Skip to content
Suche  
    21. Oktober 2021

    Cyber Security: Ein Muss für die CE-Kennzeichnung in der EU

    Cyber security wird im Rahmen der Funkanlagenrichtlinie (RED) zu einer Anforderung für CE-gekennzeichnete Anlagen mit Funkmodul, gleichberechtigt mit den heutigen Anforderungen an elektrische Sicherheit, elektromagnetische Verträglichkeit (EMV) und Funk.

    Wenn Sie dies zum ersten Mal lesen, könnte Ihr erster Gedanke sein, dass diese Änderung auf eine Änderung der bestehenden RED zurückzuführen ist. Dies ist jedoch bei weitem nicht der Fall.

    Cybersicherheit war schon immer ein Teil von RED
    Die Funkgeräterichtlinie (allgemein als RED bezeichnet) ist die Richtlinie, die für die meisten Geräte mit Funkmodul gilt, einschließlich typischer Produkte des Internets der Dinge (IoT). Die Richtlinie legt Normen und Anforderungen für Funk, EMV und elektrische Sicherheit fest. Für die meisten Menschen wird es eine Überraschung sein, dass die Cybersicherheit schon immer ein Teil der RED war - genauer gesagt ein Teil ihres "Artikels 3". Der Grund dafür, dass viele dies nicht wissen, ist, dass Artikel 3 nie umgesetzt wurde, weil nicht klar war, wie die Einhaltung der Vorschriften überprüft werden sollte.

    Aber das wird sich bald ändern.

    Die Europäische Kommission hat einen Text zur Umsetzung von Artikel 3 der RED - d.h. der Cybersicherheitsanforderungen - verfasst und gleichzeitig CENELEC (Europäisches Komitee für elektrotechnische Normung), CEN (Europäisches Komitee für Normung) und die Normungsorganisation ETSI aufgefordert, Normen zu erstellen, die diese neuen Anforderungen abdecken.

    Diese neuen Cybersicherheitsanforderungen werden 30 Monate nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft treten und für alle Mitgliedstaaten verbindlich sein. Das mag wie eine lange Zeit erscheinen, liegt aber höchstwahrscheinlich innerhalb der Nutzungsdauer von Produkten, die sich gerade in der Entwicklung befinden.

    Mehr zu Artikel 3...

    Um genauer zu sein, müssen wir unsere Aufmerksamkeit auf Teil 3 (d), (e) und (f) von Artikel 3 richten. Kurz erklärt, umfassen die Anforderungen nach Artikel 3.3:

    (d) die Netze nicht zu beeinträchtigen oder zu missbrauchen, was zu einer unzumutbaren Einschränkung des Dienstes führt
    (e) Schutz der personenbezogenen Daten und der Privatsphäre
    (f) Schutz vor Betrug

    Wie wir sehen, sind die Anforderungen recht vage, ähnlich wie bei anderen Richtlinien, z. B. der Niederspannungsrichtlinie, weshalb eine Norm erforderlich ist, bevor die Anforderungen umgesetzt werden.

    Welche Produkte sind betroffen?
    Die Umsetzung von Artikel 3 der RED durch die Europäische Union (EU) bedeutet, dass die oben genannten Anforderungen für die folgenden Produkte verpflichtend sein werden:

    (d) Alle Funkanlagen, die direkt oder indirekt über das Internet kommunizieren
    (e) Alle Funkanlagen, die personenbezogene Daten oder Verkehrs- und Standortdaten verarbeiten, z. B.
    • mit dem Internet verbundene Funkanlagen
    • Funkanlagen für die Kinderbetreuung
    • Funkanlagen im Rahmen der Spielzeugrichtlinie
    • Am Körper zu tragende Funkgeräte
    (f) Alle an das Internet angeschlossenen Funkgeräte, die eine Geldüberweisung ermöglichen


    Produkte, die von den neuen Cybersicherheitsanforderungen ausgenommen sind, sind Geräte, die unter die Medizinprodukte- oder In-Vitro-Verordnung fallen, sowie Flugzeuge, Fahrzeuge und Straßenmautsysteme.

    Was sollten Hersteller also tun?
    Wie ich eingangs sagte: Wenn diese Änderung umgesetzt wird, wird Cybersicherheit für die CE-Kennzeichnung erforderlich sein, so wie es heute für Sicherheit, EMV und Funk gilt. Die genauen Anforderungen sind noch nicht festgelegt, da CEN, CENELEC und ETSI die neuen Normen für die neu eingeführten Artikel noch ausarbeiten müssen.

    Dies wird erst 30 Monate nach der Veröffentlichung im EU-Amtsblatt der Fall sein. In der Zwischenzeit ist die wichtigste europäische Norm, die es zu beachten gilt, die 2020 veröffentlichte Norm ETSI/EN 303 645. Diese Norm deckt IoT-Geräte für Verbraucher ab, was genau dem Anwendungsbereich der betroffenen Produkte entspricht.

    Mein klarer Rat an die Hersteller lautet, dass sie sicherstellen sollten, dass ihre Produkte der ETSI/EN-Norm entsprechen, sowohl als Vorbereitung auf die kommenden RED-Anforderungen als auch um die bereits umgesetzten Anforderungen der Allgemeinen Datenschutzverordnung (GDPR) zu erfüllen. Die GDPR enthält auch Anforderungen an den Datenschutz und die Cybersicherheit, die ebenfalls von der ETSI/EN 303 645 abgedeckt werden.

    Beginnen Sie noch heute mit der Vorbereitung auf diese neue bevorstehende Herausforderung.
    Am 28. Oktober 2021 bietet Nemko in Deutschland ein kostenfreies Live Webinar genau zu diesem Thema - Cyber Security für IoT-Produkte. Sind Sie sicher? Am besten melden Sie sich gleich an und sichern sich Ihren Platz.

    Oder Sie möchten gleich konkret auf Ihre Fragen eingehen. Dann senden Sie uns eine E-Mail an anfrage@nemko.com. Wir melden uns sehr gerne bei Ihnen.

    Geir Hørthe

    Geir Hørthe ist verantwortlich für die Nemko Cybersicherheitsinitiative. Er arbeitet seit mehr als 30 Jahren bei Nemko im Bereich der Prüfdienstleistungen als Laborleiter der Sicherheits-, ATEX- und medizinischen Abteilungen. Außerdem war er zwei Jahre lang Geschäftsführer des Nemko-Büros in London. Nach seiner...

    Weitere interessante Beiträge