EU: Cybersecurity-Normung für Funkanlagen

CEN, CENELEC, ETSI und ISO/IEC – eine wichtige Einordnung

Cybersecurity- bzw. Informationssicherheitsanforderungen halten immer weiter Einzug. Gleichzeitig werden die Anforderungen komplexer und vielfältiger. Darum möchten wir über die Erzeugnisse bzw. aktuelle Entwicklungen der verschiedenen Normungsorganisationen in diesem Bereich berichten.  

So wurden am 29. Oktober 2021 zusätzliche grundlegende Anforderungen für Funkanlagen zur Aktivierung angekündigt, welche, nach einer Verlängerung der EU-Kommission, ab dem 1. August 2025 (!) verbindlich gelten.  

Neben den bereits bekannten grundlegenden Anforderungen, zur Gesundheit und Produktsicherheit im Artikel 3 (1) a), zur Elektromagnetischen Verträglichkeit im Artikel 3 (1) b) und dem Funkspektrum im Artikel 3 (2), werden nun drei Unterabsätze des Artikel 3 (3) aktiviert. 

 


CEN/CENELEC 


Im Amtsblatt der EU soll es drei Normen geben, welche die Konformitätsvermutung für die neuerlichen Informationssicherheitsanforderungen innerhalb der Funkanlagenrichtlinie entfalten sollen. Das Mandat zur Erstellung der Normen hat CEN/CENELEC erhalten.  

Aktuell zirkulieren drei Normentwürfe zur Kommentierung in den Kreisen der Beteiligten.  

  • Gemeinsame Sicherheitsanforderungen für mit dem Internet verbundene Funkgeräte sind in der EN 18031-1 behandelt.  
  • Gemeinsame Sicherheitsanforderungen für Geräte, die personenbezogene Daten verarbeiten, sind in der EN 18031-2 behandelt.  
  • Gemeinsame Sicherheitsanforderungen für mit dem Internet verbundene Funkgeräte, die virtuelles Geld oder Geldwerte verarbeiten, sind in der EN 18031-3 behandelt.  

Die drei Entwürfe sind mit jeweils über 120 Seiten sehr umfangreich. 

 


ETSI 


Bevor CEN/CENELEC das Mandat zur Normung erhalten hatte, legte ETSI, die dritte Europäische Normungsorganisation (ESO) im Bunde, bereits eine Norm vor: ETSI EN 303 645.  

Die ETSI EN 303 645 geht sogar über den Geltungsbereich der RED hinaus, da die ETSI EN 303 645 nicht nur produktbezogene Anforderungen, sondern auch prozessbezogene Anforderungen an den Hersteller abdeckt. 

(!) Die ETSI EN 303 645 wird jedoch keine Berücksichtigung im Amtsblatt der EU finden und somit keine Konformitätsvermutung auslösen.  

Die Relevanz dieser Norm wird nicht zuletzt dadurch unterstrichen, dass Hersteller von „IoT-Produkten für Verbraucher“ im Rahmen des IECEE-CB-Verfahrens gemäß ETSI EN 303 645 prüfen und zertifizieren lassen können. Das ist ungewöhnlich, denn normalerweise basiert die Bewertung auf IEC-Normen.  

 


IEC 


Im Kontext von Maschinen und Industrieautomation findet bereits eine andere Normenfamilie Verwendung: Die Reihe der IEC 62443. Die Normenfamilie besteht derzeit aus 19 Normenveröffentlichungen und Normenentwürfen, welche sechs Gruppen zugewiesen sind. Die einzelnen Normen können Prozessanforderungen und technische Anforderungen beinhalten.  

Auch Mitglieder dieser Normenfamilie wären Anwärter, um die Informationssicherheitsanforderungen der Funkanlagenrichtlinie zu bewerten.  

Im Laufe dieses Jahres hat ETSI einen wichtigen Beitrag mit einer Technischen Spezifikation geleistet: ETSI TS 103 929 V1.1.1 (2023-02).  

Dieses Dokument stellt die Informationssicherheitsanforderungen in den RED-Artikeln 3(3)(d), 3(3)(e) und 3(3)(f) zwei Normen gegenüber: 

  • IEC 62443-4-2 

IT-Sicherheit für industrielle Automatisierungssysteme, Teil 4-2: Technische Sicherheitsanforderungen an Komponenten industrieller Automatisierungssysteme (IACS) 

  • ETSI EN 303 645 

Cybersicherheit für das Internet der Dinge für Verbraucher: Grundanforderungen 

 


ISO/IEC 


Wir möchten an der Stelle, der Vollständigkeit halber, die ISO/IEC 27000-Reihe nicht unerwähnt lassen. Wer in einem Unternehmen ein Informationssicherheitsmanagementsystem (ISMS) aufbauen möchte, kommt um diese Reihe nicht herum. Beispielsweise ist der „IT-Grundschutz“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur ISO/IEC 27001-Norm kompatibel. 

Für die Welt der vernetzten Produkte ist im Juni 2022 die ISO/IEC 27400:2022 (Cybersecurity - IoT security and privacy - Guidelines) erschienen, welche nun – im November 2023 - durch die ISO/IEC 27402 (Cybersecurity - IoT security and privacy - Device baseline requirements) ergänzt wurde.  

Ein Blick in die Veröffentlichungen des Komitees „ISO/IEC JTC 1/SC 27“ (Information security, cybersecurity and privacy protection) lohnt sich allemal.
 

 

Empfehlung 

Aktuell liegen die drei Normenentwürfe der Reihe EN 18031-x der Allgemeinheit nicht vor.  

Die drei Entwürfe werden voraussichtlich im Januar 2024 der Öffentlichkeit zugänglich gemacht. Der aktuelle Zeitplan sieht vor, dass die Normen anschließend zum 30. Juni 2024 veröffentlicht werden. Wir empfehlen Herstellern von Funkprodukten sich frühzeitig mit den Entwürfen auseinanderzusetzen, weil die notifizierten Stellen (Notified Bodies) sich darauf beziehen werden. 

Solange die drei Normen der Reihe EN 18031-x der Allgemeinheit nicht zugänglich sind, empfehlen wir die Informationssicherheitsmaßnahmen an die vorhandene ETSI EN 303 645 anzulehnen.

Zudem ist es ratsam die IEC 62443-4-2 im Blick zu haben, da diese Norm und weitere Mitglieder der Normenfamilie IEC 62443-x-x wahrscheinlich im Kontext des Cyber Resilience Act (CRA) Berücksichtigung finden werden. Auch die Normen der EN 18031-Reihe sollen zum Cyber Resilience Act (CRA) für Funkanlagen gelistet werden. 

Erscheint die Listung der technischen Normen EN 18031-1, EN 18031-2 und EN 18031-3 erst nach dem 1. August 2025 im Amtsblatt der EU, so ist die Konformitätsbewertung zwingend mit einer notifizierten Stelle (Notified Body) durchzuführen, also mit EU-Baumusterprüfung.  

 

Sollten Sie Fragen zu diesem Thema haben, stehen wir Ihnen gerne zur Verfügung!

 

Autor

Benjamin Kerger (B. Eng.)
Product Compliance Consultant

Veröffentlicht am 01.12.2023
Kategorie: Cybersecurity, Fokus Industry, Fokus Consumer Goods & Retail, Fokus Electrical and Wireless, Compliance

Neues aus der Welt der Normen und Product Compliance

Auch wenn die Welt der Normen und Marktzulassungsanforderungen nicht allzu schnelllebig ist – es gibt auch hier regelmäßig Neuigkeiten und Neuerungen. Hier halten wir Sie auf dem Laufenden!

Weitere Neuigkeiten zu Normen und Product Compliance
GLOBALNORM News
"Spenden statt Versenden" geht in die fünfte Runde

Nächstenliebe statt Weihnachtskarten

mehr

"Spenden statt Versenden" geht in die vierte Runde

Nächstenliebe statt Weihnachtskarten

mehr

20 Jahre GLOBALNORM – Von der Zwei-Mann-Firma zum erfolgreichen Mittelständler

mehr

STANDARDS News
Managementnormung Herbst 2024

Welche Änderungen stehen an?

mehr

EU: Rechtssache „Malamud“ und EUGH-Urteilsverkündung zum 5. März 2024

Gegenstand und Folgen des Urteils für die Europäische Normung

mehr

EU: Neue gesetzliche Normen für Funkanlagen mit USB-C-Ladeschnittstelle

EU-Kommission schreibt die anzuwendenden Normen direkt in die Funkanlagen-Richtlinie

mehr

COMPLIANCE News
USB-C Pflicht „common charger“ für bestimmte Produkte der Radio Equipment Directive (RED) 2014/53/EU

Ende der Übergangsfrist noch in 2024

mehr

EU: RoHS-Ausnahmen Update

EU-Kommission veröffentlicht Version August 2024

mehr

PFAS - Updates

Aktuelle und potenzielle Regelungen als übersichtliche Liste

mehr

Login
x

Gemäß der Cookie-Richtlinie der EU (RL 2009/136/EG) möchten wir Sie darüber informieren, dass unsere Website Cookies verwendet. Wenn Sie unsere Webseite benutzen, akzeptieren Sie das und stimmen unseren Datenschutzbestimmungen zu. Welche Cookies konkret gesetzt werden und wie Sie von Ihrem Widerspruchsrecht Gebrauch machen können, erfahren Sie auf unserer Seite zum. Datenschutz.

OK