der voraussichtlichen Nutzungsdauer des Produkts entspricht, und während dieses Zeitraums Sicherheitsaktualisierungen bereitzustellen. 

Diese Verpflichtungen gelten für die Wirtschaftsakteure, angefangen bei den Herstellern bis hin zu Händlern und Importeuren, im Zusammenhang mit dem Inverkehrbringen von Produkten mit digitalen Elementen. 

Auf der Grundlage des neuen Rechtsrahmens für die Produktgesetzgebung in der EU werden die Hersteller einem Konformitätsbewertungsverfahren unterzogen, um nachzuweisen, dass die festgelegten Anforderungen für ein Produkt erfüllt sind. 

Dies könnte über eine Selbstbewertung oder eine Konformitätsbewertung durch einen Dritten erfolgen, je nachdem, welches Risiko mit dem fraglichen Produkt verbunden ist. 

Wenn die Übereinstimmung des Produkts mit den geltenden Anforderungen nachgewiesen wurde, stellen Hersteller und Entwickler eine EU-Konformitätserklärung aus und können die CE-Kennzeichnung anbringen. Die CE-Kennzeichnung zeigt die Konformität von Produkten mit digitalen Elementen mit dem Cyber Resilience Act, so dass sie im Binnenmarkt frei vertrieben werden dürfen. 

Der Cyber Resilience Act wurde im November 2024 im Official Journal der EU veröffentlicht und wird voraussichtlich ab Dezember 2027 verpflichtend sein. Bis dahin soll eine Erweiterung der Funkanlagenrichtlinie RED um Cybersicherheitsaspekte für eine Verbesserung der Cybersicherheit zumindest in Funkanlagen sorgen. Dazu weiter unten mehr. 

Vorteile des Cyber Resilience Act 

Der Cyber Resilience Act wird den verschiedenen Beteiligten erhebliche Vorteile bringen. Die Unternehmen werden bald nur noch ein einziges Paket von Cybersicherheitsvorschriften in der gesamten EU einhalten müssen. 

Der Rechtsakt wird die Zahl der Cybersicherheitsvorfälle und damit auch die Kosten für die Bearbeitung von Vorfällen und die Rufschädigung von Unternehmen verringern. Dadurch würde das Vertrauen von Verbrauchern und Geschäftskunden in Unternehmen und Produkte gestärkt und somit die Nachfrage nach Produkten mit digitalen Elementen sowohl innerhalb als auch außerhalb der EU erhöht. 

Gleichzeitig werden die Verbraucher und Nutzer bei der Auswahl eines Produkts mit digitalen Elementen von mehr Informationen und von klareren Anweisungen zu deren Verwendung profitieren. Infolge geringerer Sicherheitsrisiken und Vorfälle wird Verbrauchern und Bürgern ein besserer Schutz der Grundrechte wie der Datenschutz und der Schutz der Privatsphäre zugutekommen. 

Der Cyber Resilience Act hat auch das Potenzial, über den EU-Binnenmarkt hinaus ein internationaler Bezugspunkt zu werden. Die auf dem Gesetz basierenden EU-Normen werden seine Umsetzung erleichtern und ein Vorteil für EU-Hersteller auf den globalen Märkten sein. 

Nicht-konforme Produkte 

Die Mitgliedstaaten müssen Marktaufsichtsbehörden ernennen, die für die Durchsetzung der Verpflichtungen aus dem Gesetz über die Widerstandsfähigkeit gegen Cyberangriffe zuständig sein werden. 

Im Falle der Nichteinhaltung können die Marktüberwachungsbehörden die Betreiber auffordern, die Nichteinhaltung zu beenden und das Risiko zu beseitigen. Sie können die Bereitstellung eines Produkts auf dem Markt verbieten oder einschränken oder anordnen, dass das Produkt zurückgenommen oder zurückgerufen wird. Jede dieser Behörden wird in der Lage sein, gegen Unternehmen, die sich nicht an die Vorschriften halten, Geldstrafen zu verhängen. Der Cyber Resilience Act legt Höchstgrenzen für Bußgelder fest, die in nationalen Gesetzen für den Fall der Nichteinhaltung vorgesehen werden. 

Zusammenspiel mit anderen Regeln 

Der Cyber Resilience Act soll die EU-Regulierungslandschaft harmonisieren, indem er Cybersicherheitsanforderungen für Produkte mit digitalen Elementen einführt und sich überschneidende Anforderungen, die aus verschiedenen Rechtsvorschriften stammen, vermeidet. Dies schafft größere Rechtssicherheit für Betreiber und Nutzer in der gesamten Union sowie eine bessere Harmonisierung des europäischen Binnenmarktes und damit bessere Bedingungen für Betreiber, die in den EU-Markt eintreten wollen. 

Der Cyber Resilience Act wird insbesondere die NIS2-Richtlinie ergänzen, die vor kurzem vom Europäischen Parlament und dem Rat verabschiedet wurde. Mit der NIS2-Richtlinie werden Anforderungen an die Cybersicherheit, einschließlich Sicherheitsmaßnahmen in der Lieferkette und Meldepflichten für wesentliche und wichtige Einrichtungen eingeführt, um die Widerstandsfähigkeit der von ihnen erbrachten Dienste zu erhöhen. 

Ein höheres Maß an Cybersicherheit für Produkte mit digitalen Elementen würde es den unter die NIS2-Richtlinie fallenden Einrichtungen erleichtern, die Vorschriften einzuhalten, und würde die Sicherheit der gesamten Lieferkette erhöhen. 

Der Cyber Resilience Act gilt auch für Funkanlagen, die in den Anwendungsbereich der Delegierten Verordnung gemäß der Funkanlagenrichtlinie 2014/53/EU (Radio Equipment Directive) fallen. Das Cyber Resilience Gesetz ist auf die Anforderungen der Delegierten Verordnung der RED abgestimmt, einschließlich der spezifischen geforderten Standards.  

Funkanlagenrichtlinie 2014/53/EU (RED) 

Intelligente Geräte und Spielzeug, intelligente Kameras und eine Reihe anderer vernetzter Funkgeräte wie Mobiltelefone, Laptops, Dongles, Alarmanlagen und Hausautomatisierungssysteme sind Beispiele für Geräte, bei denen die Gefahr besteht, dass sie gehackt werden und die Privatsphäre verletzt wird, wenn sie mit dem Internet verbunden sind. Darüber hinaus können tragbare Funkgeräte (z. B. Ringe, Armbänder, Taschenclips, Headsets, Fitness-Tracker usw.) eine Reihe sensibler Daten des Nutzers über einen längeren Zeitraum überwachen und aufzeichnen (z. B. Position, Temperatur, Blutdruck, Herzfrequenz) und diese nicht nur über das Internet, sondern auch über unsichere Kurzstrecken-Kommunikationstechnologien übertragen. Die Funkanlagenrichtlinie 2014/53/EU5 (RED) legt einen Rechtsrahmen für das Inverkehrbringen von Funkanlagen im Binnenmarkt fest (Bild 2). Sie betrifft verbindliche Marktzugangsbedingungen für Funkanlagen [2] und für die CE-Kennzeichnung ist die Konformität eines Produkts mit der RED erforderlich. Die RED gilt für elektrische und elektronische Geräte, die das Frequenzspektrum für Kommunikations- und/oder Funkbestimmungszwecke nutzen können. Die Mitgliedstaaten (MS) ergreifen über ihre nationalen Marktaufsichtsbehörden Korrekturmaßnahmen für nicht konforme Funkanlagen. 

Bild 2. Anforderungen der RED an Produkte mit Funk.

In Artikel 3 der RED sind die grundlegenden Anforderungen festgelegt, die Funkanlagen, die in der Union in Verkehr gebracht werden, erfüllen müssen. In Artikel 3 Absatz 1 Buchstabe a) sind die grundlegenden Anforderungen in Bezug auf Gesundheit und Sicherheit, in Artikel 3 Absatz 1 Buchstabe b) die grundlegenden Anforderungen in Bezug auf die elektromagnetische Verträglichkeit und in Artikel 3 Absatz 2 die grundlegenden Anforderungen in Bezug auf die effektive und effiziente Nutzung des Frequenzspektrums festgelegt. Darüber hinaus sieht Artikel 3 Absatz 3 zusätzliche grundlegende Anforderungen vor, die für diejenigen Kategorien oder Klassen von Funkanlagen gelten, die in entsprechenden delegierten Rechtsakten der Kommission festgelegt sind. 

Neue Cybersecurity-Regeln ab August 2025 Pflicht 

In Artikel 3 Absatz 3 der RED sind nun die neuen Anforderungen an die Cybersecurity von Funkgeräten definiert. Dabei geht es um die folgenden drei Punkte des zweiten Unterabsatzes von Artikel 3 Absatz 3 (Bild 3): 

• 3(3)(d) der Schutz des Netzes ist zu gewährleisten, 
• 3(3)(e) die Gewährleistung von Garantien für den Schutz personenbezogener Daten und der Privatsphäre, 
• 3(3)(f) der Schutz vor Betrug ist zu gewährleisten. 

Hilfestellung bei der Umsetzung der Cybersecurity-Anforderungen der Funkanlagenrichtlinie (RED) bietet die neue Normenreihe EN18031 zur Cybersecurity in Funkanlagen. 

Bild 3. Cybersecurity-Anforderungen der RED an Funkanlagen.

EN18031 - Cybersecurity in Funkanlagen 

Mit der Einführung neuer Anforderungen durch die Delegierte Verordnung 2022/30 zur Funkanlagenrichtlinie 2014/53/EU steht die Branche vor großen Herausforderungen. Die neue Normenreihe EN 18031, bestehend aus EN 18031-1, EN 18031-2 und EN 18031-3, soll Herstellern dabei helfen, die Konformität ihrer Produkte mit den verschärften Anforderungen nachzuweisen. Ab dem 1. August 2025 müssen betroffene Geräte diese Vorgaben verbindlich erfüllen (Bild 4). 

Die EN 18031 konkretisiert die Anforderungen der Funkanlagenrichtlinie im Hinblick auf die Cybersicherheit und umfasst drei Teile: 

• Die EN18031-1 richtet sich auf Funkanlagen mit Internetverbindung. Teil 1 dieser Norm legt Prüfverfahren und Bedingungen fest, um die Übereinstimmung von internetfähigen Funkanlagen mit Artikel 3 Absatz 3 Buchstabe d) der RED zu prüfen. Sie fordert, dass Funkanlagen keine schädlichen Auswirkungen auf Netzwerke oder deren Betrieb haben dürfen. 
• In EN18031-2 geht es um Funkgeräte, die Daten verarbeiten. Gemäß Teil 2 der Norm erfolgt eine Prüfung der datenverarbeitenden Funkgeräte in Bezug auf Artikel 3 Absatz 3 Buchstabe e) der RED zum Schutz personenbezogener Daten. 
• Die EN18031-3 befasst sich mit Funkgeräten, die finanzielle Werte verarbeiten. Dort sind die Prüfverfahren für Artikel 3 Absatz 3 Buchstabe f) der RED definiert, mit denen die Funktionen zum Schutz vor Betrug getestet werden. 

Die Normenreihe EN18031 wurde dazu von der mit der Normung beauftragten Cenelec im Oktober 2024 der EU-Kommission zur Prüfung und Harmonisierung vorgelegt.  

Bild 4. Ab dem 1. August 2025 müssen alle in Verkehr gebrachten Funkanlagen in der EU die Cyber-Security-Vorgaben der RED erfüllen.

Grundsätze der EN18031 

Die Norm EN 18031 bietet einen umfassenden und flexiblen Rahmen für die Sicherheit von Funkanlagen. Sie berücksichtigt die Komplexität und Vielfalt moderner Geräte und bietet Herstellern klare Richtlinien für die Umsetzung robuster Sicherheitsmaßnahmen. Einen kompakten Überblick gibt das Portal Cyber Regulierung [3]. Die Norm EN18031 wurde von der Cenelec im Auftrag der EU erstellt und im Oktober 2024 an die EU-Kommission zur Prüfung eingereicht. So lange die Harmonisierung der Norm nicht erfolgt ist, müssen Produkte noch durch akkreditierte Prüfdienstleister zertifiziert werden. 

Die relevanten Grundsätze laut Cyber-Regulierung sind: 

• Security-by-Design: Security-Aspekte sind schon im Entwicklungsprozess zu berücksichtigen. 
• Strukturierte Bedrohungsanalyse: EN 18031 empfiehlt die Verwendung des STRIDE-Modells. Dieses Modell hilft Herstellern, systematisch über mögliche Bedrohungen nachzudenken, indem es sechs Hauptkategorien von Bedrohungen betrachtet: Spoofing, Tampering, Repudiation, Information disclosure, Denial of service und Elevation of privilege. 
• Kategorisierung von Sicherheitsmaßnahmen: Die Norm teilt Sicherheitsanforderungen in fünf Hauptkategorien ein: 

– Identifizieren: Erkennen von Sicherheitsrisiken 
– Schützen: Verhindern oder Begrenzen von Sicherheitsvorfällen 
– Erkennen: Aufspüren von Sicherheitsvorfällen 
– Reagieren: Angemessenes Handeln bei erkannten Vorfällen 
– Wiederherstellen: Wiederherstellung nach einem Sicherheitsvorfall 

• Assets: Die Norm führt den Begriff “Assets” ein, um die Hauptziele von Sicherheitsmaßnahmen zu definieren. Diese umfassen Netzwerk-Assets, Sicherheits-Assets, Datenschutz-Assets und finanzielle Assets. Dieser Ansatz hilft Herstellern, gezielt Schutzmaßnahmen für die wichtigsten Teile ihres Produkts zu entwickeln. 
• Mechanismen: Die Norm verwendet “Mechanismen”, um spezifische Sicherheitsanforderungen zu adressieren. Dieser Ansatz erlaubt es, die Anforderungen flexibel auf verschiedene Gerätetypen und Einsatzszenarien anzuwenden. 
• Praktische Bewertungsmethoden: Die Norm bietet konkrete Werkzeuge zur Beurteilung der Konformität: 

– Entscheidungsbäume helfen bei der Bestimmung, ob bestimmte Anforderungen anwendbar sind 
– Vorgaben für die technische Dokumentation zeigen, welche Informationen Hersteller bereitstellen müssen 
– Richtlinien für Sicherheitstests geben an, wie die Umsetzung der Anforderungen überprüft werden kann 

Insgesamt soll die EN 18031 einen ausgewogenen und praktikablen Ansatz zur Verbesserung der Sicherheit von Funkgeräten bieten. Die Norm erkennt an, dass es keine einheitliche Lösung für alle Geräte gibt, und bietet stattdessen einen Rahmen, innerhalb dessen Hersteller geeignete Sicherheitsmaßnahmen für ihre spezifischen Produkte entwickeln können. 

Weitere Details zu den Anforderungen und Mechanismen sowie der Prüfung sind in [3] dargestellt.