RED Cybersecurity für IoT-Geräte

Bereiten Sie Ihre vernetzten Produkte auf die EU-Vorgaben ab August 2025 vor (RED Delegated Act 2022/30)

Ab dem 1. August 2025 dürfen in der EU nur noch Funkgeräte verkauft werden, die die neuen Cybersecurity-Anforderungen der Funkanlagenrichtlinie (RED) erfüllen.

Das betrifft alle Geräte mit Wi-Fi, Bluetooth, Zigbee, LTE, oder anderen Funkstandards – besonders im Bereich IoT und Embedded Systeme.

Oxeltech hilft Herstellern von IoT-Geräten, ihre Firmware und Systemarchitektur RED Cyber DA konform zu machen.

Welche IoT-Produkte sind betroffen?

Die RED Cybersecurity Anforderungen gelten für:

Geräte mit Wi-Fi oder BLE, die mit einer App oder Cloud kommunizieren
IoT-Produkte, die personenbezogene Daten wie Standort oder Nutzereinstellungen erfassen
Sensoren, Aktoren, Wearables, Gateways oder Tracker mit Funkverbindung
Systeme, die fernkonfigurierbar oder fernsteuerbar sind

Wenn Ihr Gerät über Funk Daten überträgt oder externe Kontrolle erlaubt, fällt es sehr wahrscheinlich unter die RED Cyber DA Vorschriften.

Unsere Leistungen: RED Cybersecurity Compliance für IoT-Hardware

1. Analyse und Geltungsbereich (Scope)

Prüfung, ob RED Art. 3(3)(d), (e), (f) zutreffen
Bewertung des Geräts nach ETSI EN 303 645, dem anerkannten IoT-Sicherheitsstandard

2. Technische Umsetzung

Absicherung der Kommunikation über TLS / HTTPS
Einführung eines sicheren OTA-Update-Mechanismus mit Signaturprüfung und Rollback-Schutz
Deaktivierung unnötiger Schnittstellen (z. B. UART, Debug, Telnet)
Implementierung von sicherer Authentifizierung, ohne Default-Passwörter
Schutz von personenbezogenen Daten, lokal und beim Datentransfer

3. Dokumentation und Konformitätserklärung

Erstellung der vollständigen technischen Dokumentation nach RED Anhang V
Risikoanalyse und Sicherheitsarchitektur
Unterstützung bei der EU-Konformitätserklärung (DoC)
Vorbereitung auf Selbstzertifizierung nach Modul A

Warum Oxeltech?

Erfahrung mit RED Cyber DA Projekten für STM32, ESP32, Nordic und andere Plattformen
Fokus auf stromsparende IoT-Systeme mit Funkmodul (BLE, Wi-Fi)
Technisches Team mit Know-how in Embedded Security und CE-Kennzeichnung
Kein Overhead, keine Zertifizierungsagentur – wir helfen Ihnen, rechtssicher zu entwickeln

Jetzt handeln: RED Cyber DA ist ab August 2025 Pflicht

Wenn Ihr Produkt jetzt oder künftig in der EU verkauft werden soll, sind die Cybersicherheitsanforderungen der RED-Richtlinie verbindlich.

👉 Vereinbaren Sie ein kostenloses Erstgespräch:

📧 info@oxeltech.de

📞 +49 176 64738476

Häufig gestellte Fragen zur RED Cybersecurity Compliance (FAQ)

Gilt die RED Cybersecurity Delegated Act nur für Geräte mit direkter Internetverbindung?

Nein. Die Anforderungen gelten auch für Geräte, die indirekt mit dem Internet verbunden sind – zum Beispiel über eine mobile App, die über Bluetooth oder Wi‑Fi mit dem Gerät kommuniziert und dann Daten an die Cloud sendet. Sobald eine Verbindung zum Internet besteht (direkt oder indirekt), ist Artikel 3(3)(d) relevant.

Welche Geräte sind von der RED Cybersecurity Delegated Act betroffen?

Die Verordnung gilt für alle Funkgeräte, die:

mit dem Internet kommunizieren (direkt oder über eine App)
personenbezogene Daten verarbeiten (z. B. Standort, Benutzerpräferenzen)
ferngesteuert oder extern missbraucht werden können

Typische Beispiele: IoT-Sensoren, Wearables, Smart-Home-Geräte, Tracker, Gateways, BLE-Devices mit App‑Anbindung.

Ab wann ist die RED Cybersecurity Vorschrift verpflichtend?

Ab dem 1. August 2025 dürfen betroffene Geräte nur dann im europäischen Markt vertrieben werden, wenn sie den Cybersicherheitsanforderungen der RED Delegated Act (EU 2022/30) entsprechen.

Gilt die RED Cyber DA auch, wenn mein Gerät nur mit einem Smartphone verbunden ist?

Ja, wenn das Smartphone mit dem Internet verbunden ist und Daten vom Gerät überträgt oder empfängt, gilt dies als indirekte Internetverbindung. Das reicht aus, um Artikel 3(3)(d) zu aktivieren.

Gilt die RED Cyber DA auch, wenn mein Gerät nur Standortdaten und eine Pseudobezeichnung sendet?

Ja. Standortdaten gelten als personenbezogene Daten, ebenso wie pseudonyme Kennungen, wenn sie mit Nutzungsverhalten oder einzelnen Geräten verknüpft werden können. In diesem Fall greift Artikel 3(3)(e) (Datenschutz).

Reicht eine Selbstzertifizierung nach Modul A aus, um die RED Cybersecurity-Anforderungen zu erfüllen?

Ja, aber nur wenn:

Sie alle relevanten harmonisierten Normen anwenden (sobald verfügbar), oder
Sie anerkannte Standards wie ETSI EN 303 645 vollständig umsetzen und
Die technische Dokumentation vollständig gemäß RED Anhang V vorliegt

Wenn das zutrifft, können Sie die Konformität selbst erklären – ohne Notified Body.

Was passiert, wenn ich nach dem 1. August 2025 noch ein nicht-konformes Gerät verkaufe?

Das Gerät darf nicht mehr in der EU vertrieben werden. Mögliche Konsequenzen:

Verkaufsstopp durch Marktüberwachungsbehörden
Produktrückruf oder Einfuhrverbot
Haftungsrisiken bei Sicherheitslücken
Sie sollten umgehend die Konformität sicherstellen – über Risikobewertung, Sicherheitsmaßnahmen und technische Dokumentation. Oxeltech unterstützt Sie dabei.

Welche Normen sollte ich verwenden, um die RED Cyber DA einzuhalten?

Der am häufigsten verwendete Standard ist ETSI EN 303 645, der die Mindestanforderungen für die Cybersicherheit vernetzter Geräte beschreibt. Obwohl er (noch) nicht harmonisiert ist, wird er von Behörden als “Stand der Technik” akzeptiert.

Muss ich einen Notified Body beauftragen?

Nein, nicht zwingend. Nur wenn:

Sie keine harmonisierten oder allgemein anerkannten Standards anwenden
Oder nur eine teilweise Umsetzung vorliegt
In allen anderen Fällen reicht eine Selbstbewertung nach Modul A.

Stellt Oxeltech RED Cybersecurity-Zertifikate aus?

Nein, Oxeltech ist kein Notified Body. Wir unterstützen Sie dabei, alle notwendigen Schritte für die RED Cybersecurity Compliance umzusetzen:

Analyse, ob Ihr Produkt unter die RED-Vorgaben fällt
Umsetzung aller erforderlichen Sicherheitsmaßnahmen
Erstellung der vollständigen technischen Dokumentation
Vorbereitung Ihrer EU-Konformitätserklärung (Selbstdeklaration)

Mit unserer Hilfe können Sie Ihre Geräte rechtssicher und ohne zusätzlichen Zertifizierungsaufwand in den Markt bringen.

Was sollte die technische Dokumentation enthalten?

Sie muss folgende Inhalte abdecken:

Produktbeschreibung und Funktechnologie
Datenfluss- und Architekturdiagramme
Risikobewertung (Artikel 3(3)(d), (e), (f))
Umsetzung nach z. B. ETSI EN 303 645
Sicherheitsmaßnahmen: Kommunikation, OTA-Updates, Zugangsschutz
Update-Prozesse und Schwachstellenmanagement
EU-Konformitätserklärung (DoC) gemäß RED Anhang V

Kann ich ein Gerät über ein sicheres OTA-Update nachträglich konform machen?

Nicht ohne weiteres. Auch wenn ein OTA‑Update das Gerät technisch auf den neuesten Stand bringt, ist die vorherige Nicht-Konformität weiterhin ein Verstoß.

Eine CE-Kennzeichnung erfordert vollständige Konformität vor dem Inverkehrbringen.

RED Cybersecurity für IoT-Geräte

Bereiten Sie Ihre vernetzten Produkte auf die EU-Vorgaben ab August 2025 vor (RED Delegated Act 2022/30)

Welche IoT-Produkte sind betroffen?

Unsere Leistungen: RED Cybersecurity Compliance für IoT-Hardware

Warum Oxeltech?

Jetzt handeln: RED Cyber DA ist ab August 2025 Pflicht

Häufig gestellte Fragen zur RED Cybersecurity Compliance (FAQ)

Kontakt aufnehmen

info@oxeltech.de

+49 176 64 73 8476

Auszeichnung „Young Innovators“ durch das BAFA (2023, 2024, 2025)

Mitglied von Vixul - Accelerator für innovative Technologiedienstleistungen

Mitglied der IHK

Mehr erfahren

Subscribe Our Newsletter