Die Funkanlagenrichtlinie (Radio Equipment Directive, RED, 2014/53/EU) wurde erstmals 2014 verabschiedet und trat 2016 in Kraft, wobei sie die vorherige R&TTE-Richtlinie (Radio and Telecommunications Terminal Equipment Directive) von 1999 ablöste. Diese war ein erster Schritt, um einheitliche Standards für Funk- und Telekommunikationsgeräte zu schaffen. Sie legte Anforderungen an Sicherheit, Gesundheitsschutz und elektromagnetische Verträglichkeit (EMV) fest und führte die CE-Kennzeichnung als Nachweis der Konformität ein.
Nach Inkrafttreten von RED im Jahr 2016 wurde schnell klar, dass die Digitalisierung neue Herausforderungen mit sich brachte. Die explosionsartige Verbreitung von IoT-Geräten – von smarten Thermostaten bis hin zu vernetztem Spielzeug – machte die Anfälligkeit dieser Technologien für Cyberangriffe deutlich. 2019 begann die EU-Kommission, Rechtsakte vorzubereiten, um Mindestanforderungen an die Cybersicherheit von Funkgeräten einzuführen. Dieser Prozess wurde durch die Verabschiedung des Cybersecurity Act (EU 2019/881) unterstützt, der ein Rahmenwerk für die Zertifizierung von IT-Sicherheit schuf. Ein wichtiger Meilenstein war die Einführung der Delegierten Verordnung 2022/30 (RED II), um spezifische Cybersicherheitsanforderungen für Funkgeräte festzulegen.
Der Durchführungsbeschluss EU 2025/138 von Anfang 2025 markiert den vorläufigen Höhepunkt dieser Entwicklungen. Sie führt die harmonisierten Standards EN 18031-1, EN 18031-2 und EN 18031-3 ein, die spezifische Cybersicherheitsanforderungen für verschiedene Gerätekategorien definiert.
Sicherheit für vernetzte Geräte mit Funk
Die Standards der EN-18031-Serie präzisieren die Cybersicherheitsanforderungen für Geräte mit Funkschnittstellen gemäß der Radio Equipment Directive (RED II). Das Düsseldorfer Cybersecurity-Unternehmen Onekey bietet mit ihrer Product Cybersecurity & Compliance Platform (OCP), Expert Consulting Services und spezifischen Assessments eine ganzheitliche Lösung, mit der Hersteller ihre Produkte gemäß RED-Normen auf eventuelle Sicherheitslücken prüfen können.
Diese Prüfung erstreckt sich von Erstellung und Management einer Software Bill of Materials (SBOM) über das durch RED II zwingend vorgeschriebene Schwachstellen-Management bis hin zum Compliance Wizard von Onekey. Dieser verknüpft eine automatische technische Cyber-Sicherheitsprüfung mit einem virtuellen Assistenten für ein vereinfachtes Assessment der technischen Produkt Cyber-Compliance. Die dabei entstehende Dokumentation hilft den von der EU geforderten Nachweispflichten in Bezug auf Cybersicherheit nach den verschiedenen RED-Normen gerecht zu werden.
Im Einzelnen geht es aktuell um die drei folgenden Bereiche des RED-18031-Standards:
EN 18031-1:2024 (Sicherheit für Geräte mit Funk, die mit dem Internet verbunden sind; hier spielen sowohl die Onekey Product Cybersecurity Platform (OCP) als auch ergänzend die Beratungsleistungen eine maßgebliche Rolle),
EN 18031-2:2024 (Sicherheit für IoT-Geräte, Spielzeug, Wearables und Kinderbetreuungs-Funkgeräte, die besondere Schutzmaßnahmen erfordern ist vor allem ein Beratungsthema),
EN 18031-3:2024 (Sicherheit für Geräte mit Funk, die virtuelle Währungen verarbeiten und für die daher erhöhte Sicherheitsanforderungen gelten; wiederum ein Beratungsthema).
Mit der Harmonisierung der EN 18031-Reihe können Hersteller von der Konformitätsvermutung profitieren, das heißt, ihre Produkte gelten als konform mit den RED-Cybersicherheitsanforderungen, wenn sie die jeweiligen Normen vollständig einhalten und darüber eine Selbstdeklaration abgeben. Dies erleichtert den Marktzugang innerhalb der EU erheblich – sofern die Standards lückenlos umgesetzt und Nachweise darüber erbracht werden.
„Diese Nachweise zu erbringen ist mit unserer Product Cybersecurity & Compliance Platform erheblich leichter geworden“, erklärt Jan Wendenburg, CEO von Onekey. Er erklärt die Strategie seines Unternehmens: „Wir erweitern und aktualisieren permanent unsere automatisierte Cybersicherheitsprüfung mit neuen Standards. Dazu gehören neben RED II beispielsweise auch IEC62443-4-2, ETSI 303645, der EU Cyber Resilience Act CRA und andere internationale Standards wie UK PSTI, Sigapore CLS et cetera.“
Nutznießer der RED-Harmonisierung sind die Verbraucher, weil die Standards den Schutz vor Cyberangriffen, Datenmissbrauch und unsicheren Geräten erhöhen. Ob smarte Türklingeln, vernetztes Spielzeug oder Kryptowährungs-Wallets – die RED-Regularien sind geeignet, mehr Vertrauen in einer zunehmend digitalisierten Welt zu schaffen, heißt es bei Onekey.
RED-II-Assessment nach EN 18031-1/-2/-3 als Beratungsleistung
Für alle Unternehmen steht auch das Assessment durch die Onekey-Experten gemäß EN 18031-1, -2 und -3 zur Verfügung. Es beginnt mit einem interaktiven Workshop, in dem die RED-Anforderungen verständlich erläutert werden. Eine strukturierte Ist-Zustandsaufnahme mithilfe von Interviews und Fragebögen, analysiert im Anschluss die aktuellen Prozesse, Dokumentationen und Softwareentwicklungspraktiken des Unternehmens.
Das Ergebnis ist ein detaillierter Report, der bestehende Gaps, also Abweichungen von den Normanforderungen, aufzeigt und konkrete Empfehlungen zur Behebung liefert. Darauf aufbauende Consulting-Services, wie zum Beispiel die Konzeptausgestaltung und Umsetzungsbegleitung, unterstützen Unternehmen gezielt auf dem Weg zur vollständigen RED-Compliance. Durch die Kombination aus technischer Analyse, Interviews mit Schlüsselpersonen und fokussierter GAP-Analyse entsteht eine klare Roadmap zur Erreichung der Compliance.
