Cyber Resilience Act: Der Weg zur Compliance beginnt bei der RED DA

Der Cyber Resilience Act (CRA) verlangt seit 2024 von Unternehmen, digitale Produkte für den EU-Markt abzusichern. Doch die Grundlage für die Produktsicherheit wurde schon 2021 mit der RED DA – der Verordnung zur Radio Equipment Directive – geschaffen. Sie gilt für drahtlose Geräte und führt ab August 2025 verbindliche Sicherheitsvorgaben ein. Lesen Sie unsere Interpretation der RED und warum sich Synergien mit dem CRA strategisch nutzen lassen.

Die Cybersecurityanforderungen der Radio Equipment Directive (RED) und des Cyber Resilience Act (CRA) unterscheiden sich erheblich – sowohl im Umfang als auch in der zeitlichen Umsetzung. Während der CRA auf digitale Produkte abzielt, die Daten mit anderen Geräten oder Netzwerken austauschen – unabhängig von der Art der Verbindung – konzentriert sich die RED auf eine engere Kategorie: Produkte mit drahtloser Schnittstelle, die mit dem Internet kommunizieren können. 

Wichtig: Die Cybersecurityanforderungen der RED gelten ab dem 1. August 2025 verbindlich. Die CRA-Verpflichtungen folgen erst ab 2026. Erfahren Sie mehr zu Timings und Fristen hier.

Was steckt hinter der Radio Equipment Directive RED DA) 2022/30?

Die RED DA 2022/30 setzt Artikelbereiche innerhalb der bestehenden Radio Equipment Directive in Kraft und schreibt ab dem 1. August 2025 verbindliche Sicherheitsanforderungen für alle drahtlosen Geräte vor, die auf dem EU-Markt verkauft werden sollen. Die Vorschriften gelten weltweit für alle Hersteller, die ihre Produkte in der EU vertreiben wollen.

Die Ziele der RED DA für drahtlose Geräte sind:

• Verhinderung von Netzwerkschäden (Artikel 3.3 d)
• Schutz personenbezogener Daten (Artikel 3.3 e)
• Vermeidung finanzieller Schäden durch Betrug (Artikel 3.3 f)

Auffällig ist: Der Schutz der Gerätefunktionalität oder der Value Proposition steht nicht im Fokus. Stattdessen zielt die RED konsequent auf den Schutz der IT-Umgebung der Kund:innen, ihrer Daten und ihrer finanziellen Integrität. Diese Neuausrichtung markiert einen entscheidenden Wandel, den Hersteller regulatorisch berücksichtigen müssen.

Die RED betrifft alle Geräte mit drahtloser Schnittstelle, die direkt oder indirekt mit dem Internet kommunizieren, z. B. Spielzeuge, Babyphone, Smartwatches, Fitness-Tracker. Ausgenommen sind Produkte, die bereits unter strengere Verordnungen fallen – etwa Kraftfahrzeuge, Luftfahrzeuge oder Medizinprodukte.

Die offizielle Definition für „Kommunikation mit dem Internet“ lautet: Ein Gerät gilt als mit dem Internet kommunizierend, wenn es selbstständig eine IP-basierte Internetverbindung herstellen kann – auch wenn es diese Funktion nicht nutzt.

Wie lassen sich CRA und RED sinnvoll verknüpfen?

Die RED-Vorgaben können als Teilmenge der CRA-Anforderungen verstanden werden – denn der CRA ist weiter gefasst.

Beispiel: Für CRA-konforme Produkte müssen Hersteller Sicherheitsanforderungen während des gesamten Supportzeitraums garantieren – bei der RED ist dies nicht erforderlich.

Es ist daher ratsam, CRA- und RED-Vorgaben gemeinsam zu denken:

• Anforderungen vergleichen
• Prozesse und Dokumentation bündeln
• Produktanpassungen abstimmen

So entsteht ein übergreifendes Konzept, der beide Regulierungen berücksichtigt – und die Compliance effizient macht.

Wie kann die Compliance nachgewiesen werden?

Die RED DA wurde 2022 von der EU veröffentlicht. Im Jahr 2024 folgte die EN-18031-Normenreihe:

• EN 18031-1: Umsetzung von Artikel 3.3 d
• EN 18031-2: Umsetzung von Artikel 3.3 e
• EN 18031-3: Umsetzung von Artikel 3.3 f

Seit Februar 2025 gelten diese Normen als harmonisiert – Hersteller können nun über Selbstdeklaration die Konformität nachweisen.

Übliche Nachweismethoden: 

• Selbstdeklaration: Hersteller halten sich an die harmonisierten EN-Normen und erstellen eine Konformitätserklärung. Wir gehen davon aus, dass dies für die meisten Produkte ausreichend ist.
• Prüfung durch eine dafür ernannte Organisation (Notified Body): Unabhängig von harmonisierten Normen können Hersteller eine externe Prüfstelle einbinden. Dies ist insbesondere notwendig, wenn andere Normen (z. B. IEC 62443 oder EN 303 645) angewendet werden.

Wichtig: Wer bestehende Sicherheitsnormen nutzt, muss eine technische Begründung liefern, wie diese die RED-Anforderungen erfüllen. Diese Option ist meist aufwendiger – kann sich jedoch für Unternehmen lohnen, die etablierte Prozesse bereits auf anderen Normen aufbauen.

So setzen Sie CRA- und RED-DA-Anforderungen effizient um

Fällt Ihr Produkt unter die RED und soll nach dem 1. August 2025 in der EU verkauft werden, empfehlen wir die Anwendung der EN 18031 sowie den Aufbau einer nachvollziehbaren Nachweisstruktur.

Gerade Hersteller, die neu in diesem Bereich sind, tun sich oft schwer mit der Interpretation – und investieren unnötig viel Zeit in überflüssige Prozesse. Die EN 18031 ist aktuell der sicherste Weg zur Selbstdeklaration und bildet gleichzeitig eine solide Grundlage für spätere CRA-Compliance.

Sind bereits verkaufte Produkte betroffen?

Nein – Produkte, die vor dem Stichtag auf dem Markt waren, sind nicht betroffen. Aber: Gleichartige Produkte, die weiterverkauft werden sollen, müssen den neuen Standards entsprechen.

Wie geht es nun weiter?

Da die RED bereits viele CRA-Inhalte abbildet, ist eine gemeinsame Umsetzung sinnvoll. Für bestehende und neue Produkte sollten Sie:

• eine Risikoanalyse durchführen,
• Lücken identifizieren,
• und konkrete Maßnahmen bis zum 1. August 2025 umsetzen.

Die Umsetzung muss durch eine Prüfstelle (Notified Body) validiert werden.

Zühlke begleitet Sie dabei mit einem interdisziplinären Team aus Cybersecurity- und Geräteexpert:innen. Dank jahrzehntelanger Projekterfahrung helfen wir Ihnen, regulatorische Anforderungen mit technischen, wirtschaftlichen und nutzerzentrierten Zielen in Einklang zu bringen.