Radio Equipment Directive (RED)

Neue EU-Regelung – verbindlich ab August — NTC unterstützt 

Aktuell wird viel über die bevorstehende Einführung neuer EU-Regulierungen wie den Cyber Resilience Act (CRA) gesprochen, der die Cybersicherheit von Produkten mit digitalen Elementen regelt, oder der NIS2 (Netzwerk- und Informationssystem) -Richtlinie, die Cybersicherheitsanforderungen für Betreiber kritischer Infrastrukturen festlegt. Diese Richtlinien werden derzeit in den verschiedenen EU-Ländern in nationales Recht umgesetzt. Obwohl die Schweiz als Nicht-EU-Land nicht direkt betroffen ist, müssen Schweizer Unternehmen die Anforderungen ab dem Zeitpunkt der EU-Geltung einhalten, sobald sie in der EU tätig sind.

Funkanlagenrichtlinie «Radio Equipment Directive» gilt auch für die Schweiz

Neben CRA und NIS2 gibt es eine weitere, oft weniger beachtete Richtlinie: die Radio Equipment Directive (RED) (2014/53/EU). Anders als die zuvor genannten Regelungen wurde diese in der Schweiz in nationales Recht umgesetzt und gilt somit hierzulande für Geräte mit Funkschnittstelle. Die Einhaltung wird durch das Bundesamt für Kommunikation (BAKOM) vollzogen.

Die ursprünglich im Jahr 2014 eingeführte RED wurde kontinuierlich erweitert, zuletzt im Jahr 2022, und enthält neue Cybersicherheitsanforderungen für Geräte mit Funkschnittstelle, die über das Internet kommunizieren. Die neuen Anforderungen treten am 1. August 2025 in Kraft und gelten für Geräte, die ab diesem Zeitpunkt neu auf den Markt gebracht werden. Betroffen sind zahlreiche Produktkategorien, darunter IoT-Geräte, vernetzte Fahrzeuge, Industrie-4.0-Anwendungen und Smartphones.
Interessant ist der breite Anwendungsbereich der RED: So regelt die Direktive etwa auch die EU-weite Einführung des universellen USB-C-Ladeanschlusses für Geräte mit Funkkomponenten, darunter Smartphones, Tablets, E-Reader, Digitalkameras, Laptops und Kopfhörer.

Strenge Cyber-Richtlinie für Funkanlagen 

Die in Artikel 3.3 (d,e,f) der RED-Richtlinie definierten «RED-Cyber-Richtlinien» werden in den harmonisierten Normen EN 18031-1, EN 18031-2 und EN 18031-3 genauer beschrieben und deren Prüfkriterien definiert. Die Bezeichnung der Normen lautet:

• EN 18031-1: Funkanlagen mit Internetanschluss
• EN 18031-2: datenverarbeitende Funkanlagen, namentlich mit dem Internet verbundene Funkanlagen, in der Kinderbetreuung eingesetzte Funkanlagen, in Spielzeug eingesetzte Funkanlagen sowie an einem Teil des menschlichen Körpers oder an Kleidungsstücken getragene Funkanlagen
• EN 18031-3: mit dem Internet verbundene Funkanlagen, die für die Datenverarbeitung im Zusammenhang mit virtuellen Währungen oder monetären Werten eingesetzt werden
  Die Normen definieren zahlreiche sinnvolle Anforderungen, darunter sichere Zugangs- und Authentifizierungsmechanismen, sichere Update- und Speicherverfahren sowie Protokollierungs- und Überwachungsfunktionen.

NTC stellt zahlreiche Verstösse fest

Das Nationale Testinstitut für Cybersicherheit NTC hat eine Stichprobe von vernetzten Geräten wie einer Alarmanlage (EN 18031-1, da «Funkanlagen mit Internetanschluss»), mehreren Smartwatches für Kinder (EN 18031-2, da «Funkanlagen, die bei der Kinderbetreuung verwendet werden» und «Funkanlagen, die an einem Körperteil oder an der Kleidung getragen werden») und mehreren Babycams (EN 18031-2, da «Funkanlagen, die bei der Kinderbetreuung verwendet werden») untersucht. Die überwiegende Mehrheit der untersuchten Geräte erfüllte die ab 1. August 2025 geltenden Cyber-Anforderungen nicht.

Die Stichprobe ist nicht repräsentativ und enthält eher preisgünstige als hochwertige Produkte. Es handelt sich jedoch um Geräte, die über die in der Schweiz üblichen und etablierten Verkaufskanäle bezogen wurden. Die Ergebnisse der Stichprobe zeigen einen dringenden Handlungsbedarf auf, insbesondere im Hinblick auf die Inkraftsetzung der neuen RED-Cyber-Richtlinien in wenigen Monaten. Default-Zugangsdaten wie admin oder 1234, fehlende Möglichkeit zum Firmware-Update, Updates nur für die ersten 1-2 Jahre oder unverschlüsselte Kommunikation mit der Cloud des Anbieters müssen spätestens dann der Vergangenheit angehören. Bei Verstössen kann das BAKOM Massnahmen wie Bussen oder Marktverbote aussprechen.

NTC wird vermehrt Cybersicherheitsprüfungen durchführen

Im Interesse der Sicherheit und der digitalen Souveränität der Schweiz begrüsst das NTC die neuen, strengeren Anforderungen und wird auch in Zukunft aus eigener Initiative die Cybersicherheit von digitalen Produkten analysieren. Das NTC kann vernetzte Produkte über den Online-Händler Digitec Galaxus vereinfacht beziehen und analysieren. Dies erleichtert die Arbeit des NTC erheblich und unterstreicht das Engagement von Digitec Galaxus für bessere und sicherere Produkte. Bei Verstössen informiert das NTC den Hersteller oder Importeur und gegebenenfalls das BAKOM in seiner Rolle als Marktüberwacher.