Am 30. Januar 2025 hat die Europäische Kommission die EN 18031-Serie offiziell im Amtsblatt der Europäischen Union unter der Funkanlagenrichtlinie (RED – Radio Equipment Directive) gelistet. Diese Normenreihe wurde entwickelt, um Herstellern von Funkanlagen einen harmonisierten Standard zur Erfüllung der ab dem 1. August 2025 verbindlichen Cybersicherheitsanforderungen bereitzustellen.

Was ist die EN 18031?

Die EN 18031-Serie umfasst drei Teile, die spezifische Sicherheitsanforderungen für verschiedene Arten von Funkanlagen festlegen:

• EN 18031-1: Bezieht sich auf mit dem Internet verbundene Funkanlagen und adressiert den Schutz vor Netzwerkschäden und Dienstleistungsbeeinträchtigungen.
• EN 18031-2: Deckt Funkanlagen ab, die Daten verarbeiten, einschließlich Geräte für die Kinderbetreuung, Spielzeug und tragbare Geräte, mit Fokus auf den Schutz personenbezogener Daten und der Privatsphäre der Nutzer.
• EN 18031-3: Richtet sich an internetfähige Funkanlagen, die virtuelle Währungen oder monetäre Werte verarbeiten, und legt Maßnahmen zur Betrugsprävention fest.

Auswirkungen der Harmonisierung

Durch die Harmonisierung der EN 18031-Serie können Hersteller nun die Konformitätsvermutung in Anspruch nehmen. Das bedeutet, dass ihre Produkte als konform mit den Cybersicherheitsanforderungen der RED gelten, sofern sie die entsprechenden Normen vollständig erfüllen. Dies erleichtert den Marktzugang innerhalb der EU erheblich.

Allerdings gibt es spezifische Einschränkungen, die beachtet werden müssen. Die Konformitätsvermutung gilt als nicht erfüllt, wenn ein Hersteller nicht konform mit diesen Restriktionen arbeitet. In einem solchen Fall darf die Norm nicht per Annex II (Selbsterklärung) angewandt werden und ein Notified Body (NB – benannte Stelle) muss hinzugezogen werden.

Die Rolle der benannten Stelle (NB) bei der Konformitätsbewertung

Kollidiert ein Hersteller mit den genannten Restriktionen, muss die Konformitätsbewertung zwingend über eine benannte Stelle (NB) erfolgen. Dies bedeutet jedoch nicht automatisch, dass die benannte Stelle den Vorgang konform bewerten kann.

Denn die benannte Stelle ist an die „Rationales“ gebunden – also an die Begründungen, die zu diesen Einschränkungen geführt haben. In solchen Fällen wird eine zusätzliche Risikobewertung (Risk Assessment) erforderlich.

Diese Risikobewertung hilft dabei zu bestimmen, ob ein Hersteller möglicherweise bestimmte Anforderungen aufgrund des vorgesehenen Verwendungszwecks (Intended Use) seines Produkts umgehen kann oder ob die Einhaltung zwingend erforderlich ist. Dieser Schritt ist entscheidend, um sicherzustellen, dass die Cybersicherheitsstandards eingehalten werden, gleichzeitig aber produktbezogene Sonderfälle berücksichtigt werden können.

Die Harmonisierung der EN 18031-Serie stellt einen bedeutenden Fortschritt für die Cybersicherheit von Funkanlagen dar. Hersteller sind jedoch gefordert, die Einhaltung der Restriktionen genau zu prüfen, um festzustellen, ob eine Selbsterklärung möglich ist oder ob ein Notified Body sowie eine zusätzliche Risikobewertung erforderlich sind.

Sie benötigen mehr Informationen über Cybersecurity-Prüfungen und -Zertifizierungen? Schauen Sie doch einfach mal auf unsere Unterseite für Cybersecurity.