Für vernetzte Geräte, die über eine Funkschnittstelle wie Bluetooth oder WLAN verfügen, gelten im Europäischen Wirtschaftsraum (EWR) bald strengere Vorgaben für IT-Sicherheit und Datenschutz. Ab 1. August 2025 muss ein CE-Kennzeichen deutlich machen, dass die betroffenen Smartphones, Wearables und sonstigen Funkanlagen auch grundlegende Anforderungen zum Schutz von Netzwerken, Privatsphäre und vor Betrug erfüllen. Ansonsten ist der Verkauf im EWR unzulässig.
Anzeige
Die Auflagen ergeben sich aus einem nachgeordneten Rechtsakt zur umstrittenen EU-Richtlinie über Funkanlagen (Radio Equipment Directive, RED). Eigentlich sollte die delegierte Verordnung von 2022, mit der die EU-Kommission Datenpannen bei drahtlos vernetzten Geräten den Kampf ansagt, schon seit 1. August 2024 gelten. Die EU-Kommission hat im Juli vorigen Jahres aber eine Zusatzverordnung beschlossen, die den 1. August 2025 als Termin vorsieht. Grund: die zuständigen Normungsinstitute CEN und Cenelec brauchten mehr Zeit.
Inzwischen ist der Standardisierungsprozess vollendet, sodass die harmonisierten Normen EN 18031-1/- 2/-3 Ende voriger Woche im EU-Amtsblatt veröffentlicht werden konnten. Damit ist klar, dass der spätere Starttermin gehalten werden kann und die Umsetzungsfrist läuft. Die Normen spezifizieren die verbindlichen Vorschriften aus und definieren Prüfkriterien, was Konformitätsnachweise vereinfachen soll. Das soll auch kleineren Unternehmen erleichtern, die Auflagen zu befolgen.
Inhaltlich behandeln die Normen unter anderem die Absicherung vertraulicher Kommunikation sowie das Vorhandensein eines Update-Mechanismus. Sie erfüllen aber lediglich mit Einschränkungen die Konformitätsvermutung. Restriktionen betreffen insbesondere das zwingende Setzen von Nutzer-Passwörtern sowie die Gewährleistung der Zugangssteuerung durch Eltern oder Erziehungsberechtigte für Spielzeuge. Außen vor bleiben ferner Geräte, die finanzielle Transaktionen ermöglichen.
An der Entwicklung der Normen war auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) beteiligt. Das BSI betont, dass Verantwortliche denk der Normen ihre Produkte anhand transparenter Anforderungen und Testkriterien selbst testen könnten. Die jeweils zuständige Behörde für die Marktüberwachung nach der "Radio Equipment Directive" (RED) – in Deutschland die Bundesnetzagentur – überprüfe dann nur noch die Einhaltung der Vorgaben. Ohne Normen wäre der Nachweis der Konformität nur durch eine notifizierte Prüfstelle möglich gewesen.
Harmonisierte Normen gelten laut Entscheidungen des Europäischen Gerichtshofs (EuGH) mehr oder weniger mit Gesetzeskraft. Dadurch sind die Erwartungen an solche Spezifikationen gestiegen. Funkanlagen müssen nach der aus der RED abgeleiteten Verordnung in bestimmten Kategorien oder Klassen so konstruiert sein, dass sie "weder schädliche Auswirkungen auf das Netz oder seinen Betrieb" haben noch "missbräuchliche Nutzung von Netzressourcen" bewirken und so Dienste unverhältnismäßig beeinträchtigen. "Funktionen zum Schutz vor Betrug" wie Multi-Faktor-Authentifizierung sollen implementierbar sein.
Mit dem Ende 2024 in Kraft getretenen Cyber Resilience Act (CRA) kommen noch einmal verschärfte Auflagen auf Gerätehersteller zu. Ab Dezember 2027 dürfen demnach Produkte "mit digitalen Elementen" wie Software in der EU nur noch auf den Markt kommen, wenn sie weitergehende Mindestanforderungen an IT-Sicherheit einhalten. Sie müssen dann in der Regel mindestens fünf Jahre lang mit Sicherheitsupdates versorgt werden. Herstellern obliegt es, über den gesamten Lebenszyklus ihrer Produkte und Anwendungen die Verantwortung für deren IT-Sicherheit zu übernehmen (Security by Design).
Ein neuer Plan der Kommission geht einen Schritt weiter. E-Commerce-Plattformen wie Temu, Shein, Amazon Marketplace oder Alibaba sollen demnach für den Online-Verkauf gefährlicher oder illegaler Produkte haften, schreibt die Financial Times. Vorgesehen sei eine Zollreform, mit der Betreiber digitaler Marktplätze verpflichtet würden, umfassende Daten bereitzustellen, bevor Waren in der EU ankommen. Die zuständigen Beamten sollen – koordiniert durch eine Europäische Zollbehörde (EUCA) – so Pakete besser kontrollieren und prüfen können.
Gestrichen werden soll Zollfreigrenze für Lieferungen unter 150 Euro. Die Kommission will damit gegen die Flut an Paketen insbesondere aus China vorgehen, die unsichere Produkte oder Fälschungen enthalten. Teils ähnliche Maßnahmen enthält ein E-Commerce-Aktionsplan der Bundesregierung.
(
Kommentare