Am 27. Oktober 2023 veröffentlichte das Amtsblatt der Europäischen Union eine Änderung der RED-Zulassungsverordnung (EU) 2022/30, in der die Datumsbeschreibung des verpflichtenden Umsetzungszeitraums in Artikel 3 auf den 1. August 2025 aktualisiert wurde.
Die RED Authorization Regulation (EU) 2022/30 ist ein Amtsblatt der Europäischen Union, das vorschreibt, dass Hersteller relevanter Produkte die Cybersicherheitsanforderungen der RED-Richtlinie berücksichtigen müssen, nämlich RED 3(3) (d), RED 3( 3) (e) und RED 3(3) (f), in ihrer Referenz und Produktion.
Artikel 3.3(d) Funkgeräte schädigen weder das Netzwerk oder seine Funktionsweise noch missbrauchen sie Netzwerkressourcen und verursachen dadurch eine inakzeptable Verschlechterung des Dienstes
Diese Klausel gilt für Geräte, die direkt oder indirekt mit dem Internet verbunden sind.
Artikel 3.3(e) Funkgeräte enthalten Sicherheitsvorkehrungen, um sicherzustellen, dass die persönlichen Daten und die Privatsphäre des Benutzers und des Abonnenten geschützt sind
Diese Klausel gilt für Geräte, die personenbezogene Daten, Verkehrsdaten oder Standortdaten verarbeiten können. Außerdem Geräte, die ausschließlich für die Kinderbetreuung bestimmt sind, Geräte, die am Kopf oder Körper getragen, angeschnallt oder daran aufgehängt werden können, einschließlich Kleidung, und andere mit dem Internet verbundene Geräte.
Artikel 3.3(f) Funkgeräte unterstützen bestimmte Funktionen, die den Schutz vor Betrug gewährleisten
Diese Klausel gilt für Geräte, die direkt oder indirekt mit dem Internet verbunden sind und es dem Benutzer ermöglichen, Geld, Geldwerte oder virtuelle Währungen zu übertragen.
Vorbereitung auf die Verordnung
Obwohl die Verordnung erst ab dem 1. August 2025 gilt, wird die Vorbereitung ein wesentlicher Aspekt sein, um auf die Erfüllung der Anforderungen vorbereitet zu sein. Das erste, was ein Hersteller tun sollte, ist, sich seine Funkausrüstung anzusehen und sich zu fragen: Wie sicher ist diese im Internet? Was tun Sie bereits, um es vor Angriffen zu schützen? Wenn die Antwort „nichts“ lautet, dann haben Sie wahrscheinlich noch etwas zu tun.
Im Hinblick auf die Einhaltung der RED sollte sich der Hersteller speziell mit den oben aufgeführten Anforderungen befassen und überlegen, wie er diese Anforderungen erfüllt. Sobald die Bewertungsstandards vollständig sind, werden sie klare und detaillierte Möglichkeiten bieten, die Einhaltung der Anforderungen nachzuweisen.
Einige Hersteller wissen bereits, wie sie ihre Produkte bewerten und nachweisen können, dass sie den Standardisierungsanforderungen und den in diesem Dokument aufgeführten Anforderungen entsprechen. Einige Hersteller haben möglicherweise bereits eine solche Bewertung ihrer eigenen Qualitätssysteme vorgenommen. Für andere Hersteller gilt:BTFwird zur Verfügung stehen, um zu helfen.THier sind bereits einige nützliche Standards im Umlauf und diese könnten verwendet werden, um den Hersteller und Testlabore bei Bewertungsansätzen zu unterstützen. ETSI EN 303 645 enthält Abschnitte, die sich speziell auf die oben beschriebenen Themen beziehen, wie z. B. die Aktualisierung von Software, die Überwachung des Datenverkehrs und die Minimierung exponierter Angriffsflächen.
Das Cybersicherheitsteam von BTF steht zur Verfügung, um die Standards zu erläutern und Hersteller durch den Prozess der Anwendung der Standards und der Durchführung von Cyber-Bewertungen zu führen.Bei Fragen können Sie sich gerne an uns wenden!
Zeitpunkt der Veröffentlichung: 02.11.2023