RED-Funkanlagen-Cybersicherheit: Überblick
Kernaussage
Seit dem 1. August 2025 sind drei bislang ruhende Cybersicherheitsanforderungen der EU-Funkanlagenrichtlinie (RED, Richtlinie 2014/53/EU) verbindlich aktiviert. Auslöser ist die Delegierte Verordnung (EU) 2022/30, die für definierte Klassen vernetzter Funkanlagen die grundlegenden Anforderungen aus Artikel 3 Absatz 3 Buchstaben d, e und f scharfschaltet: Schutz des Netzes, Schutz personenbezogener Daten und Privatsphäre sowie Schutz vor Betrug.
Dies ist produktbezogenes Marktzugangsrecht, kein organisationsbezogenes Sicherheitsmanagement; es entscheidet darüber, ob ein Funkprodukt CE-konform in der EU in Verkehr gebracht werden darf. Zugleich ist es eine Brückenregelung: Die RED-Cybersicherheitspflichten werden vom Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) abgelöst; die Delegierte Verordnung (EU) 2022/30 soll zum 11. Dezember 2027 aufgehoben werden, dem Datum der vollen CRA-Geltung. Wer jetzt Aufwand investiert, sollte ihn CRA-anschlussfähig anlegen.
Problem in der Praxis
Viele Hersteller behandeln die RED bis heute primär als Funk- und EMV-Thema. Cybersicherheit war lange kein RED-Prüfgegenstand, weil die Buchstaben d, e und f zwar in der Richtlinie standen, aber nicht aktiviert waren. Das ursprüngliche Anwendungsdatum 1. August 2024 wurde durch die Delegierte Verordnung (EU) 2023/2444 um zwölf Monate verschoben, weil die harmonisierten Normen noch nicht verfügbar waren. Diese Verschiebung erzeugte den Eindruck, das Thema sei weiter offen; seit dem 1. August 2025 ist es das nicht mehr.
Daraus entstehen drei typische Lücken: Scope-Unklarheit (welche Produkte fallen unter welche Anforderung), Nachweislücken (ohne saubere technische Dokumentation ist Konformität nicht belegbar) und ein falsches Sicherheitsgefühl durch die nur eingeschränkt geltende Vermutungswirkung der Normen.
CISO-Einordnung
Die Delegierte Verordnung (EU) 2022/30 erzeugt selbst keine neuen technischen Detailanforderungen. Sie aktiviert die bewusst abstrakt gehaltenen Schutzziele der RED und ordnet sie definierten Produktklassen zu:
- Buchstabe d (Netzschutz): internetfähige Funkanlagen, die direkt oder über andere Geräte über das Internet kommunizieren; das Gerät darf das Netz nicht beeinträchtigen und Netzressourcen nicht missbräuchlich nutzen.
- Buchstabe e (Datenschutz und Privatsphäre): Funkanlagen, die personenbezogene Daten, Verkehrs- oder Standortdaten verarbeiten, ausdrücklich auch Kinderbetreuungs-, Spielzeug- und am Körper getragene (wearable) Funkanlagen.
- Buchstabe f (Betrugsschutz): internetfähige Funkanlagen, die Geld, Geldwerte oder virtuelle Währung übertragen können.
Adressat ist die RED-Wirtschaftsakteurskette, vor allem der Hersteller, daneben Bevollmächtigte, Einführer und Händler. Das technische Wie ergibt sich aus den harmonisierten Normen; einschlägig ist die EN-18031-Reihe (Teil 1 Netzschutz, Teil 2 Datenschutz, Teil 3 Betrugsschutz), gelistet über den Durchführungsbeschluss (EU) 2025/138 vom 28. Januar 2025. Diese Normen sind lizenzpflichtig und werden hier nur als Referenz genannt, ohne Inhalte, Klauseln oder Anforderungslisten.
Die Listung erfolgte mit Restriktionen. Die Vermutungswirkung greift nur, soweit die jeweilige Restriktion auf das konkrete Produkt nicht zutrifft; in den eingeschränkten Punkten besteht keine automatische Konformitätsvermutung, und der Hersteller muss die Konformität anders belegen, gegebenenfalls unter Einbindung einer benannten Stelle.
Umsetzungsperspektive
Sinnvoll ist ein schlanker, wiederholbarer Ablauf statt einer einmaligen Audit-Aktion:
- Produktinventar und Scoping: je Funkprodukt prüfen, ob und unter welche Anforderung es fällt (Mehrfachzuordnung möglich).
- Norm- und Restriktionsabgleich: prüfen, ob die harmonisierten Normen vollständig anwendbar sind oder Restriktionen eine andere Nachweisform erfordern.
- Konformitätsbewertung: bei vollständiger Normanwendung ist regelmäßig die interne Fertigungskontrolle (Selbstbewertung) möglich; bei Abweichung oder Restriktion ist eine benannte Stelle zu prüfen.
- Technische Dokumentation: sichere Update-Mechanismen, Zugangs- und Authentifizierungskonzepte, Datenschutz und Resilienz belegbar dokumentieren.
- CRA-Brücke einplanen: Nachweise und Prozesse so strukturieren, dass sie für den CRA wiederverwendbar bleiben.
Marktüberwachungsbehörde für Funkanlagen in Deutschland ist die Bundesnetzagentur (BNetzA) auf Basis des Funkanlagengesetzes (FuAG). Dies ist produktrechtliche Marktüberwachung, nicht mit einer NIS2-Sektoraufsicht zu verwechseln; seit dem 1. August 2025 können die Cybersicherheitsanforderungen in diesem Rahmen geprüft werden.
Typische Fehler
- Annahme, die Verschiebung von 2024 auf 2025 bedeute, das Thema sei weiter ruhend.
- Pauschalannahme, jede oder keine Funkanlage sei betroffen, statt produktbezogen zu scopen.
- Blindes Vertrauen in die Vermutungswirkung der Normen, ohne die Restriktionen zu prüfen.
- RED-Cybersicherheit als reines Funk- und EMV-Laborthema behandeln, ohne Security-Kompetenz.
- Doppelaufbau ohne CRA-Blick, sodass Nachweise 2027 erneut erstellt werden müssen.
Risiken und Trade-offs
Zentrales Spannungsfeld ist der transitorische Charakter: Die Anforderungen gelten verbindlich ab 1. August 2025, sollen aber zum 11. Dezember 2027 in den CRA überführt werden. Wer den RED-Aufwand isoliert betreibt, riskiert Doppelarbeit; wer ihn vernachlässigt, riskiert Marktzugangs- und Marktüberwachungsprobleme im Übergangsfenster.
Bei der Konformitätsroute ist die interne Fertigungskontrolle schneller und günstiger, trägt aber die volle Nachweislast beim Hersteller; eine benannte Stelle erhöht Aufwand und Vorlaufzeit, kann aber bei Restriktionen unumgänglich sein. Lieferkettenbezug: RED- und EN-18031-konforme Funkanlagen können die NIS2-Lieferkettensicherheit stützen, sind damit aber nicht deckungsgleich; RED ist produktbezogen, NIS2 organisationsbezogen.
Entscheidungspunkte
- Welche unserer Produkte fallen unter d, e oder f, und ist die Zuordnung dokumentiert?
- Sind die harmonisierten Normen vollständig anwendbar, oder greifen Restriktionen?
- Selbstbewertung oder benannte Stelle, je Produktlinie?
- Wie strukturieren wir den Aufwand CRA-anschlussfähig für die Zeit ab dem 11. Dezember 2027?
- Wer verantwortet die Produkt-Cybersicherheit als dauerhafte Funktion?
Praktische Empfehlungen
- Erstellen Sie ein belastbares Produktinventar mit Zuordnung zu d, e und f, bevor Sie über Normen und Prüfwege entscheiden.
- Behandeln Sie die Vermutungswirkung nicht als Freibrief, sondern prüfen Sie Restriktionen produktspezifisch.
- Verankern Sie sichere Updates, Zugangs- und Authentifizierungsmanagement, Datenschutz und Resilienz als belegbare Produkteigenschaften.
- Planen Sie RED und CRA als einen durchgängigen Pfad, nicht als zwei getrennte Projekte.
- Halten Sie technische Nachweise jederzeit vorlagefähig für die Bundesnetzagentur.
Relevante Normreferenzen
- Delegierte Verordnung (EU) 2022/30 vom 29. Oktober 2021, ABl. L 7 vom 12. Januar 2022: aktiviert Art. 3 Abs. 3 Buchstaben d, e und f der RED.
- Richtlinie 2014/53/EU (RED): Funkanlagenrichtlinie, Parent-Rechtsakt der aktivierten Anforderungen.
- Delegierte Verordnung (EU) 2023/2444: Verschiebung des Anwendungsdatums auf den 1. August 2025.
- Durchführungsbeschluss (EU) 2025/138 vom 28. Januar 2025: Listung der harmonisierten Normen mit Restriktionen.
- EN 18031-1, EN 18031-2, EN 18031-3 (CEN/CENELEC): harmonisierte Normen, lizenzpflichtig, nur als Referenz genannt.
- Verordnung (EU) 2024/2847 (CRA): löst die RED-Cybersicherheitsanforderungen ab; die Delegierte Verordnung (EU) 2022/30 soll zum 11. Dezember 2027 aufgehoben werden. Der Kommissionsakt wurde am 16. Februar 2026 angenommen (C(2026) 778 final); die finale Amtsblatt-Veröffentlichung ist zum Redaktionsstand noch zu prüfen.
Häufige Fragen
Seit wann gelten die RED-Cybersicherheitsanforderungen?+
Seit dem 1. August 2025; das ursprüngliche Datum 1. August 2024 wurde durch die Delegierte Verordnung (EU) 2023/2444 um zwölf Monate verschoben.
Welche Produkte sind betroffen?+
Nicht alle Funkanlagen: Buchstabe d internetfähige Geräte (Netzschutz), Buchstabe e Geräte mit personenbezogenen Daten inklusive Kinderbetreuungs-, Spielzeug- und Wearable-Funkanlagen, Buchstabe f Geräte, die Geld oder Werte übertragen.
Reicht die Anwendung der harmonisierten Normen aus?+
Sie erzeugt eine Vermutungswirkung, aber nur soweit die Restriktionen aus dem Durchführungsbeschluss (EU) 2025/138 nicht greifen.
Wie verhält sich die RED zum CRA?+
Stark überlappend; die RED-Cybersicherheitsanforderungen sind transitorisch und sollen zum 11. Dezember 2027 vom CRA abgelöst werden.
Wer prüft die Einhaltung in Deutschland?+
Die Bundesnetzagentur als produktrechtliche Marktüberwachung auf Basis des Funkanlagengesetzes, nicht als NIS2-Sektoraufsicht.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen RED (Funkanlagen) prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: red-001.
