Ab dem 1. August 2025 treten die neuen Sicherheitsanforderungen der Radio Equipment Directive (RED) und des Cyber Resilience Act in Kraft. Diese Vorschriften sollen das Schutzniveau von IoT-Geräten deutlich erhöhen, bringen jedoch auch Herausforderungen für Hersteller und den Markt mit sich.
Eric Clausing, Leiter IoT bei der AV-TEST GmbH, erklärt, wie sich die neuen Vorgaben auf die Sicherheit und Kosten von IoT-Produkten auswirken, welche Hürden insbesondere kleinere Hersteller überwinden müssen und welche Vorteile Verbraucher von den neuen Standards erwarten können.
Herr Clausing, wie beeinflussen die neuen Cybersicherheitsanforderungen die Zukunft des IoT? Werden Geräte dadurch sicherer, aber auch teurer oder komplexer?
Produkte aus dem Bereich IoT sind heutzutage fast allgegenwärtig und haben Einblicke in oder Einfluss auf das Leben praktisch jedes Menschen. Das Schadenspotenzial ist dementsprechend enorm groß, weshalb eine sicherheitstechnische Regulierung ohne Frage richtig und wichtig ist. EU-Maßnahmen wie die Radio Equipment Directive oder der noch umfassendere Cyber Resilience Act sind daher grundsätzlich positiv zu bewerten, da sie das Sicherheitsniveau merklich anheben werden.
Natürlich bedeutet die Implementierung von Sicherheitsmaßnahmen für Hersteller, insbesondere für jene, die sich bislang nicht intensiv mit diesem Thema befasst haben, einen Mehraufwand. Dies könnte sich in höheren Produktpreisen niederschlagen – vor allem im Niedrigpreissegment.
Eine erhöhte Bedienkomplexität für IoT-Geräte dürfte jedoch, wenn überhaupt, nur minimal ausfallen. Sicherheitsmechanismen, insbesondere für Netzwerk- und Funksicherheit, sind so konzipiert, dass sie im Hintergrund ohne Zutun des Nutzers arbeiten. Ein Gerät, das – wie gefordert – mit Security by Design ausgeliefert wird, ist per Definition bereits ausreichend abgesichert und muss vom Nutzer nicht zusätzlich konfiguriert werden.
Welche Auswirkungen haben die neuen Vorgaben auf den Marktzugang, insbesondere für kleinere Hersteller und internationale Anbieter in der EU?
Eines der Hauptziele der EU-Cybersicherheitsstrategie und der dazugehörigen Richtlinien und Verordnungen ist es, unsichere Produkte mit digitalen Elementen vom europäischen Markt auszuschließen – unabhängig davon, wo diese hergestellt wurden. Idealerweise soll dies dazu führen, dass in absehbarer Zeit nur noch konforme Produkte innerhalb der EU verfügbar sind. Die Marktüberwachungsbehörden sind dafür verantwortlich, die Einhaltung der Vorgaben zu kontrollieren und Verstöße durch empfindliche Strafen oder Verkaufsverbote zu ahnden.
Für kleinere Hersteller gibt es in der Regel jedoch spezielle Ausnahmeregelungen und Hilfsangebote, die die finanzielle und organisatorische Belastung durch die neuen Sicherheitsanforderungen abmildern sollen.
Welche konkreten Maßnahmen müssen Hersteller ergreifen, um die Anforderungen zu erfüllen, und welche Herausforderungen erwarten sie dabei?
In Bezug auf die Radio Equipment Directive (RED) müssen Hersteller betroffener Produkte (internetfähig mit Funkschnittstelle) die delegierte Verordnung 2022/30/ sowie die zugehörigen harmonisierten Normen EN 18031-1/-2/-3 beachten. Diese Normen bieten skalierbare Verfahren zur Selbstbewertung der Konformität, sodass Hersteller ihre Produkte eigenständig auf Cybersicherheitsanforderungen testen können. Eine Zertifizierung durch eine notifizierte Prüfstelle ist nicht zwingend erforderlich.
Ab dem 1. August 2025 werden die Anforderungen der genannten Verordnung verpflichtend, wobei die Konformität durch das CE-Kennzeichen dokumentiert wird.
Für Hersteller bedeutet dies, dass sie die für ihr Produkt geltenden Normen identifizieren und sich frühzeitig mit den darin formulierten Anforderungen vertraut machen müssen. Während die Konformitätsbewertung eigenständig erfolgen kann, kann es für Unternehmen mit begrenztem Know-how im Bereich Cybersicherheit sinnvoll sein, eine unabhängige Testinstanz hinzuzuziehen.
Wie profitieren Verbraucher von den neuen Sicherheitsstandards? Wird sich ihre digitale Sicherheit spürbar verbessern?
Die Produktauswahl ist insbesondere im unübersichtlichen IoT-Segment für Verbraucher oft schwierig. Insbesondere in Bezug auf die Sicherheit haben Endnutzer keine Möglichkeit, die Qualität eines Produkts zu bewerten oder eine fundierte Kaufentscheidung auf dieser Grundlage zu treffen.
Durch die Einführung einheitlicher Mindestsicherheitsstandards und deren sichtbare Kennzeichnung erhalten Verbraucher eine wertvolle Orientierungshilfe. Objektiv gesehen wird sich die digitale Sicherheit für alle deutlich verbessern, da Sicherheitslücken reduziert und dadurch potenzielle Angriffsflächen minimiert werden.
Im Idealfall wird der Verbraucher von diesen Maßnahmen nichts bemerken – denn solange Sicherheit funktioniert, bleibt sie unauffällig. Erst wenn sie versagt, treten die Konsequenzen in den Vordergrund.
Besteht die Gefahr, dass eine verpflichtende CE-Kennzeichnung Innovationen hemmt oder Produkte verteuert? Wie bewerten Sie diese Kritik?
Diese Kritik ist nicht unbegründet, sollte aber differenziert betrachtet werden. Die verpflichtende CE-Kennzeichnung kann Innovationen verlangsamen, da sie mit bürokratischem Aufwand, höheren Entwicklungskosten und möglicherweise längeren Markteinführungszeiten verbunden ist. Besonders kleine Unternehmen und Start-ups könnten dadurch benachteiligt werden, da ihnen oft die Ressourcen fehlen, um die umfangreichen Konformitätsbewertungsverfahren effizient zu bewältigen. Zudem könnten die zusätzlichen Kosten für Prüfungen und Produktanpassungen zu höheren Endpreisen für Verbraucher führen.
Dennoch bietet die CE-Kennzeichnung erhebliche Vorteile: Sie gewährleistet einheitliche Sicherheitsstandards, schützt Verbraucher und trägt zur Qualitätssicherung bei. Dadurch können teure Sicherheitsvorfälle vermieden werden, die ansonsten erhebliche finanzielle und reputative Schäden verursachen könnten.
Wie wird die Einhaltung der neuen Vorschriften überprüft, und welche Rolle spielt das BSI dabei?
Die zuständige Marktüberwachungsbehörde für die Funkanlagenrichtlinie (RED) in Deutschland ist die Bundesnetzagentur. Sie wird stichprobenartig oder bei Verdacht auf Verstöße prüfen, ob Produkte die Cybersicherheitsanforderungen erfüllen.
Für weiterführende Verordnungen wie den Cyber Resilience Act ist die zuständige Aufsichtsbehörde noch nicht final bestimmt. Allerdings hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits Interesse an dieser Aufgabe bekundet und wäre eine naheliegende Wahl.
Sollten Unternehmen gegen die neuen Vorschriften verstoßen, drohen empfindliche Strafen und sogar Verkaufsverbote. Eine frühzeitige Vorbereitung und gewissenhafte Umsetzung der neuen Regelungen ist daher für alle betroffenen Hersteller dringend zu empfehlen.
