Das Auslaufen der Delegierten Verordnung (EU) 2022/30: Was Hersteller vor Dezember 2027 wissen müssen

In den vergangenen Jahren spielte die Delegierte Verordnung (EU) 2022/30 eine zentrale Rolle bei der Festlegung der Cybersicherheitsanforderungen für Funkgeräte, die auf den europäischen Markt gebracht werden. Zusammen mit der Funkgeräterichtlinie 2014/53/EU (RED) und den harmonisierten Normen der Reihe EN 18031 bildete sie das technische Rückgrat compliance vernetzter, mit Funkgeräten ausgestatteter Geräte.

Da jedoch das Gesetz zur Cyber-Resilienz (CRA) am 11. Dezember 2027 vollständig in Kraft tritt, wird die delegierte Verordnung (EU) 2022/30 aufgehoben, was eine grundlegende Veränderung der compliance für solche Produkte mit sich bringt.

Die derzeitigen Cybersicherheitsvorschriften für vernetzte, mit Funkmodulen ausgestattete Produkte basieren auf folgenden Regeln:

• RED ist der Rechtsrahmen für die Konformität von Funkanlagen.
• Delegierte Verordnung (EU) 2022/30 zur Ergänzung der Richtlinie 2014/53/EU in Bezug auf bestimmte Aspekte der Cybersicherheit
• Normenreihe EN 18031 mit der Vermutung der Konformität mit Artikel 3 Absatz 3 Buchstaben d bis f der Richtlinie 2014/53/EU (mit einigen Einschränkungen)

Dieses compliance , das sich auf die harmonisierte Normenreihe EN 18031 stützt, bildet einen bewährten CE-Konformitätsweg zur Erklärung der Konformität mit den gesetzlichen Anforderungen an die Cybersicherheit, wobei der Schwerpunkt auf Schutzmaßnahmen für den Netzwerkschutz, den Schutz personenbezogener Daten und die Betrugsbekämpfung liegt.

Was wird sich nach dem 11. Dezember 2027 ändern?

Die RED bleibt weiterhin gültig, doch wird das Gesetz zur Cyber-Resilienz (CRA) die Verordnung (EU) 2022/30 vollständig ersetzen. Die Europäische Kommission hat am 16. Februar 2026 die endgültige Fassung der delegierten Verordnung zur Aufhebung der delegierten Verordnung (EU) 2022/30 veröffentlicht (Link). Die Veröffentlichung im Amtsblatt der Europäischen Union (ABl.) wird in Kürze folgen.

Mit der Aufhebung der Verordnung (EU) 2022/30 verliert die Normenreihe EN 18031 nach ihrer Streichung aus dem Amtsblatt der Europäischen Union auch die Konformitätsvermutung. Auch wenn die Normen weiterhin harmonisiert und nützlich bleiben, garantieren sie nicht mehr compliance RED.

Die Normenreihe EN 40000 als horizontale Normen für alle Produktkategorien mit digitalen Elementen wird jedoch die Normenreihe EN 18031 einbeziehen, die „lediglich“ für Funkanlagen gilt. Ziel der Normenreihe EN 40000 ist es, die in der CRA formulierten Anforderungen zu strukturieren und zu präzisieren sowie einen einheitlichen Bezugsrahmen für die Auslegung der CRA-Anforderungen zu schaffen, insbesondere hinsichtlich der Risikobewertung und der Sicherheitsgrundsätze.

Was bedeutet das für die tägliche Arbeit der Hersteller?

Es muss ein grundlegend umfassenderes, lebenszyklusorientiertes compliance eingeführt werden, das Folgendes umfasst:

• Obligatorische Bewertungen von Cybersicherheitsrisiken
• Anforderungen an „Secure-by-Design“ und „Secure-by-Default“
• Verpflichtungen zum kontinuierlichen Umgang mit Sicherheitslücken
• Obligatorische kostenlose Sicherheitsupdates – bis mindestens 5 Jahre nach dem Ende des Supportzyklus
• Rund-um-die-Uhr-Meldung aktiv ausgenutzter Sicherheitslücken
• Anforderungen an die Langzeitarchivierung von Unterlagen mit einer Aufbewahrungsfrist von 10 Jahren, nicht nur von technischen Nachweisen vor der Markteinführung

Durch diese Umstellung verschiebt sich der Fokus compliance einer „Prüfung zum Zeitpunkt der Markteinführung“ hin zu einer Denkweise, bei der die Sicherheit über den gesamten Lebenszyklus hinweg gewährleistet wird. Ob es sich nun um stationäre Energiespeichersysteme für Industrie oder Privathaushalte, eine Ladestation für Elektrofahrzeuge, ein Batteriemanagementsystem oder ein anderes Produkt mit digitalen Elementen und Fernverarbeitung von Daten handelt: Im Rahmen der CRA müssen auch Produkte, die nicht als Funkanlagen eingestuft sind, nachweisen, dass ein ausreichender Schutz vor Cybersicherheitsbedrohungen gewährleistet ist. Risikoanalyse, robuste Architektur und aussagekräftige Dokumentation tragen alle zu einer ausreichenden Risikominderung im Entwicklungszyklus bei.

Was kannst du tun, um vorbereitet zu sein?

• Führen Sie eine RED-→-CRA-Lückenanalyse durch, um festzustellen, welche Teile der derzeitigen compliance gültig compliance und wo die CRA neue Verpflichtungen mit sich bringt.
• Passen Sie die Produktentwicklungsprozesse bei Bedarf an, da eine frühzeitige Einbindung der Cybersicherheit kostspielige Nachbesserungen im späteren Verlauf verhindert.
• Erstellung oder Aktualisierung von CRA-konformer technischer Dokumentation, einschließlich Bewertungen der Cybersicherheitsrisiken, Nachweisen für „Secure-by-Design“, Aktualisierungsstrategien und Plänen zum Umgang mit Sicherheitslücken.
• Bereiten Sie Konformitätsbewertungen und CE-Aktualisierungen vor, insbesondere für Produkte, die gemäß der CRA als wichtig oder kritisch eingestuft werden können.
• Integrieren Sie Aufgaben nach der Markteinführung wie das Vorfallmanagement, Meldepflichten und Software-Updates in die Unternehmensprozesse, um bei Sicherheitslücken und Vorfällen schnell reagieren zu können.
• Man sollte von vornherein bedenken, dass Updates im Bereich der Cybersicherheit auch noch lange nach der Einstellung eines Produkts bereitgestellt und verteilt werden müssen.

Wenn Sie frühzeitig handeln, sorgen Sie für einen reibungsloseren Konformitätsbewertungsprozess, vermeiden Kosten für Neukonstruktionen und sichern sich eine stärkere Marktposition in einem von Cybersicherheit geprägten regulatorischen Umfeld.

Abschließende Gedanken

Wenn Sie vernetzte Produkte für den EU-Markt entwickeln und wissen möchten, was die CRA-Bereitschaft für Ihr Unternehmen bedeutet, können Sie sich gerne an uns wenden – oder unten einen Kommentar hinterlassen. Wir arbeiten eng mit Ihren Entwicklungsteams zusammen, um immer einen Schritt voraus zu sein, die sich in der Entwicklung befindenden Standards einzuhalten und die regulatorischen Anforderungen in praktische, effiziente Entwicklungsprozesse umzusetzen.

‍