12. September 2024
Cybersicherheit - innerhalb oder außerhalb des Geltungsbereichs der RED?
Geschrieben von: Geir Hørthe
Cyber Security ist ab August nächsten Jahres für die meisten mobilen Produkte verpflichtend und wir bei Nemko werden oft gefragt, wie der Geltungsbereich der neuen Norm genau zu verstehen ist. Eigentlich stellt sich nur eine knifflige Frage, aber der Reihe nach. Lassen Sie uns vorsichtshalber eine kurze Zusammenfassung des Anwendungsbereichs vornehmen.
Außerhalb des Geltungsbereichs
Es liegt auf der Hand: Alle Produkte, die nicht über einen Funkmodul verfügen (BLE, Wi-Fi usw.), fallen auch nicht in den Anwendungsbereich; ebenso wie medizinische Geräte, In-vitro-Diagnostika, intelligente Zähler und Straßenmautsysteme.
Im Geltungsbereich
Armbanduhren und Produkte für Kinder und die Kinderbetreuung fallen in den Geltungsbereich, unabhängig von der Verbindung zum Internet und ebenso Produkte, die direkt oder indirekt mit dem Internet verbunden sind.
Es stellt sich jedoch die Frage: Was bedeutet es, dass ein Produkt direkt oder indirekt mit dem Internet verbunden ist. Um das Verständnis zu erleichtern, haben wir ein kleines Netzwerk erstellt.
Das obige Netzwerk zeigt ein modernes Haus. In diesem Haus sind die meisten Geräte mit Internetverbindung sehr einfach zu bestimmen:
- Nicht mit dem Internet verbunden (außerhalb des Geltungsbereichs): Temperatursensor und Display, die außer dem direkten Kontakt zueinander keine weiteren Verbindungen haben.
- Direkt mit dem Internet verbunden (im Geltungsbereich): Mobiltelefon und Internet-Router (Gateway), beide direkt mit dem Internet verbunden
- Indirekt mit dem Internet verbunden (im Geltungsbereich): Router, WiFi-Tablet und IoTs, die über das Internet gesteuert werden können. Zum Beispiel kann das Mobiltelefon A Live-Videos von IP-Kameras A und B über das Internet sehen. Ebenso kann es auch den WLAN-Zugang entsperren und das Tablet kann im Internet surfen.
Das Produkt in der Grauzone!
Jetzt bleibt nur noch ein Produkt übrig - der Bluetooth (BT) Lautsprecher (es können aber auch ähnliche andere Produkte sein).
Der BT-Lautsprecher ist mit dem Mobiltelefon B (das direkt mit dem Internet verbunden ist) und dem WiFi-Tablet (das indirekt mit dem Internet verbunden ist) verbunden. Der BT-Lautsprecher ist also mit einem Produkt mit Internetzugang verbunden, aber ist der BT-Lautsprecher selbst dann auch mit dem Internet verbunden?
Normalerweise stellt ein Mobiltelefon über Bluetooth eine Verbindung zu einem BT-Lautsprecher her und verwendet den BT-Lautsprecher als externen Lautsprecher, der Musik wiedergibt, die entweder auf dem Telefon gespeichert ist oder aus dem Internet gestreamt wird. In keinem der beiden Fälle stellt der BT-Lautsprecher eine Anfrage an das Internet, und es ist auch nicht möglich, eine Verbindung zum BT-Lautsprecher über das Internet herzustellen.
In diesem Fall gehen wir bei Nemko davon aus, dass der BT-Lautsprecher nicht mit dem Internet verbunden ist. Dies gilt sowohl für die EU RED als auch für das britische Cybersicherheitsgesetz, das ab dem 29. April 2024 gilt (und in dem der Begriff „mit dem Internet verbunden“ genauer definiert wird).
Ähnliche Produkte außerhalb des Geltungsbereichs...aber trotzdem Vorsicht!
Das Gleiche gilt für andere Produkte, die für die Kommunikation vollständig auf ein Mobiltelefon oder einen PC angewiesen sind, selbst aber nicht in der Lage sind, eine Verbindung zum Internet herzustellen, über das Internet zu kommunizieren oder über das Internet erreicht zu werden. Beispiele hierfür sind BT-Lautsprecher, kabelloses Zubehör wie Tastatur und Maus oder andere einfache BT- oder ZigBee-Produkte.
ABER auch hier ist Vorsicht geboten, und zwar aus mehreren Gründen!
- Wenn ein Produkt z. B. selbständig Updates herunterlädt, fällt es in den Geltungsbereich.
- Dass das Produkt nicht mit dem Internet verbunden ist, bedeutet nicht, dass es sicher ist, sondern nur, dass es nicht in den Geltungsbereich der RED (und der britischen Cybersicherheitsverordnung, PSTI) fällt.
- Mit dem Cyber Resilience Act, der 2027 in Kraft treten soll, wird diese Definition wegfallen und der Anwendungsbereich soll erweitert werden.
Aufgrund dieser Unsicherheiten empfehlen wir dringend, eine RED-benannte Stelle zu kontaktieren, bevor man davon ausgeht, dass ein Produkt nicht in den Geltungsbereich fällt.
Sie sind sich nicht zu 100% sicher, ob Ihre Produkte in den Geltungsbereich fallen oder nicht?
Buchen Sie einfach ein kostenloses Online-Meeting mit einem unserer Cyber Security- Evaluatoren.
Tags:
Cyber Sicherheit
Geir Hørthe
Geir Hørthe ist verantwortlich für die Nemko Cybersicherheitsinitiative. Er arbeitet seit mehr als 30 Jahren bei Nemko im Bereich der Prüfdienstleistungen als Laborleiter der Sicherheits-, ATEX- und medizinischen Abteilungen. Außerdem war er zwei Jahre lang Geschäftsführer des Nemko-Büros in London. Nach seiner...
Other posts you might be interested in
Cybersicherheit: Pflicht für CE-Kennzeichnung ab 2024
27. Januar 2022
//
Telekommunikation und Funk
Produktzertifizierung leicht gemacht: Zugang zu Mexiko, USA & Kanada
31. Oktober 2023
//
Produktzertifizierung
Cyber Security: Ein Muss für die CE-Kennzeichnung in der EU
21. Oktober 2021
//
Cyber Sicherheit