Rechtsgrundlage
Die RED (2014/53/EU) ersetzt seit 2016 die R&TTE-Richtlinie. Die Delegierte Verordnung (EU) 2022/30 aktiviert die Cybersicherheitsartikel 3.3(d), (e) und (f) mit Wirkung ab 1. August 2025.
Ab dem 1. August 2025 sind Hersteller vernetzter Funkanlagen verpflichtet, Cybersicherheitsanforderungen nach Artikel 3.3(d), (e) und (f) der Radio Equipment Directive zu erfüllen – oder riskieren das CE-Kennzeichen zu verlieren.
Was ist die RCE-Richtlinie?
Die Richtlinie 2014/53/EU (Radio Equipment Directive, RED) regelt das Inverkehrbringen von Funkanlagen in der EU. Durch die Delegierte Verordnung (EU) 2022/30 wurde sie um verbindliche Cybersicherheitsanforderungen ergänzt – ein Wendepunkt für IoT, Smart Home, Wearables und alle vernetzten Geräte mit Funkschnittstelle.
Die RED (2014/53/EU) ersetzt seit 2016 die R&TTE-Richtlinie. Die Delegierte Verordnung (EU) 2022/30 aktiviert die Cybersicherheitsartikel 3.3(d), (e) und (f) mit Wirkung ab 1. August 2025.
Ab dem 1. August 2025 sind alle neuen Funkanlagen, die in der EU auf dem Markt bereitgestellt werden, verpflichtet, die Cybersicherheitsanforderungen der Artikel 3.3(d)–(f) zu erfüllen.
Alle Geräte mit Funkanschnittstelle, die internetfähig sind, personenbezogene Daten verarbeiten oder als Kinderspielzeug/Babyphone konzipiert sind – von Smartwatches bis Industrial-IoT.
Produkte ohne Konformitätsbewertung dürfen nicht mehr in der EU vermarktet werden. Behörden können Marktrücknahmen, Importverbote und Bußgelder verhängen.
Artikel 3.3 RED
Die Delegierte Verordnung (EU) 2022/30 aktiviert drei bislang optionale Artikel der RED und macht sie verbindlich für alle betroffenen Funkanlagen.
Funkanlagen, die direkt oder über andere Geräte mit dem Internet kommunizieren können, dürfen keine schädlichen Auswirkungen auf das Internet, andere Netze oder Dienste verursachen. Schutz des öffentlichen Kommunikationsnetzes steht im Vordergrund.
Funkanlagen mit Verarbeitung personenbezogener Daten oder Standortdaten müssen technische Schutzmaßnahmen beinhalten, die den Schutz der Privatsphäre sicherstellen. Dies umfasst Datensicherheit, Zugriffskontrollen und Ende-zu-Ende-Verschlüsselung.
Funkanlagen, die als Kinderspielzeug einzustufen sind oder zur Babyphone- und Kinderüberwachung dienen, müssen spezifische Sicherheitsfunktionen bieten, um Kinder vor Gefahren aus dem Cyberraum zu schützen.
Chronologie
Von der Einführung der RED bis zur vollständigen Durchsetzung der Cybersicherheitspflichten – die wichtigsten Meilensteine im Überblick.
Die Radio Equipment Directive wird im Amtsblatt der EU veröffentlicht und löst die R&TTE-Richtlinie ab. Artikel 3.3 enthält optionale Cybersicherheitsanforderungen.
Die RED gilt für alle Mitgliedstaaten. Die Cybersicherheitsartikel 3.3(d), (e) und (f) sind zu diesem Zeitpunkt noch nicht verpflichtend aktiviert.
Die Europäische Kommission veröffentlicht die Delegierte Verordnung, die die Artikel 3.3(d), (e) und (f) als verbindlich erklärt – mit einem Übergangszeitraum bis August 2025.
Ab diesem Datum müssen alle neuen Funkanlagen der betroffenen Kategorien die Anforderungen der Artikel 3.3(d)–(f) nachweislich erfüllen. Technische Dokumentation, DoC und ggf. Drittprüfung sind verpflichtend.
Nationale Behörden intensivieren die Marktüberwachung. Produkte ohne Konformitätsnachweis können aus dem Markt genommen werden. CONSUVATION begleitet Sie durch laufende Compliance-Prüfungen.
Technische Standards
Harmonisierte Normen schaffen eine Konformitätsvermutung – wer sie einhält, gilt als RED-konform. Die Auswahl der richtigen Norm ist produktkategorie-abhängig.
| Norm | Titel | Relevant für Artikel | Produkttyp |
|---|---|---|---|
| ETSI EN 303 645 | Cybersecurity for Consumer Internet of Things – Baseline Requirements | 3.3d3.3e | Consumer IoT, Smart Home, Wearables |
| ETSI EN 303 446 | Requirements for Networked Equipment | 3.3d | Vernetzte Heimgeräte |
| ETSI TS 103 848 | Assessment of security aspects of Consumer IoT | 3.3d3.3e | Allgemeine IoT-Geräte |
| ETSI EN 303 645 + TR 103 621 | Kinderspielzeug-Cybersicherheitsanforderungen | 3.3f | Smart Toys, Kindergeräte |
| EN ISO/IEC 27001 | Informationssicherheits-Managementsystem | 3.3e | Ergänzend für Datenschutz |
| IEC 62443 | Industrial Cybersecurity (OT/ICS) | 3.3d3.3e | Industrial IoT, embedded Systems |
Regulierungslandschaft
Die RED steht nicht allein – sie ist Teil eines wachsenden EU-Cybersicherheitsrahmens. Kennen Sie die Wechselwirkungen, vermeiden Sie Doppelarbeit.
Der CRA gilt für alle Produkte mit digitalen Elementen – also auch für Funkanlagen. RED und CRA überschneiden sich: Das ENISA klärt sukzessive, welche Norm für welches Produkt Vorrang hat. Hersteller sollten beide Regelwerke parallel prüfen.
NIS2 adressiert die Betreiber wesentlicher und wichtiger Einrichtungen, während die RED Produkthersteller trifft. Überschneidungen entstehen, wenn Hersteller selbst NIS2-Betreiber sind oder Funkanlagen in kritischer Infrastruktur einsetzen.
Artikel 3.3(e) RED ergänzt die DSGVO auf Produktebene: Während die DSGVO den Verantwortlichen adressiert, fordert die RED technischen Datenschutz bereits im Gerät selbst – Privacy by Design wird zur Marktzugangspflicht.
Maschinen mit Funkschnittstelle fallen möglicherweise gleichzeitig unter die Maschinenverordnung (EU) 2023/1230 und die RED. Eine sorgfältige Abgrenzung der anzuwendenden Konformitätsbewertungsverfahren ist essenziell.
So gelingt die Zertifizierung
Die RED sieht je nach Risikoklasse verschiedene Verfahren vor. CONSUVATION begleitet Sie vom Gap-Analyse-Workshop bis zur fertigen technischen Dokumentation und DoC.
Für Geräte, bei denen vollständig harmonisierte Normen angewendet werden, kann der Hersteller eine Selbstdeklaration vornehmen. Technische Dokumentation und EU-Konformitätserklärung (DoC) sind Pflicht.
Wenn keine harmonisierten Normen angewendet werden oder das Gerät Frequenzen nutzt, für die keine Koordination vorliegt, ist eine Baumusterprüfung durch eine notifizierte Stelle (NoBo) erforderlich.
Unabhängig vom gewählten Verfahren: Die technische Dokumentation muss Sicherheitsanalysen, Testberichte, Risikobeurteilung und Stücklisten umfassen. CONSUVATION erstellt und prüft alle notwendigen Unterlagen.
Nach erfolgreicher Konformitätsbewertung bringt der Hersteller das CE-Zeichen an und stellt die EU-Konformitätserklärung aus. CONSUVATION unterstützt bei Formulierung, Sprache und Archivierung der DoC.
Warum CONSUVATION
CONSUVATION begleitet Hersteller, Importeure und Bevollmächtigte seit Jahren bei der CE-Konformität von Funkanlagen. Unsere Berater kennen die RED in all ihren Facetten – von der Frequenzkoordinierung bis zur Cybersicherheitsbewertung nach den neuen Artikeln.
Wir verbinden regulatorisches Know-how mit technischer Tiefe: Sicherheitsarchitektur, Penetration Testing-Koordination, Normenmapping und Behördenkorrespondenz – aus einer Hand, auf Deutsch und Englisch.
Kostenloses ErstgesprächVollständige RED-Kompetenz inkl. Cybersicherheitsartikel
OT/ICS Security für Industrial IoT
Consumer IoT Baseline Security
Schnelle Lückenanalyse gegen RED-Anforderungen
Unsere Leistungen
Von der ersten Einschätzung bis zur CE-Kennzeichnung – CONSUVATION begleitet Sie durch jeden Schritt des RED-Cybersicherheitsprozesses.
Schnelle Ersteinschätzung, ob Ihr Produkt unter die Cybersicherheitsartikel der RED fällt und welcher Handlungsbedarf besteht.
Tiefgehende Analyse Ihres Produkts gegen alle relevanten harmonisierten Normen – mit priorisiertem Maßnahmenplan und Zeitschiene.
Vollständige Begleitung Ihres Produkts bis zur CE-Kennzeichnung – inklusive Behördenabstimmung, DoC-Erstellung und Dokumentenarchivierung.
Häufige Fragen
Die wichtigsten Fragen zu RED, Cybersicherheitspflichten und Konformität – beantwortet von unseren Experten.
Kontaktieren Sie CONSUVATION für eine kostenlose Erstberatung. Wir analysieren Ihr Produkt und zeigen Ihnen den schnellsten Weg zur RED-Konformität.