Positives Voting
Ab dem 1. August 2025 gelten die Anforderungen zur Cybersecurity von Funkprodukten. Hersteller erwarten die Listung der drei Normen EN 18031-1, -2 und -3 im EU-Amtsblatt, um von der Konformitätsvermutungswirkung Gebrauch zu machen und nicht zwingend jedes Produkt durch den Notified Body bewerten zu lassen.
Erscheint die Listung der technischen Normen EN 18031-1, EN 18031-2 und EN 18031-3 erst nach dem 1. August 2025 im Amtsblatt der EU – oder gar nicht, so ist die Konformitätsbewertung zwingend mit einer notifizierten Stelle (Notified Body) durchzuführen (EU-Baumusterprüfung), solange bis die Normen im Amtsblatt gelistet sind.
Diese drei Normen werden im Arbeitsprogramm des technischen Komitee CEN/CLC/JTC 13 entwickelt und die finalen Entwürfe wurden jüngst positiv durch die EU-Mitgliedsstaaten verabschiedet:
- EN 18031-1:2024 - Common security requirements for radio equipment – Part 1: Internet connected radio equipment
- EN 18031-2:2024 - Common security requirements for radio equipment – Part 2: radio equipment processing data, namely Internet connected radio equipment, childcare radio equipment, toys radio equipment and wearable radio equipment
EN 18031-3:2024 - Common security requirements for radio equipment – Part 3: Internet connected radio equipment processing virtual money or monetary value
Wir arbeiten bereits seit Mai 2024 mit den finalen Entwürfen der Normen in der regelmäßigen Praxis, z.B. FprEN 18031-1:2024. Zuvor haben wir uns eher der Normen der Standardisierungsorganisationen ETSI, ISO und IEC bedient. Beispiele:
- ETSI EN 303 645 V2.1.1 (2020) - Cyber Security for Consumer Internet of Things: Baseline Requirements
- ISO/IEC 27400:2022 - Cybersecurity - IoT security and privacy – Guidelines
- ISO/IEC 27402:2023 - Cybersecurity - IoT security and privacy - Device baseline requirements
- EN IEC 62443-4-2:2019- Security for industrial automation and control systems - Part 4-2: Technical security requirements for IACS components
Wir empfinden die Arbeit mit der EN 18031-Serie als einen Gewinn. Die von uns durchgeführten Threat Modeling-Projekte haben von der EN 18031-Serie profitiert.
In jeder der drei Normen werden Entscheidungsbäume verwendet, welche abschnittsweise durch die Bewertung leiten. Positiv hervorzuheben sind zudem die nützlichen Anhänge, welche in den vorhergehenden Entwürfen nicht enthalten waren.
Der Anhang A leitet die Konformitätsbewertung durch die Bedrohungsmodellierung und die Risikobewertung.
Die Anhänge B und C gleichen die bisher häufig genutzten Normen EN IEC 62443-4-2 und ETSI EN 303 645 mit dem neuerlichen Anforderungskatalog ab. Dadurch kann sich im ersten Schritt auf die bisher nicht betrachteten Cybersecurity-Aspekte konzentriert werden.
HAS-Assessment
Ein HAS-Consultant bewertet die Eignung der Norm, um im Amtsblatt gelistet werden zu dürfen.
Der HAS-Bewertungsbogen definiert hier die Anforderungen an die Norm. Es dürfen demnach „keine unspezifischen oder nicht überprüfbaren Anforderungen“ in der Norm enthalten sein. Die Normen beichten im Anhang direkt die Nichtquantifizierbarkeit und Nichtmessbarkeit der Eignung der meisten Sicherheitsmaßnahmen („A.2.8.3 Security testing“). Weiter wird beschrieben, dass das Ergebnis von der Kompetenz der bewertenden Person und dessen Erfahrungen im Bereich der Bedrohungslandschaft abhängt.
Cybersicherheitstesttools verwenden häufig Negativtests, um nachzuweisen, dass bestimmte Schwachstellen nicht offensichtlich sind. Da Sicherheitstools jedoch kontinuierlich aktualisiert werden, können mit aktualisierten Informationen möglicherweise neue Probleme entdeckt werden. Daher führt dies ebenfalls nicht zu reproduzierbaren Testergebnissen.
Der uns bekannte HAS- Bewertungsbogen schreibt auch vor, dass es dem Hersteller nicht überlassen sein darf über die Anwendung von Bestimmungen zu entscheiden.
→ zum HAS- Bewertungsbogen
Der in der EN 18031-Serie gewählte Ansatz verbessert das Bewertungsergebnis zwar, kann das Problem jedoch nicht lösen, dass die Bewertungen von bereitgestellten Informationen des Herstellers abhängig sind.
Es verwundert uns deshalb nicht, dass der jüngste HAS-Bericht eine mangelnde Einhaltung der Qualitätsansprüche für eine harmonisierte Norm mit Konformitätsvermutung im Amtsblatt bescheinigt.
Wir vertreten die Meinung, dass es mit den geltenden Regeln und dem bestehenden HAS-Bewertungsbogen nicht zu einer positiven Bewertung kommen kann. Wenn sich die Regel für die HAS-Bewertung von Cybersecurity-Normen nicht ändern, wüssten wir nicht, wie es diese Normenserie in das Amtsblatt schaffen kann.
Für weitere Unterstützung oder Fragen stehen wir Ihnen gern zur Verfügung.
Autor
Benjamin Kerger (B. Eng.)
Product Compliance Consultant