Mit der delegierten Verordnung zur Funkanlagenrichtlinie (RED) zieht die Europäische Union die Zügel an: Ab 2025 gelten neue Anforderungen für die Cybersicherheit von Funkanlagen – von Smartwatch bis Router. Hersteller, Importeure und Händler müssen sich auf grundlegende Änderungen vorbereiten.

Die Radio Equipment Directive (RED), offiziell Richtlinie 2014/53/EU, ist eine europäische Rechtsvorschrift, die die Anforderungen an das Inverkehrbringen, die Bereitstellung auf dem Markt und die Inbetriebnahme von Funkanlagen innerhalb der Europäischen Union regelt. Sie definiert die grundlegenden Bedingungen, die Funkgeräte erfüllen müssen, um im europäischen Binnenmarkt ver- und betrieben werden zu dürfen. Dabei legt die RED sowohl technische als auch regulatorische Anforderungen fest, die Hersteller, Importeure und Händler berücksichtigen müssen, bevor Produkte auf den Markt gelangen. Diese Anforderungen gelten sowohl für neue Produkte als auch für Produkte, die bereits auf dem Markt sind.

Die RED ersetzt die frühere Richtlinie über Funkanlagen und Telekommunikationsendeinrichtungen (R&TTE-Richtlinie) und bildet heute den verbindlichen Rahmen für die Zulassung von Geräten, die Funkfrequenzen nutzen – etwa Mobiltelefone, WLAN-Router, Smartwatches oder industrielle Funkmodule.
 

Wie setzt Deutschland die RED-Richtlinie um?

Das Funkanlagengesetz (FuAG) ist das nationale Umsetzungsgesetz der europäischen Radio Equipment Directive (RED) in Deutschland. Es setzt die Vorgaben der EU-Richtlinie verbindlich in deutsches Recht um und regelt die Anforderungen an das Inverkehrbringen, die Bereitstellung sowie die Inbetriebnahme von Funkanlagen auf dem deutschen Markt.

Das Funkanlagengesetz (FuAG) verfolgt – im Einklang mit der europäischen Radio Equipment Directive (RED) – mehrere zentrale Ziele, die sowohl den Schutz der Nutzenden als auch die Förderung eines einheitlichen europäischen Marktes in den Fokus rücken.

Das Gesetz soll sicherstellen, dass Funkgeräte effizient mit Funkfrequenzen umgehen und elektromagnetische Verträglichkeit aufweisen. Elektromagnetische Verträglichkeit (EMV) meint nichts anderes, als dass ein Gerät so konstruiert sein muss, dass es keine unzulässigen elektromagnetischen Störungen verursacht, die andere Geräte beeinträchtigen könnten, und auch selbst ausreichend unempfindlich gegen äußere elektromagnetische Störungen ist. Kurz gesagt: Ein Gerät muss sowohl „freundlich senden“ als auch „robust empfangen“.

Darüber hinaus stärkt das Funkanlagengesetz den Verbraucherschutz, indem es Anforderungen an die Sicherheit und Zuverlässigkeit von Funkgeräten stellt. Schließlich unterstützt das FuAG die Schaffung eines einheitlichen Binnenmarktes für Funkanlagen in der Europäischen Union, indem es harmonisierte Anforderungen definiert und so den freien Warenverkehr erleichtert. Mit dieser umfassenden Zielsetzung bildet das Funkanlagengesetz die Grundlage für einen sicheren, interoperablen und vertrauenswürdigen Einsatz moderner Funktechnologien in Deutschland und Europa.

Ein zentrales Element zur Umsetzung der Radio Equipment Directive (RED) sind die sogenannten harmonisierten Normen. Dabei handelt es sich um von europäischen Normungsorganisationen, wie ETSI (European Telecommunications Standards Institute) oder CENELEC (European Committee for Electrotechnical Standardization), entwickelte technische Standards, die von der Europäischen Kommission im Amtsblatt veröffentlicht werden. Produkte, die diesen harmonisierten Normen entsprechen, profitieren von einer sogenannten Konformitätsvermutung, das heißt, sie gelten als rechtskonform zur RED. Für Hersteller bedeutet dies eine erhebliche Erleichterung, da sie die Einhaltung der grundlegenden Anforderungen durch Anwendung dieser Normen ohne aufwendige Einzelprüfungen nachweisen können. Besonders im Bereich der Cybersicherheit, die ab 2025 durch die Delegierte Verordnung (EU) 2022/30 Bestandteil der RED wird, arbeiten die Normungsinstitute derzeit an ergänzenden harmonisierten Normen, um Herstellern klare Vorgaben für die sichere Produktentwicklung und den sicheren Produktbetrieb zu geben. Eine zentrale Rolle spielt hierbei die Normenreihe EN 18031.

Die EN 18031-1, -2 und -3 gelten als harmonisierte Normen unter der Funkanlagrichtlinie (RED), wenn die jeweiligen Anforderungen vollständig erfüllt werden.
Dabei sind folgende Besonderheiten zu beachten:

• EN 18031-1: Gilt als harmonisiert, sofern die Passwortverwaltung keinen sicherheitskritischen Einfluss auf das Produkt hat oder Nutzer verpflichtend ein Passwort setzen müssen.

• EN 18031-2: Für datenverarbeitende Funkanlagen, insbesondere Geräte für Kinder, Spielzeugfunkgeräte und Wearables, verlangt die Norm zusätzliche Kindersicherungen für bestimmte Funktionen. Fehlen diese Kindersicherungen, verliert die Norm ihren Status als harmonisierte Norm.

• EN 18031-3: Für internetfähige Funkanlagen mit Funktionen für virtuelle Währungen oder Geldwerte gelten erhöhte Anforderungen an sichere Software-Updates. Es reicht nicht, lediglich digitale Signaturen zu nutzen. Hersteller müssen belegen, dass ihre Sicherheitsvorkehrungen über die Mindestanforderungen hinausgehen.
  Andernfalls gilt die Norm nicht als vollständig harmonisiert.

Neben den allgemeinen grundlegenden Anforderungen in Artikel 3.1 (Gesundheit, Sicherheit, elektromagnetische Verträglichkeit) und 3.2 (effiziente Nutzung des Frequenzspektrums) enthält die Radio Equipment Directive (RED) in Artikel 3.3 eine Reihe von zusätzlichen besonderen Anforderungen, die für bestimmte Arten von Funkanlagen gelten können. Diese Anforderungen betreffen vor allem Aspekte, die über die reine technische Betriebsfähigkeit hinausgehen, etwa die Interoperabilität, den Zugang zu Notdiensten, die Missbrauchsprävention sowie den Schutz personenbezogener Daten und der Netzinfrastruktur.

Besonders relevant sind hierbei die Abschnitte d, e und f, die durch die delegierte Verordnung (EU) 2022/30 konkretisiert wurden und ab dem 1. August 2025 verpflichtend gelten. Diese fordern, dass bestimmte Funkanlagen so gestaltet sein müssen, dass sie:

• die missbräuchliche Nutzung von Ressourcen zur Gefährdung der Netzinfrastruktur verhindern (Artikel 3.3 d),
   
• den Schutz personenbezogener Daten und der Privatsphäre sicherstellen (Artikel 3.3 e),
   
• und keine Schäden verursachen oder den Missbrauch von Netzen ermöglichen (Artikel 3.3 f).

Diese Regelungen bringen insbesondere Hersteller vernetzter Geräte (z. B. IoT-Geräten, Smartphones, Wearables) in die Pflicht, umfassende Cybersecurity-Maßnahmen bereits im Produktdesign (Security by Design) zu berücksichtigen. Die neuen Anforderungen machen deutlich, dass die RED zunehmend auch IT-Sicherheitsaspekte umfasst und sich von einer reinen Funkanlagenrichtlinie hin zu einer Cybersicherheitsrichtlinie für Funkprodukte entwickelt.

Die Radio Equipment Directive (RED) gilt für alle Produkte, die Funkwellen für Zwecke der Kommunikation und/oder Ortung nutzen. Dazu zählen Geräte, die selbst senden oder empfangen – oder beides. Im Fokus stehen dabei sowohl klassische Funkgeräte als auch moderne vernetzte Produkte, die drahtlose Kommunikationstechnologien integrieren. Typische Beispiele sind Mobiltelefone, WLAN-Router, Bluetooth-Lautsprecher, Smartwatches, vernetzte Spielzeuge, smarte Haushaltsgeräte sowie Funkmodule in industriellen Anwendungen.

Wichtig ist, dass die RED hersteller- und technologieunabhängig gilt – sie betrifft alle Geräte mit Funkfunktion, unabhängig davon, ob sie über WLAN, Bluetooth, Mobilfunk (z. B. LTE, 5G), ZigBee, LoRaWAN oder andere Funkstandards kommunizieren.

Nicht unter die RED fallen hingegen Produkte, die ausschließlich drahtgebunden kommunizieren, passive Funkempfänger ohne Sendefunktion oder bestimmte sicherheitskritische Systeme, die durch andere spezielle EU-Rechtsakte geregelt werden (z. B. Luftfahrt, Seefahrt, militärische Anwendungen).

Für Hersteller, Händler und Importeure bedeutet dies: Sobald ein Produkt eine Funkfunktion integriert – selbst wenn sie nur ergänzend oder optional ist – fällt es unter die RED und muss den entsprechenden Anforderungen entsprechen.

Checkliste für Hersteller:

• Nutzt das Produkt Funkwellen (Radiowellen) zur Kommunikation oder Ortung?
• Verfügt das Produkt über drahtlose Kommunikationsfunktionen (z.B. WLAN, Bluetooth, Mobilfunk, ZigBee, LoRaWAN)?
• Ist die Funktion integraler Bestandteil des Geräts (nicht nur Zubehör)?
• Ist das Produkt für den europäischen Markt bestimmt?
• Gehört das Produkt nicht zu einer speziellen Ausnahmegruppe (z. B. Luftfahrt, Seefahrt, militärische Systeme, rein drahtgebundene Geräte)?

Wenn Sie alle Fragen mit „ja“ beantworten können, fällt Ihr Produkt mit hoher Wahrscheinlichkeit unter die RED-Richtlinie und muss die entsprechenden Anforderungen erfüllen.

Bei Unsicherheiten oder „Nein“-Antworten sollten Sie prüfen, ob andere EU-Rechtsvorschriften (z. B. EMV-Richtlinie oder Niederspannungsrichtlinie) anwendbar sind.

Mit der Erweiterung der RED-Richtlinie um die neuen Cybersicherheitsanforderungen (Artikel 3.3 d, e, f) wird der Handlungsdruck für Unternehmen deutlich steigen. Ab dem 1. August 2025 dürfen nur noch Funkanlagen auf den Markt gebracht werden bzw. auf dem Markt bleiben, die den erweiterten Anforderungen an Datenschutz, Schutz vor Missbrauch und Schutz der Netzinfrastruktur entsprechen. Unternehmen, die Funkanlagen herstellen, importieren oder vertreiben, sollten daher jetzt aktiv werden, um rechtzeitig die notwendigen Anpassungen vorzunehmen.

Konkrete Schritte für Unternehmen:

1. Bestandsaufnahme und Portfolio-Analyse: Prüfen Sie, welche Ihrer Produkte unter die RED fallen und ob sie von den neuen Cybersecurity-Pflichten betroffen sind.
    
2. Risikobewertung und Lückenanalyse: Führen Sie eine technische und organisatorische Bewertung durch, um Schwachstellen in Bezug auf Datenschutz, Integrität und Missbrauchsprävention zu identifizieren.
    
3. Anpassung der Produktentwicklung: Integrieren Sie Security by Design und Privacy by Design in Ihre Entwicklungsprozesse und Produktarchitekturen.
    
4. Anwendung harmonisierter Normen: Orientieren Sie sich an bestehenden oder in Entwicklung befindlichen harmonisierten Normen, um die Konformität effizient nachweisen zu können.
    
5. Konformitätsbewertungsverfahren aktualisieren: Passen Sie Ihre internen Verfahren zur CE-Kennzeichnung und Konformitätserklärung an die neuen Anforderungen an.
    
6. Mitarbeiterschulung und Awareness: Schulen Sie Ihr Entwicklungsteam, Produktmanagement und Compliance-Abteilungen zu den Änderungen und deren praktischer Umsetzung.
    
7. Kommunikation mit Partnern und Zulieferern: Stellen Sie sicher, dass auch Ihre Zulieferer und Partner informiert sind und ihre Komponenten den neuen Vorgaben entsprechen.

Durch ein systematisches Vorgehen können Unternehmen nicht nur die Konformität sicherstellen, sondern sich auch Wettbewerbsvorteile verschaffen, indem sie sichere, zukunftsfähige und vertrauenswürdige Funkprodukte anbieten.