Cybersecurity- bzw. Informationssicherheitsanforderungen halten immer weiter Einzug. Gleichzeitig werden die Anforderungen komplexer und vielfältiger. Darum möchten wir über die Erzeugnisse bzw. aktuelle Entwicklungen der verschiedenen Normungsorganisationen in diesem Bereich berichten.
So wurden am 29. Oktober 2021 zusätzliche grundlegende Anforderungen für Funkanlagen zur Aktivierung angekündigt, welche, nach einer Verlängerung der EU-Kommission, ab dem 1. August 2025 (!) verbindlich gelten.
Neben den bereits bekannten grundlegenden Anforderungen, zur Gesundheit und Produktsicherheit im Artikel 3 (1) a), zur Elektromagnetischen Verträglichkeit im Artikel 3 (1) b) und dem Funkspektrum im Artikel 3 (2), werden nun drei Unterabsätze des Artikel 3 (3) aktiviert.
CEN/CENELEC
Im Amtsblatt der EU soll es drei Normen geben, welche die Konformitätsvermutung für die neuerlichen Informationssicherheitsanforderungen innerhalb der Funkanlagenrichtlinie entfalten sollen. Das Mandat zur Erstellung der Normen hat CEN/CENELEC erhalten.
Aktuell zirkulieren drei Normentwürfe zur Kommentierung in den Kreisen der Beteiligten.
- Gemeinsame Sicherheitsanforderungen für mit dem Internet verbundene Funkgeräte sind in der EN 18031-1 behandelt.
- Gemeinsame Sicherheitsanforderungen für Geräte, die personenbezogene Daten verarbeiten, sind in der EN 18031-2 behandelt.
- Gemeinsame Sicherheitsanforderungen für mit dem Internet verbundene Funkgeräte, die virtuelles Geld oder Geldwerte verarbeiten, sind in der EN 18031-3 behandelt.
Die drei Entwürfe sind mit jeweils über 120 Seiten sehr umfangreich.
ETSI
Bevor CEN/CENELEC das Mandat zur Normung erhalten hatte, legte ETSI, die dritte Europäische Normungsorganisation (ESO) im Bunde, bereits eine Norm vor: ETSI EN 303 645.
Die ETSI EN 303 645 geht sogar über den Geltungsbereich der RED hinaus, da die ETSI EN 303 645 nicht nur produktbezogene Anforderungen, sondern auch prozessbezogene Anforderungen an den Hersteller abdeckt.
(!) Die ETSI EN 303 645 wird jedoch keine Berücksichtigung im Amtsblatt der EU finden und somit keine Konformitätsvermutung auslösen.
Die Relevanz dieser Norm wird nicht zuletzt dadurch unterstrichen, dass Hersteller von „IoT-Produkten für Verbraucher“ im Rahmen des IECEE-CB-Verfahrens gemäß ETSI EN 303 645 prüfen und zertifizieren lassen können. Das ist ungewöhnlich, denn normalerweise basiert die Bewertung auf IEC-Normen.
IEC
Im Kontext von Maschinen und Industrieautomation findet bereits eine andere Normenfamilie Verwendung: Die Reihe der IEC 62443. Die Normenfamilie besteht derzeit aus 19 Normenveröffentlichungen und Normenentwürfen, welche sechs Gruppen zugewiesen sind. Die einzelnen Normen können Prozessanforderungen und technische Anforderungen beinhalten.
Auch Mitglieder dieser Normenfamilie wären Anwärter, um die Informationssicherheitsanforderungen der Funkanlagenrichtlinie zu bewerten.
Im Laufe dieses Jahres hat ETSI einen wichtigen Beitrag mit einer Technischen Spezifikation geleistet: ETSI TS 103 929 V1.1.1 (2023-02).
Dieses Dokument stellt die Informationssicherheitsanforderungen in den RED-Artikeln 3(3)(d), 3(3)(e) und 3(3)(f) zwei Normen gegenüber:
- IEC 62443-4-2
IT-Sicherheit für industrielle Automatisierungssysteme, Teil 4-2: Technische Sicherheitsanforderungen an Komponenten industrieller Automatisierungssysteme (IACS)
- ETSI EN 303 645
Cybersicherheit für das Internet der Dinge für Verbraucher: Grundanforderungen
ISO/IEC
Wir möchten an der Stelle, der Vollständigkeit halber, die ISO/IEC 27000-Reihe nicht unerwähnt lassen. Wer in einem Unternehmen ein Informationssicherheitsmanagementsystem (ISMS) aufbauen möchte, kommt um diese Reihe nicht herum. Beispielsweise ist der „IT-Grundschutz“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur ISO/IEC 27001-Norm kompatibel.
Für die Welt der vernetzten Produkte ist im Juni 2022 die ISO/IEC 27400:2022 (Cybersecurity - IoT security and privacy - Guidelines) erschienen, welche nun – im November 2023 - durch die ISO/IEC 27402 (Cybersecurity - IoT security and privacy - Device baseline requirements) ergänzt wurde.
Ein Blick in die Veröffentlichungen des Komitees „ISO/IEC JTC 1/SC 27“ (Information security, cybersecurity and privacy protection) lohnt sich allemal.
EmpfehlungAktuell liegen die drei Normenentwürfe der Reihe EN 18031-x der Allgemeinheit nicht vor. Die drei Entwürfe werden voraussichtlich im Januar 2024 der Öffentlichkeit zugänglich gemacht. Der aktuelle Zeitplan sieht vor, dass die Normen anschließend zum 30. Juni 2024 veröffentlicht werden. Wir empfehlen Herstellern von Funkprodukten sich frühzeitig mit den Entwürfen auseinanderzusetzen, weil die notifizierten Stellen (Notified Bodies) sich darauf beziehen werden. Solange die drei Normen der Reihe EN 18031-x der Allgemeinheit nicht zugänglich sind, empfehlen wir die Informationssicherheitsmaßnahmen an die vorhandene ETSI EN 303 645 anzulehnen. Zudem ist es ratsam die IEC 62443-4-2 im Blick zu haben, da diese Norm und weitere Mitglieder der Normenfamilie IEC 62443-x-x wahrscheinlich im Kontext des Cyber Resilience Act (CRA) Berücksichtigung finden werden. Auch die Normen der EN 18031-Reihe sollen zum Cyber Resilience Act (CRA) für Funkanlagen gelistet werden. Erscheint die Listung der technischen Normen EN 18031-1, EN 18031-2 und EN 18031-3 erst nach dem 1. August 2025 im Amtsblatt der EU, so ist die Konformitätsbewertung zwingend mit einer notifizierten Stelle (Notified Body) durchzuführen, also mit EU-Baumusterprüfung. |
Sollten Sie Fragen zu diesem Thema haben, stehen wir Ihnen gerne zur Verfügung!
Autor
Benjamin Kerger (B. Eng.)
Product Compliance Consultant