Konformität und Marktüberwachung: CE-Pflichten für Funkanlagen und die Rolle der BNetzA
Kernaussage
Die Cybersicherheit von Funkanlagen ist seit dem 1. August 2025 keine freiwillige Qualitätsfrage mehr, sondern Voraussetzung für das rechtmäßige Inverkehrbringen im EU-Binnenmarkt. Die Delegierte Verordnung (EU) 2022/30 hat drei zuvor ruhende grundlegende Anforderungen der Funkanlagenrichtlinie (RED, Richtlinie 2014/53/EU) aktiviert: Netzschutz, Schutz personenbezogener Daten und Privatsphäre sowie Betrugsschutz. Wer ein betroffenes Gerät auf den Markt bringt, muss die Konformität nachweisen und mit der CE-Kennzeichnung dokumentieren.
Die CE-Kennzeichnung ist hier eine rechtsverbindliche Herstellererklärung, kein Marketingsiegel. In Deutschland überwacht die Bundesnetzagentur (BNetzA) als nationale Marktüberwachungsbehörde, ob diese Erklärung trägt. Ein Verstoß kann zu Vertriebsstopp, Rückruf und Marktrückzug führen.
Problem in der Praxis
Viele Hersteller behandeln Funk-Cybersicherheit weiterhin als nachgelagerte Prüfung kurz vor Markteinführung. Das passt nicht zur Mechanik der RED: Die Konformität muss zum Zeitpunkt des Inverkehrbringens belegbar sein, einschließlich technischer Dokumentation, Risikobewertung und Konformitätsbewertungsverfahren.
Erschwerend kommt hinzu, dass die harmonisierten Normen EN 18031-1, -2 und -3 erst spät verfügbar wurden und nur mit Einschränkungen im Amtsblatt gelistet sind. Die Vermutungswirkung, also die Annahme, dass ein normkonformes Produkt auch rechtskonform ist, gilt daher nicht automatisch und nicht in vollem Umfang. Soweit die harmonisierten Normen die Anforderungen nicht vollständig abdecken oder eine einschlägige Restriktion greift, trägt die interne Fertigungskontrolle nicht mehr; der Hersteller muss dann eine benannte Stelle einbinden (EU-Baumusterprüfung) statt sich allein auf die Selbstbewertung zu stützen. Zudem sind die Pflichten transitorisch angelegt: Sie bilden eine Brücke bis zur vollen Geltung des Cyber Resilience Act (CRA).
CISO-Einordnung
Der CISO sollte drei Ebenen sauber trennen, die in der Praxis oft vermischt werden:
- Produktrecht (RED-DA, CRA): regelt das Inverkehrbringen einzelner Geräte und die CE-Kennzeichnung. Adressat ist primär der Hersteller, daneben Bevollmächtigte, Einführer und Händler.
- Organisationsrecht (z. B. NIS2): regelt Risikomanagement- und Meldepflichten von Betreibern, ein anderer Adressatenkreis und kein Ersatz für Produktkonformität.
- Behördliche Zuständigkeit: Die BNetzA agiert hier als Produkt-Marktüberwachung unter dem Funkanlagengesetz (FuAG) und der RED. Das ist nicht ihre NIS2-Sektoraufsicht, die auf Energie, Telekommunikation und Post beschränkt ist.
Die drei aktivierten Anforderungen treffen unterschiedliche Geräteklassen: Netzschutz (lit. d) gilt für internetfähige Funkanlagen, Datenschutz und Privatsphäre (lit. e) zusätzlich für Kinderbetreuungs-, Spielzeug- und am Körper getragene Funkanlagen, Betrugsschutz (lit. f) für Geräte, die Geld, Geldwerte oder virtuelle Währung übertragen können. Der CISO muss daher zuerst klären, welche Anforderung für welches Produkt greift.
Umsetzungsperspektive
Aus Steuerungssicht empfiehlt sich ein Konformitäts-Regelkreis statt einer einmaligen Prüfung:
- Produktklassifizierung: Pro Produkt feststellen, welche der Anforderungen d, e und f anwendbar sind.
- Normenstrategie: Prüfen, ob die harmonisierten Normen vollständig angewendet werden können oder ob Restriktionen einzelne Punkte ausnehmen. Davon hängt das Konformitätsbewertungsverfahren ab.
- Verfahrenswahl: Bei vollständiger Normanwendung ist meist die interne Fertigungskontrolle (Selbstbewertung) möglich. Bei Normabweichungen, fehlenden Normen oder von Restriktionen betroffenen Punkten ist eine benannte Stelle bzw. EU-Baumusterprüfung erforderlich.
- Technische Dokumentation und EU-Konformitätserklärung: vollständig und vor Inverkehrbringen verfügbar.
- CRA-Vorausplanung: den Übergang zum CRA mitdenken, damit RED-Nachweise später wiederverwendbar sind.
Organisatorisch tragen ein sicherer Produktentwicklungs-Lebenszyklus und ein funktionierendes Schwachstellen- und Update-Management die Konformität. Diese Prozessbasis lässt sich an frei nutzbaren Referenzen wie NIST IR 8259/8259A und SP 800-218 (SSDF) orientieren.
Typische Fehler
- CE-Kennzeichnung als Formalakt behandeln, ohne belastbare technische Dokumentation dahinter.
- Annehmen, eine EN-18031-Anwendung erzeuge automatisch volle Vermutungswirkung, obwohl die Listung mit Restriktionen erfolgte.
- Falsche Verfahrenswahl: interne Fertigungskontrolle, obwohl Normabweichungen eine benannte Stelle erfordern.
- RED und CRA als zwei getrennte Projekte ohne gemeinsame Nachweisbasis aufsetzen.
- Die BNetzA-Funkanlagen-Marktüberwachung mit der NIS2-Sektoraufsicht verwechseln und Lieferketten-Verantwortlichkeiten (Einführer, Händler) unklar lassen.
Risiken und Trade-offs
Der zentrale Trade-off liegt zwischen Geschwindigkeit und Nachweissicherheit. Die interne Fertigungskontrolle ist schneller und günstiger, trägt aber nur, wenn die harmonisierten Normen vollständig und ohne einschlägige Restriktion anwendbar sind. Die frühe Einbindung einer benannten Stelle kostet Zeit und Geld, reduziert aber das Risiko einer fehlerhaften Selbstbewertung.
Ein zweiter Trade-off betrifft den Investitionshorizont. Da die Delegierte Verordnung (EU) 2022/30 zum 11. Dezember 2027 aufgehoben werden soll, parallel zur vollen Geltung des CRA, kann eine rein RED-fokussierte Umsetzung kurzlebig sein. Wer ausschließlich auf den CRA hin plant, unterschätzt jedoch leicht die noch geltenden RED-Pflichten. Funkanlagen, die zwischen dem 1. August 2025 und dem 10. Dezember 2027 in Verkehr gebracht werden, müssen die RED-Cybersicherheitsanforderungen erfüllen; die Marktüberwachung kann dies auch nach der Aufhebung noch durchsetzen.
Entscheidungspunkte
- Welche der drei Anforderungen (d, e, f) gilt für welches Produkt im Portfolio?
- Lassen sich die harmonisierten Normen vollständig anwenden, oder greifen Restriktionen, die eine benannte Stelle erforderlich machen?
- Welches Konformitätsbewertungsverfahren wählen wir je Produkt, und wer verantwortet die Entscheidung?
- Wie gestalten wir RED-Nachweise so, dass sie unter dem CRA wiederverwendbar bleiben?
- Wie ist die Verantwortung entlang der Lieferkette (Hersteller, Bevollmächtigter, Einführer, Händler) dokumentiert?
Praktische Empfehlungen
- Führen Sie ein Produktregister mit Anforderungs-Mapping (d/e/f) und festgelegtem Konformitätsverfahren je Gerät.
- Klären Sie die Anwendbarkeit der harmonisierten Normen inklusive Restriktionen aktiv, statt Vermutungswirkung pauschal anzunehmen.
- Binden Sie eine benannte Stelle früh ein, wenn Restriktionen oder Normabweichungen relevant sind.
- Behandeln Sie technische Dokumentation und EU-Konformitätserklärung als Pflicht-Deliverables vor dem Inverkehrbringen, nicht danach.
- Planen Sie den RED-zu-CRA-Übergang als ein Programm mit gemeinsamer Nachweisbasis.
Relevante Normreferenzen
- Delegierte Verordnung (EU) 2022/30 vom 29. Oktober 2021 zur Ergänzung der RED (Richtlinie 2014/53/EU) hinsichtlich Artikel 3 Absatz 3 Buchstaben d, e und f; ABl. L 7 vom 12.1.2022. EU-Recht, frei zitierbar mit Quellenangabe.
- Richtlinie 2014/53/EU (RED) als Parent-Rechtsakt; national umgesetzt im Funkanlagengesetz (FuAG).
- Delegierte Verordnung (EU) 2023/2444: Verschiebung des Anwendungsdatums um zwölf Monate.
- Durchführungsbeschluss (EU) 2025/138 vom 28.1.2025: Harmonisierung der EN-18031-Reihe, mit Restriktionen.
- EN 18031-1/-2/-3:2024 (CEN/CENELEC): lizenzpflichtig, hier nur als Referenz genannt, keine Volltexte oder Anforderungslisten.
- Verordnung (EU) 2024/2847 (Cyber Resilience Act, CRA): künftiger Rahmen für Produkte mit digitalen Elementen.
Häufige Fragen
Wer ist Hauptadressat der RED-Cybersicherheitspflichten?+
Der Hersteller. Er führt die Konformitätsbewertung durch und bringt die CE-Kennzeichnung an. Bevollmächtigte, Einführer und Händler tragen abgestufte Pflichten.
Welche Behörde überwacht Funkanlagen in Deutschland?+
Die Bundesnetzagentur als nationale Marktüberwachungsbehörde unter dem Funkanlagengesetz und der RED. Das ist eine produktrechtliche Zuständigkeit, nicht die NIS2-Sektoraufsicht.
Reicht die Anwendung der EN 18031 für die Konformität aus?+
Nicht automatisch. Die Normen wurden mit Restriktionen gelistet. Die Vermutungswirkung gilt nur, soweit die Restriktion nicht auf das Produkt zutrifft; greift eine Restriktion oder lassen sich die Normen nicht vollständig anwenden, ist die Selbstbewertung (interne Fertigungskontrolle) nicht ausreichend und eine benannte Stelle (EU-Baumusterprüfung) erforderlich.
Was passiert mit der RED-DA nach 2027?+
Sie soll zum 11. Dezember 2027 aufgehoben werden, parallel zur vollen CRA-Geltung. Für bis dahin in Verkehr gebrachte Produkte bleiben die RED-Pflichten und ihre Durchsetzung relevant.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen RED (Funkanlagen) prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: red-003.
