Verwendete Dienste und Cookies

Unsere Website nutzt Cookies, um Ihre Nutzungserfahrung zu verbessern. Einige Cookies sind essentiell für das Funktionieren und Managen der Seite, während andere für anonyme Statistiken oder personalisierte Inhalte verwendet werden. Bitte beachten Sie, dass bei eingeschränkter Cookie-Nutzung bestimmte Webseitenfunktionen beeinträchtigt sein können.

Weitere Informationen: Impressum, Datenschutz

Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Webseite ermöglichen oder z.B. Ihre Cookie-Einstellungen speichern. Die Webseite kann ohne diese Cookies nicht richtig funktionieren. Diese Kategorie kann nicht deaktiviert werden.
  • Name:
    ukie_a_cookie_consent_manager
  • Domain:
    blomstein.com
  • Zweck:
    Speichert die Cookie-Einstellungen der Website-Besucher.
  • Name:
    blomstein_session
  • Domain:
    blomstein.com
  • Zweck:
    Der Session-Cookie ist für das grundlegende Funktionieren der Website unerlässlich. Er ermöglicht es den Nutzern, durch die Website zu navigieren und ihre grundlegenden Funktionen zu nutzen.
  • Name:
    XSRF-TOKEN
  • Domain:
    blomstein.com
  • Zweck:
    Dieser Cookie dient der Sicherheit und hilft, Cross-Site Request Forgery (CSRF)-Angriffe zu verhindern. Er ist technisch notwendig.
Diese Cookies sammeln Informationen darüber, wie Sie eine Website nutzen, z. B. welche Seiten Sie besucht und auf welche Links Sie geklickt haben.
  • Name:
    _ga
  • Domain:
    blomstein.com
  • Zweck:
    Das Google Analytics Cookie _ga wird verwendet, um Benutzer zu unterscheiden, indem es eine eindeutige Identifikationsnummer für jeden Besucher vergibt. Diese Nummer wird bei jedem Seitenaufruf an Google Analytics gesendet, um Nutzer-, Sitzungs- und Kampagnendaten zu sammeln und die Nutzung der Website statistisch auszuwerten. Das Cookie hilft Website-Betreibern zu verstehen, wie Besucher mit der Website interagieren, indem es Informationen anonym sammelt und Berichte generiert.
  • Name:
    _ga_*
  • Domain:
    blomstein.com
  • Zweck:
    Das Cookie _ga_[container_id], spezifisch für Google Analytics 4 (GA4), dient der Unterscheidung von Website-Besuchern durch Zuweisung einer einzigartigen ID für jede Sitzung und jeden Nutzer. Es ermöglicht die Sammlung und Analyse von Daten über das Nutzerverhalten auf der Website in anonymisierter Form. Dies umfasst das Tracking von Seitenaufrufen, Interaktionen und dem Weg, den Nutzer auf der Website zurücklegen, um Website-Betreibern tiefere Einblicke in die Nutzung ihrer Seite zu geben und die Benutzererfahrung zu verbessern.
  • Name:
    _gid
  • Domain:
    blomstein.com
  • Zweck:
    Das Cookie _gid ist ein von Google Analytics gesetztes Cookie, das dazu dient, Benutzer zu unterscheiden. Es weist jedem Besucher der Website eine einzigartige Identifikationsnummer zu, die bei jedem Seitenaufruf an Google Analytics gesendet wird. Dies ermöglicht es, das Nutzerverhalten auf der Website über einen Zeitraum von 24 Stunden zu verfolgen und zu analysieren.
  • Name:
    _gat_gtag_UA_77241503_1
  • Domain:
    blomstein.com
  • Zweck:
    Das Cookie _gat_gtag_UA_77241503_1 ist Teil von Google Analytics und Google Tag Manager und wird verwendet, um die Anfragerate zu drosseln, d.h., es begrenzt die Datensammlung auf Websites mit hohem Verkehrsaufkommen. Dieses Cookie ist mit einer spezifischen Google Analytics-Property-ID (in diesem Fall UA-77241503-1) verknüpft, was bedeutet, dass es für die Leistungsüberwachung und -steuerung der Datenerfassung für diese spezielle Website-Property eingesetzt wird.
DE EN

Ready, RED, Go?

Anforderungen der Radio Equipment Directive für Geräte mit Internetverbin-dung ab 1. August 2025

03.07.2025
PDF download

Zum 1. August 2025 treten für eine Vielzahl von elektronischen Geräten weitere Cybersicherheitsanforderungen gemäß der Richtlinie über die Bereitstellung von Funkanlagen auf dem Markt (RL 2014/53/EU; Radio Equipment Directive oder RED) in Kraft. Trotz des nahenden Stichtages sind noch viele Themen unklar, insbesondere der Anwendungsbereich der neuen Regelungen und die Auslegung des Begriffs der „mit dem Internet verbundenen Funkanlagen“.

Überblick über die RED

Die RED legt bestimmte Produktsicherheitsstandards für Funkanlagen fest. Als Funkanlagen zählen dabei jegliche Geräte, die Radiowellen zu Kommunikations- oder Ortungszwecken ausstrahlen oder empfangen können. Neben dem klassischen Radio fallen hierunter alle Geräte mit Internetverbindung oder Bluetooth-Anschluss, also Handys, Notebooks, WLAN-Router, GPS-Tracker etc. Die meisten dieser Produktanforderungen sind seit 13. Juni 2017 in Kraft, gelten also für alle Geräte, die nach diesem Tag in Verkehr gebracht wurden. In Deutschland dient das Funkanlagengesetz (FuAG) der Umsetzung der RED.

Nachträglich sind viele weitere Anforderungen dazugekommen, so auch für einheitliche Ladegeräte, die zum 28. Dezember 2024 in Kraft getreten sind.

Neue Anforderungen für mit dem Internet verbundene Funkanlagen

Für einige Vorschriften muss die Europäische Kommission bestimmte Produktkategorien festlegen, die von der Vorschrift erfasst werden sollen, so auch Art. 3 Abs. 3 RED. In Deutschland gilt diese Regelung unmittelbar kraft § 4 Abs. 3 FuAG. Art. 3 Abs. 3 Buchst. d-f RED erheben technische Anforderungen in Hinsicht auf Netzwerksicherheit, Datenschutz und Betrugsschutz, die im Einzelnen von europäischen Normungsorganisationen wie dem Europäische Komitee für Normung (CEN) konkretisiert werden.

Mit der delegierten VO 2022/30/EU hat die Kommission nunmehr Art. 3 Abs. 3 Buchst. d-f RED „aktiviert“.  Für die Netzwerksicherheitsanforderungen hat das CEN die harmonisierten Standards EN 18031-1, für den Datenschutz 18031-2 sowie für den Betrugsschutz EN-18031-3 erarbeitet. Die technischen Anforderungen der EN 18031-1 umfassen unter anderem Mechanismen zur Zugangskontrolle, zur Authentifizierung, zur sicheren Kommunikation sowie zur Netzwerküberwachung.

Anwendungsbereich von Art. 3 Abs. 3 Buchst. d-f RED

Anwendbar sind diese neuen Standards aber nicht für alle Funkanlagen im Sinne der RED. Vielmehr gelten sie nur für Funkanlagen, die selbst über das Internet kommunizieren können, unabhängig davon, ob sie direkt oder über andere Geräte kommunizieren („mit dem Internet verbundene Funkanlagen“). Unproblematisch sind damit alle Geräte gemeint, die direkt Daten über das Internet empfangen oder senden können, also Smartphones, Laptops, sowie diverse Smart Home-Geräte.

Zu beachten ist, dass die Internetverbindung nicht notwendigerweise über Radiowellen erfolgen muss. Es sind auch Geräte erfasst, die zwar bestimmte Daten per Radiowellen versenden oder empfangen können, aber nur per Kabel mit dem Internet verbunden sind. Darunter fallen vor allem WiFi-Router.

Schwieriger ist die Frage, inwieweit auch Geräte umfasst sind, die nicht direkt mit dem Internet verbunden sind, sondern nur über andere Geräte Daten an das Internet versenden und empfangen können. Das sind bspw. Geräte, die über Bluetooth Daten mit internetfähigen Geräten austauschen, so vor allem kabellose Kameras, Mikrofone, Sensoren, etc. Interessenverbände setzen sich dafür ein, dass als mit dem Internet verbundene Funkanlagen nur solche zählen, die auch selbst internetfähige Protokolle ausführen können. Damit wären Bluetooth-Geräte nicht erfasst. Die zuständigen Aufsichtsbehörden (u. a. in Deutschland die Bundesnetzagentur) lassen bisher keine klare Linie erkennen, ebenso wenig die Europäische Kommission, die mit ihrem RED Guide grundsätzlich Auslegungshilfen bietet.

Darüber hinaus gelten die Datenschutzanforderungen nach Art. 3 Abs. 3 Buchst. e RED auch für Funkanlagen, die der Kinderbetreuung dienen (sog. Babyphones), Spielzeug im Sinne der RL 2009/48/EG, sowie Funkanlagen, die am Körper getragen werden. Unter letzteres zählen vor allem Smartwatches.

Dagegen sind Medizinprodukte im Sinne von VO 2017/745/EU und In-Vitro-Diagnostika im Sinne von VO 2017/746/EU vom Anwendungsbereich der Art. 3 Abs. 3 Buchst. d-f RED ausgenommen.

Weitere EU-Cybersicherheitsvorgaben

In Sachen Cybersicherheit von Produkten sind nicht nur die Vorgaben der RED zu beachten. Überlappungen sind denkbar mit der Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (RL 2022/2555/EU; NIS-2-Richtlinie) oder der Verordnung über horizontale Sicherheitsanforderungen für Produkte mit digitalen Elementen (VO 2024/2847/EU; Cyber Resilience Act oder CRA).

Die NIS-2-Richtlinie stellt Sicherheitsanforderungen an die Betreiber von kritischen Infrastrukturen. Die Umsetzungsfrist für die Mitgliedstaaten ist zwar bereits am 18. Oktober 2024 abgelaufen, jedoch haben bisher nur neun Mitgliedstaaten die Richtlinie umgesetzt, darunter Belgien und Italien. Während in den Niederlanden und Österreich eine Umsetzung noch dieses Jahr erwartet wird, ist in Frankreich, Spanien und Deutschland mit einer wesentlich späteren Umsetzung zu rechnen. So hat das deutsche Bundesinnenministerium erst Ende Mai 2025 einen Referentenentwurf zur Umsetzung der NIS-2-Richtlinie veröffentlicht, womit es noch bis nächstes Jahr dauern dürfte, bis das Gesetz in Kraft tritt.

Der CRA stellt bestimmte Anforderungen an Produkte mit digitalen Elementen mit Netzwerkverbindung. Die in Anhang I Teil I gelisteten Cybersicherheitsanforderungen umfassen Kontrollmechanismen gegen unautorisierten Zugang, Datenverschlüsselung sowie die Überwachung interner Aktivitäten. Der CRA tritt am 11. Dezember 2027 in Kraft. Als Verordnung gilt er unmittelbar und bedarf keiner Umsetzung durch die Mitgliedstaaten.

Im Gegensatz zur RED erfasst der CRA auch Geräte ohne Radiofunktion, also auch für Geräte, die Daten nur per Kabel versenden und empfangen. Die Cybersicherheitsanforderungen beider Rechtsakte überschneiden sich in erheblichem Maße. Generell ist davon auszugehen, dass die CRA-Anforderungen umfassender und strenger sind als die in Art. 3 Abs. 3 Buchst. d RED. Teilweise wird sogar angenommen, dass die CRA die RED-Cybersicherheitsanforderungen obsolet machen wird.

Fazit

Trotz klarer technischer Standards bestehen nach wie vor offene Fragen zum Anwendungsbereich der RED, insbesondere in Hinsicht auf Geräte mit indirekter Internetverbindung. Weitere Unsicherheiten bestehen bei der Abgrenzung zur NIS-2-Richtlinie und zum CRA. Für Hersteller ist deshalb eine frühzeitige, umfassende Auseinandersetzung mit den EU-Cybersicherheitsanforderungen zu empfehlen. Dazu ist die gewissenhafte Durchführung eines Konformitätsbewertungsverfahrens nach Art. 17 RED unabdinglich.

BLOMSTEIN wird die weiteren Entwicklungen verfolgen und darüber informieren. Zu allen Fragen in Sachen Produktregulierung und Cybersicherheit steht Ihnen Dr. Leonard von Rummel jederzeit zur Verfügung.

 

BLOMSTEIN | Wir beraten unsere internationalen Mandanten in den Gebieten Kartell-, Vergabe-, Außenwirtschafts- und Beihilferecht sowie ESG in Deutschland, Europa und – über unser globales Netzwerk – weltweit.