Cyber security wird im Rahmen der Funkanlagenrichtlinie (RED) zu einer Anforderung für CE-gekennzeichnete Anlagen mit Funkmodul, gleichberechtigt mit den heutigen Anforderungen an elektrische Sicherheit, elektromagnetische Verträglichkeit (EMV) und Funk.
Wenn Sie dies zum ersten Mal lesen, könnte Ihr erster Gedanke sein, dass diese Änderung auf eine Änderung der bestehenden RED zurückzuführen ist. Dies ist jedoch bei weitem nicht der Fall.
Cybersicherheit war schon immer ein Teil von RED
Die Funkgeräterichtlinie (allgemein als RED bezeichnet) ist die Richtlinie, die für die meisten Geräte mit Funkmodul gilt, einschließlich typischer Produkte des Internets der Dinge (IoT). Die Richtlinie legt Normen und Anforderungen für Funk, EMV und elektrische Sicherheit fest. Für die meisten Menschen wird es eine Überraschung sein, dass die Cybersicherheit schon immer ein Teil der RED war - genauer gesagt ein Teil ihres "Artikels 3". Der Grund dafür, dass viele dies nicht wissen, ist, dass Artikel 3 nie umgesetzt wurde, weil nicht klar war, wie die Einhaltung der Vorschriften überprüft werden sollte.
Aber das wird sich bald ändern.
Die Europäische Kommission hat einen Text zur Umsetzung von Artikel 3 der RED - d.h. der Cybersicherheitsanforderungen - verfasst und gleichzeitig CENELEC (Europäisches Komitee für elektrotechnische Normung), CEN (Europäisches Komitee für Normung) und die Normungsorganisation ETSI aufgefordert, Normen zu erstellen, die diese neuen Anforderungen abdecken.
Diese neuen Cybersicherheitsanforderungen werden 30 Monate nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft treten und für alle Mitgliedstaaten verbindlich sein. Das mag wie eine lange Zeit erscheinen, liegt aber höchstwahrscheinlich innerhalb der Nutzungsdauer von Produkten, die sich gerade in der Entwicklung befinden.
Mehr zu Artikel 3...
Um genauer zu sein, müssen wir unsere Aufmerksamkeit auf Teil 3 (d), (e) und (f) von Artikel 3 richten. Kurz erklärt, umfassen die Anforderungen nach Artikel 3.3:
(d) die Netze nicht zu beeinträchtigen oder zu missbrauchen, was zu einer unzumutbaren Einschränkung des Dienstes führt
(e) Schutz der personenbezogenen Daten und der Privatsphäre
(f) Schutz vor Betrug
Wie wir sehen, sind die Anforderungen recht vage, ähnlich wie bei anderen Richtlinien, z. B. der Niederspannungsrichtlinie, weshalb eine Norm erforderlich ist, bevor die Anforderungen umgesetzt werden.
Produkte, die von den neuen Cybersicherheitsanforderungen ausgenommen sind, sind Geräte, die unter die Medizinprodukte- oder In-Vitro-Verordnung fallen, sowie Flugzeuge, Fahrzeuge und Straßenmautsysteme.
Was sollten Hersteller also tun?
Wie ich eingangs sagte: Wenn diese Änderung umgesetzt wird, wird Cybersicherheit für die CE-Kennzeichnung erforderlich sein, so wie es heute für Sicherheit, EMV und Funk gilt. Die genauen Anforderungen sind noch nicht festgelegt, da CEN, CENELEC und ETSI die neuen Normen für die neu eingeführten Artikel noch ausarbeiten müssen.
Dies wird erst 30 Monate nach der Veröffentlichung im EU-Amtsblatt der Fall sein. In der Zwischenzeit ist die wichtigste europäische Norm, die es zu beachten gilt, die 2020 veröffentlichte Norm ETSI/EN 303 645. Diese Norm deckt IoT-Geräte für Verbraucher ab, was genau dem Anwendungsbereich der betroffenen Produkte entspricht.
Mein klarer Rat an die Hersteller lautet, dass sie sicherstellen sollten, dass ihre Produkte der ETSI/EN-Norm entsprechen, sowohl als Vorbereitung auf die kommenden RED-Anforderungen als auch um die bereits umgesetzten Anforderungen der Allgemeinen Datenschutzverordnung (GDPR) zu erfüllen. Die GDPR enthält auch Anforderungen an den Datenschutz und die Cybersicherheit, die ebenfalls von der ETSI/EN 303 645 abgedeckt werden.
Beginnen Sie noch heute mit der Vorbereitung auf diese neue bevorstehende Herausforderung.
Am 28. Oktober 2021 bietet Nemko in Deutschland ein kostenfreies Live Webinar genau zu diesem Thema - Cyber Security für IoT-Produkte. Sind Sie sicher? Am besten melden Sie sich gleich an und sichern sich Ihren Platz.
Oder Sie möchten gleich konkret auf Ihre Fragen eingehen. Dann senden Sie uns eine E-Mail an anfrage@nemko.com. Wir melden uns sehr gerne bei Ihnen.