Die drei Schutzziele der RED und die Normenreihe EN 18031
Kernaussage
Seit dem 1. August 2025 sind drei bislang ruhende Cybersicherheits-Anforderungen der EU-Funkanlagenrichtlinie (RED, Richtlinie 2014/53/EU) verbindlich aktiviert. Die Delegierte Verordnung (EU) 2022/30 schaltet die grundlegenden Anforderungen nach Artikel 3 Absatz 3 Buchstaben d, e und f der RED für definierte Funkanlagen-Klassen scharf. Dahinter stehen drei Schutzziele: Schutz des Netzes (lit. d), Schutz personenbezogener Daten und der Privatsphäre (lit. e) sowie Schutz vor Betrug (lit. f).
Dies ist produktbezogenes Marktzugangsrecht, kein organisationsbezogenes Compliance-Thema. Wer betroffene Funkanlagen in der EU in Verkehr bringt, muss die Konformität vor dem Inverkehrbringen nachweisen und über die CE-Kennzeichnung dokumentieren. Die Normenreihe EN 18031-1/-2/-3 liefert dafür die Konformitätsvermutung, ist aber wegen der Listung mit Restriktionen kein automatischer Selbstläufer.
Problem in der Praxis
Viele Hersteller behandeln die RED-Cybersicherheit als nachgelagerte Kennzeichnungsfrage und übersehen, dass die drei Schutzziele unterschiedliche Geräteklassen treffen. Die Verordnung adressiert nicht alle Funkanlagen, sondern definierte vernetzte und datenverarbeitende Klassen, und je Klasse greift eine andere Anforderung:
- Netzschutz (lit. d): internetfähige Funkanlagen, die direkt oder über andere Geräte über das Internet kommunizieren können.
- Datenschutz und Privatsphäre (lit. e): Funkanlagen, die personenbezogene Daten, Verkehrs- oder Standortdaten verarbeiten, namentlich internetfähige sowie Kinderbetreuungs-, Spielzeug- und wearable Funkanlagen.
- Betrugsschutz (lit. f): internetfähige Funkanlagen, die Geld, Geldwerte oder virtuelle Währung übertragen können.
Wer das Scoping unsauber macht, prüft zu viel oder übersieht eine einschlägige Anforderung; beides ist teuer. In Deutschland setzt das Funkanlagengesetz (FuAG) die RED um; Marktüberwachungsbehörde ist die Bundesnetzagentur in ihrer produktrechtlichen Rolle, nicht als NIS2-Sektoraufsicht.
CISO-Einordnung
Die drei Schutzziele sind als Risikologik statt als Norm-Checkliste zu lesen. Die RED-Anforderungen beschreiben Ziele, nicht Mechanismen; die technischen Festlegungen ergeben sich aus den harmonisierten Normen, deren Volltexte lizenzpflichtig sind und hier nicht reproduziert werden. Konzeptionell adressiert die Normenreihe Themen wie Zugangs- und Authentifizierungsmanagement, sichere Updates, sichere Speicherung und Kommunikation, Schutz personenbezogener und finanzieller Daten sowie Resilienz von Netzressourcen. Verbindliche Detailanforderungen, Tabellen und Klauseln stehen ausschließlich in der Norm.
Der wichtigste Steuerungspunkt ist die Konformitätsvermutung. Wendet ein Hersteller die einschlägige Norm vollständig an, greift die Vermutungswirkung, und der Nachweis ist in der Regel über die interne Fertigungskontrolle (Selbstbewertung) möglich. Andernfalls oder bei Abweichung ist regelmäßig eine benannte Stelle über eine EU-Baumusterprüfung einzubinden. Wesentlich: Die EN 18031-1/-2/-3 wurde mit Restriktionen gelistet. Die Vermutungswirkung gilt nur, soweit die Restriktion auf das Produkt nicht zutrifft. Hier kann ein vermeintlicher Selbstbewertungspfad in eine Fremdbewertung kippen.
Umsetzungsperspektive
Aus Steuerungssicht trägt ein schlanker, wiederholbarer Ablauf:
- Scoping je Produkt: Fällt die Funkanlage unter Artikel 1 Absatz 1, 2 oder 3, und welche Anforderung (d, e, f) ist einschlägig?
- Normzuordnung: EN 18031-1 (Netzschutz), -2 (Datenschutz/Privatsphäre), -3 (Betrugsschutz), jeweils mit Prüfung der Listungs-Restriktionen.
- Bewertungspfad: Vermutungswirkung über vollständige Normanwendung anstreben; wo Restriktionen greifen, frühzeitig eine benannte Stelle einplanen.
- Nachweismanagement: Konformitätsbewertung, technische Dokumentation, EU-Konformitätserklärung und CE-Kennzeichnung als prüfbare Belegkette führen.
- Lebenszyklus: Update-Fähigkeit, Schwachstellenbehandlung und sichere Voreinstellung als Daueraufgabe verankern.
Hilfreich ist, die produktbezogene RED-Pflicht an vorhandene Prozesse anzudocken. Ein sicherer Entwicklungs- und Schwachstellenprozess, wie ihn ISO/IEC 27001/27002, IEC 62443 oder die NIST-Baselines konzeptionell beschreiben, liefert die Grundlage für wiederholbare Nachweise.
Typische Fehler
- Pauschales Scoping: alle drei Schutzziele auf jedes Gerät anwenden oder ein einschlägiges übersehen.
- Die Konformitätsvermutung als garantiert annehmen, obwohl Listungs-Restriktionen Punkte aus der Selbstbewertung herausnehmen.
- Die EN 18031 als alleinige Pflichtquelle missverstehen; verbindlich sind die RED-Anforderungen, die Norm ist nur ein Weg zur Vermutungswirkung.
- Die Überlappung mit dem Cyber Resilience Act ignorieren und parallele Programme ohne gemeinsame Nachweisbasis bauen.
- Cybersicherheit als einmaligen Prüfakt statt als Lebenszyklus-Pflicht behandeln.
Risiken und Trade-offs
Der zentrale Trade-off liegt zwischen Selbst- und Fremdbewertung. Vollständige Normanwendung ermöglicht meist die kostengünstigere interne Fertigungskontrolle, erfordert aber Disziplin in Dokumentation und Restriktionsprüfung. Eine benannte Stelle erhöht Kosten und Vorlaufzeit, schafft aber Sicherheit, wo Restriktionen die Vermutungswirkung nicht tragen.
Ein zweiter Trade-off betrifft den Zeithorizont. Die Delegierte Verordnung (EU) 2022/30 ist eine transitorische Brücke: Sie gilt seit dem 1. August 2025 und soll zum 11. Dezember 2027 aufgehoben werden, zeitgleich mit der vollen Geltung des Cyber Resilience Act (Verordnung (EU) 2024/2847). Den aufhebenden Rechtsakt hat die Kommission am 16. Februar 2026 angenommen (Dokument C(2026) 778 final); die finale Amtsblatt-Fundstelle ist zum Redaktionsstand noch nicht bestätigt. Wer nur für die RED-Brücke baut, riskiert kurzlebige Nachweise; wer auf den CRA wartet, verfehlt die seit 2025 geltende Pflicht.
Entscheidungspunkte
- Welche Schutzziele sind je Produktklasse einschlägig, und ist das Scoping dokumentiert?
- Wird die Vermutungswirkung über vollständige Normanwendung angestrebt, und welche Restriktionen entziehen sich diesem Pfad?
- Ist der gewählte Bewertungspfad (interne Fertigungskontrolle oder benannte Stelle) belastbar begründet?
- Wie bleiben die Nachweise auf den CRA ab Ende 2027 übertragbar?
- Welche organisatorischen Prozesse tragen die Nachweise dauerhaft?
Praktische Empfehlungen
- Führen Sie pro Produkt ein dokumentiertes Scoping entlang Artikel 1 Absatz 1, 2 und 3 und ordnen Sie die Anforderungen d, e, f eindeutig zu.
- Prüfen Sie die Listungs-Restriktionen der EN 18031, bevor Sie sich auf einen Selbstbewertungspfad festlegen.
- Planen Sie eine benannte Stelle frühzeitig ein, wo Restriktionen die Vermutungswirkung nicht tragen.
- Bauen Sie die Nachweisbasis CRA-anschlussfähig, damit Belege über den 11. Dezember 2027 hinaus nutzbar bleiben.
- Verankern Sie Update-Fähigkeit, Schwachstellenbehandlung und sichere Voreinstellungen als Lebenszyklus-Pflicht.
Relevante Normreferenzen
- Delegierte Verordnung (EU) 2022/30 zur Ergänzung der Richtlinie 2014/53/EU (RED): aktiviert Artikel 3 Absatz 3 Buchstaben d, e und f; Amtsblatt L 7 vom 12.1.2022. EU-Recht, frei mit Quellenangabe zitierbar.
- Durchführungsbeschluss (EU) 2025/138 vom 28.1.2025: harmonisierte Listung der EN 18031-1/-2/-3 mit Restriktionen.
- Delegierte Verordnung (EU) 2023/2444: Verschiebung des Anwendungsdatums auf den 1.8.2025.
- EN 18031-1:2024 / -2:2024 / -3:2024 (CEN/CENELEC): Normenreihe für Netzschutz, Datenschutz/Privatsphäre und Betrugsschutz. Lizenzpflichtig, nur als Referenz, ohne Volltext, Anforderungslisten oder Klauselnummern.
- Verordnung (EU) 2024/2847 (Cyber Resilience Act): produktbezogene Cybersicherheit ab voller Geltung am 11.12.2027.
Häufige Fragen
Was sind die drei Schutzziele der RED-Cybersicherheit?+
Netzschutz (lit. d), Schutz personenbezogener Daten und der Privatsphäre (lit. e) und Schutz vor Betrug (lit. f), aktiviert durch die Delegierte Verordnung (EU) 2022/30.
Gelten alle drei Anforderungen für jedes Gerät?+
Nein. Je nach Geräteklasse nach Artikel 1 greift eine andere Anforderung; auf das Scoping pro Produkt kommt es an.
Welche Rolle spielt die EN 18031?+
Sie begründet die Konformitätsvermutung, gelistet mit Restriktionen. Verbindlich sind die RED-Anforderungen; die Norm ist nur ein Weg zum Nachweis.
Wie lange gilt die RED-Cybersicherheit?+
Seit dem 1.8.2025; die Verordnung soll zum 11.12.2027 aufgehoben werden, zeitgleich mit voller CRA-Geltung.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen RED (Funkanlagen) prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: red-002.
