27. Januar 2022
Nach jahrelangen Diskussionen hat die EU-Kommission endlich beschlossen, die Cybersicherheit in die Funkgeräterichtlinie (RED) aufzunehmen, die den Großteil der IoT- und Funkprodukte abdeckt. Die letzte Frist für weitere Kommentare oder Verschiebungen endete im Dezember, so dass am 1. Januar 2022 der 30-monatige Countdown bis August 2024 angelaufen ist. Dann wird Cybersicherheit formell eine verbindliche Anforderung für die CE-Kennzeichnung von Geräten mit Funkmodulen sein.
Hintergrund der neuen Anforderungen
Die Anforderungen an die Cybersicherheit waren schon immer Teil der Funkgeräterichtlinie (RED), doch aufgrund von Unklarheit über den Konformitätsnachweis, wurde dieser Teil des Textes nicht umgesetzt - bis jetzt.
Die relevanten Anforderungen finden sich in der RED in Artikel 3(3) d), e) und f) und lauten vereinfacht ausgedrückt, dass Funkanlagen
(d) die Netze nicht beeinträchtigen oder missbrauchen dürfen, was zu einer unzumutbaren Einschränkung des Dienstes führt,
(e) den Schutz von personenbezogenen Daten und der Privatsphäre und
(f) den Schutz vor Betrug sicherstellen.
Da es derzeit keine Normen für diese Anforderungen gibt, hat die EU-Kommission die europäischen Normungsorganisationen
(ETSI, CEN und CENELEC) aufgefordert, entsprechende Normen zu erarbeiten, damit die Hersteller ihre Produkte bewerten können.
Das bedeutet jedoch nicht, dass es derzeit keine Normen zu Cybersicherheit gibt. Im Jahr 2020 hat ETSI die
"Cybersicherheit für das Internet der Dinge für Verbraucher" veröffentlicht. Diese Norm kommt den erwarteten Anforderungen wohl am nächsten.
Welche Produkte fallen in den Anwendungsbereich?
Der Geltungsbereich der RED und des Artikels zur Cybersicherheit ist breit gefächert, so dass die meisten mit dem Internet verbundenen Produkte, die wir in unserem täglichen Leben verwenden, unter die neuen Anforderungen fallen.
Die Umsetzung von Artikel 3 der Funkgeräterichtlinie durch die Europäische Union (EU) bedeutet, dass die oben genannten Anforderungen für die folgenden Produkte verpflichtend sein werden:
(d) Alle Funkanlagen, die direkt oder indirekt über das Internet kommunizieren
(e) Alle Funkanlagen, die personenbezogene Daten oder Verkehrs- und Standortdaten verarbeiten, z. B.
- mit dem Internet verbundene Funkanlagen
- Funkanlagen für die Kinderbetreuung*
- Funkanlagen im Rahmen der Spielzeugrichtlinie*
- Am Körper zu tragende Funkgeräte
(f) Alle an das Internet angeschlossenen Funkgeräte, die eine Geldüberweisung ermöglichen
*Alle Geräte für Kinder mit einem Funkmodul sind betroffen - auch die, die nicht mit dem Internet verbunden sind.
Ausdrücklich ausgenommen sind Geräte, die unter die Medizinprodukte- oder In-Vitro-Verordnung fallen, sowie Flugzeuge, Fahrzeuge und Straßenmautsysteme.
Wie und wann sollten Sie sich vorbereiten?
Die Veröffentlichung der endgültigen Normen abzuwarten, ist keine gute Strategie, da sich die Fertigstellung der Norm verzögern kann, die Umsetzung der Verordnung jedoch nicht. Aus diesem Grund kann die Zeit zwischen der Veröffentlichung von Normen und dem Inkrafttreten der Anforderungen sehr kurz sein, was die Umsetzung von Anforderungen und Änderungen sehr schwierig macht.
Um sich auf die Normen vorzubereiten, empfehlen wir Ihnen, sich mit der ETSI "Cyber Security for Consumer Internet of Things" vertraut zu machen. Diese gilt als guter Leitfaden für die kommenden Normen. Ein weiterer großer Vorteil - sollten Sie Ihr Produkt jetzt bewerten, anstatt auf die Veröffentlichung der Norm zu warten - ist, dass Sie so Zeit haben, etwaige Mängel in Ihrem nächsten Produkt zu überarbeiten. Denn die Anforderungen werden in 30 Monaten (1. August 2024) zwingend erforderlich sein.
Wie Sie anfangen sollten
Unserer Erfahrung nach zögern viele Hersteller bei der Umsetzung und Einhaltung von Cybersicherheitsstandards hauptsächlich aus zwei Gründen:
- Begrenzte Kenntnisse der Anforderungen zu Cybersicherheit:
viele Hersteller, deren Produkte bisher keine Funkmodule enthielten und nicht vernetzt waren, sind sich dessen nicht gar nicht bewusst, dass Cybersicherheit ein wichtiges Thema für sie ist. - Begrenzte Kenntnisse über formale Normen:
Hersteller, die über umfangreiche Erfahrungen bei der Herstellung vernetzter Produkte verfügen, haben möglicherweise keine Erfahrung mit Cybersicherheitsnormen, die oft Anforderungen enthalten, die über das hinausgehen, was man allgemein unter Cybersicherheit versteht
In jedem Fall sollten Sie mit einer Einführung in die Norm beginnen, die sich je nach Ihren Erfahrungen auf den technischen oder den formalen Teil bezieht.
Übrigens: Einen ersten Einstieg in das Thema bietet Ihnen auch unser On-Demand Webinar Cyber Security für IoT-Produkte (in deutscher Sprache). Einfach kostenfrei ansehen - gleich hier!
Mit der Durchführung einer Gap-Analyse bietet Ihnen Nemko die Möglichkeit, Ihr Produkt im Hinblick auf die Norm zu bewerten. Sie erhalten als Ergebnis eine spezifische und wertvolle Liste mit notwendigen Verbesserungen, die Sie in Ihrem nächsten Produktdesign umsetzen können.
Setzen Sie sich mit Nemko in Deutschland in Verbindung und erfahren Sie mehr darüber, wie wir Ihnen mit den oben genannten Herausforderungen helfen können. Oder schicken Sie uns eine Nachricht, wir melden uns umgehend bei Ihnen.
