Radio Equipment Directive: Cybersecurity-Schutz für Funkanlagen

Die Radio Equipment Directive (RED, 2014/53/EU) ist die zentrale EU-Richtlinie für Funkanlagen. Mit der Delegiertenverordnung (EU) 2023/2444 wurde die RED überarbeitet, um auch den modernen Cybersicherheitsanforderungen gerecht zu werden. Insbesondere wurde die Verordnung für Geräte erweitert, die mit einer Funkschnittstelle über das Internet kommunizieren. Dazu kommen bestimmte andere Geräte und Anlagen (z. B. Kinderbetreuung, Spielzeug, Wearables), sofern sie personenbezogene Daten, Verkehrsdaten oder Standortdaten verarbeiten können.

Die Direktive regelt die Sicherheits-, Gesundheits- und Funkspektrum-Anforderungen für alle Geräte, die drahtlos Informationen austauschen – von Smartphones und WLAN-Routern über Smart-Home-Anwendungen bis hin zu IoT-Geräten und Industrieanlagen mit Wireless-Komponenten. Ebenso betroffen sind smarte und vernetzte Geräte wie Wearables, die personenbezogene Daten verarbeiten oder diese mit kommerziellen Netzwerken teilen. Ein Schutz vor Betrug muss für alle mit dem Internet verbundene Funkanlagen gewährleistet sein, wenn sie Geld oder monetäre/virtuelle Werte übertragen können.

Als spezifische Ausnahmen in diesem Geltungsbereich nennt die Delegiertenverordnung Funkanlagen, die von diesen neuen Cybersicherheitsanforderungen ausgenommen sind, weil sie bereits unter andere EU-Rechtsvorschriften fallen. Dazu gehören zum Beispiel Medizinprodukte, In-vitro-Diagnostika, Kraftfahrzeuge, Produkte für die Luftfahrt, elektronische Mautsysteme etc.

Die überarbeitete RED soll so sicherstellen, dass vernetzte Geräte gegen Cyberangriffe geschützt sind und den Datenschutz gewährleisten. Die neuen Anforderungen gelten ab dem 1. August 2025, was für Hersteller, Importeure und Händler von Funkprodukten dringenden Handlungsbedarf bedeutet. «Obwohl die Schweiz als Nicht-EU-Land nur indirekt betroffen ist, müssen Schweizer Unternehmen die Anforderungen ab dem Zeitpunkt der EU-Einführung ebenfalls einhalten, sofern sie in der EU tätig sind», sagt Jürgen Messerer, Embedded Software Architekt bei bbv.

Welche Unternehmen die RED betrifft – und was nun zu tun ist

Unternehmen, die entsprechende Funkgeräte entwickeln, in Verkehr bringen oder betreiben, müssen sowohl die RED als auch den CRA erfüllen. «Dazu gehört unter anderem die Durchführung von Konformitäts-Bewertungsverfahren, die Erstellung technischer Dokumentationen und das Anbringen der CE-Kennzeichnung» erklärt Jürgen Messerer. Betroffen sind auch alle Unternehmen, die drahtlos kommunizierende Geräte reparieren, die sie in ihre Produkte integrieren oder die solche Geräte aus Drittländern in die EU oder in die Schweiz einführen. Diesen Organisationen wird empfohlen, bereits jetzt eine Strategie zur Umsetzung beider Regelwerke zu entwickeln. Die Übergangsfrist endet am 1. August 2025 – danach dürfen nicht-konforme Produkte in der EU nicht mehr verkauft oder betrieben werden.

Jürgen Messerer rät Unternehmen, je nach Art der Produkte folgende Abklärungen und Massnahmen zu treffen:

• Produktanalyse durchführen: Um herauszufinden, ob ein Produkt die Compliance der RED 2023/2444 erfüllt, hilft eine technische und regulatorische Analyse der eigenen Produkte. Es muss abgeklärt werden, welche Produkte Funktechnologien nutzen und ob sie grundsätzlich der RED unterliegen. Sind diese Produkte bereits zertifiziert oder müssen sie nachgerüstet werden? Dazu ist eine Analyse der aktuellen Sicherheitsanforderungen notwendig sowie eine Bedrohungsmodellierung.
• Cybersicherheitsanforderungen prüfen: Entsprechen die Geräte den neuen Anforderungen an Datenschutz, Datensicherheit und Netzwerkschutz? Sind Mechanismen vorhanden, um Manipulationen oder Angriffe auf die Funkkommunikation zu verhindern? Eine umfassende Gefahrenanalyse kann darüber Auskunft geben.

• Tests und Zertifizierung vorbereiten: Um eine Validierung der Sicherheitsanforderungen gewährleisten zu können, müssen Sicherheitsprüfungen und Penetrationstests durchgeführt werden. Ebenso Verfahren zur Überwachung der Produktsicherheit und Umsetzung von Korrekturmassnahmen bei Fehlern.
• Software- und Firmware-Sicherheit anpassen: Unternehmen müssen sicherstellen, dass alle Geräte regelmässige Sicherheitsupdates erhalten und ein Monitoring eingerichtet wird. Notwendig kann auch die Implementierung sicherer Authentifizierungs- und Verschlüsselungsmechanismen sein. Zudem müssen Funkgeräte sicher entsorgt werden können.
• Technische Dokumentation aktualisieren: Hersteller müssen detaillierte Informationen und Anweisungen für den sicheren Gebrauch der Geräte bereitstellen. Die Dokumentation muss für Benutzende und die Marktüberwachungsbehörden zugänglich sein. Zur Dokumentation gehören auch Anpassungen an die Konformitätserklärungen, die Einführung von CE-Kennzeichnungen und die Erstellung technischer Unterlagen, die auch aktuelle Risikobewertungen für Cyberbedrohungen enthalten. Security-Guidelines müssen zur Verfügung gestellt werden. Diese zeigen auf, welche Security-Features ein Produkt aufweist, wie es sich sicher in Betrieb nehmen und bei einem Sicherheitsvorfall härten lässt.
• Compliance-Strategie mit Lieferanten und Partnern abstimmen: Sind alle Zulieferer und Hersteller entlang der Lieferkette über die neuen Anforderungen informiert? Halten sie sich bereits an die aktuelle Direktive? Die Vertragsregelungen zur Einhaltung der neuen Cybersicherheitsanforderungen müssen bei Bedarf angepasst werden.

Wie kann bbv bei der Umsetzung der RED helfen?

Die praktische Umsetzung und der Nachweis der Konformität erfolgt oft über die Einhaltung spezifischer harmonisierter Normen wie die EN18031, welche die technischen Details der Anforderungen abdecken. bbv unterstützt Unternehmen mit ganzheitlichen Lösungen zur Einhaltung der RED sowie der neuen Cybersicherheitsanforderungen gemäss CRA, NIS-2 und IEC62443. So kann sichergestellt werden, dass entsprechende Produkte auch nach dem 1. August 2025 rechtskonform und sicher sind.

• Compliance-Check und Risikobewertung
  bbv führt eine detaillierte Analyse (Cybersecurity Risk Assessments inklusive Threat Analysis) durch, um zu prüfen, ob Produkte unter die RED fallen und ob sie den neuen Sicherheitsanforderungen der RED entsprechen. Die bbv-Experten helfen dabei, potenzielle Schwachstellen von Funkgeräten zu identifizieren und sichere Authentifizierungsmechanismen zu implementieren. Zudem bietet bbv eine regulatorische Beratung und einen Compliance-Check, bei dem die bestehenden Sicherheitsmechanismen überprüft werden.
• Entwicklung sicherer digitaler Komponenten
  Falls ein Produkt Software oder smarte Funktionen beinhaltet, helfen wir bei der Implementierung sicherer Architekturen und Software-Updates, um den Anforderungen der RED gerecht zu werden. Bei der Softwareentwicklung kann bbv dank Security-by-Design Produkte von Grund auf sicher gestalten, um Cyberrisiken im Vornherein einzudämmen.
• Optimierung von Rückverfolgbarkeit und technische/regulatorische Dokumentation
  bbv entwickelt Lösungen zur lückenlosen Rückverfolgbarkeit von Produkten, um regulatorische Anforderungen zu erfüllen und Rückrufprozesse effizienter zu gestalten. Die Vorbereitung und Konformitätsbewertung für die CE-Kennzeichnung können die Experten von bbv ebenso vornehmen wie die Unterstützung bei Penetrationstests und Sicherheitsprüfungen
• Integration von Cybersecurity-Massnahmen
  Da auch drahtlos kommunizierende digitale Komponenten unter die RED fallen, bietet bbv Sicherheitslösungen für entsprechende Produkte, um Unternehmen gegen potenzielle Cyberrisiken abzusichern. Es bestehen etwa Möglichkeiten zu einer technischen Implementierung von Cybersicherheitsanforderungen, der Entwicklung sicherer Firmware- und Software-Architekturen sowie eine Absicherung von IoT- und Smart-Devices gegen Cyberangriffe.
• Training und Schulung
  bbv bietet gezielte Workshops für Unternehmen an, um Mitarbeitende mit den neuen Anforderungen von Sicherheitsdirektiven vertraut zu machen und Best Practices für die Umsetzung zu vermitteln. Die Workshops sensibilisieren für das Thema Cybersecurity und führen in die wichtigsten Themen ein. Durch Gruppenarbeiten identifizieren die Teilnehmenden gemeinsam Handlungsfelder in Ihrem Unternehmen und entwickeln eine konkrete Roadmap für potenzielle Massnahmen.