Alle Vergleiche

Cyber Resilience Act (CRA)

VS

Funkgeräterichtlinie (RED)

CRA vs. Funkgeräterichtlinie (RED)

Wie der Cyber Resilience Act die Cybersicherheitsanforderungen der Funkgeräterichtlinie ablöst

Neues horizontales Cybersicherheitsregime

Umfassende Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen — ersetzt die drei RED-Delegierten Rechtsakte zu Cybersicherheit

Bestehendes Funkgeraterecht

Regelt Funkspektrum, EMV und Gesundheitsschutz — die Cybersicherheitsaspekte (Art. 3(3)(d)(e)(f)) werden vom CRA übernommen

Die RED bleibt für Funkaspekte bestehen. Aber für Cybersicherheit gilt künftig ausschließlich der CRA. Bestehende RED-Cyberzertifikate haben eine Übergangsfrist.

2 Abgedeckt0 Teilweise6 Nicht abgedeckt

Sie erfüllen die RED — was ändert sich mit dem CRA?

Die RED-Cybersicherheitsanforderungen unter Art. 3(3)(d), (e) und (f) werden vom CRA vollständig abgelöst. Wenn Sie diese bereits implementiert haben, haben Sie eine gute Ausgangsbasis — aber der CRA geht deutlich weiter.

206
CRA-AnforderungAbdeckung durch Funkgeräterichtlinie
RED Art. 3(3)(d)(e)(f) Cybersicherheitsanforderungen
Abgedeckt

Der CRA ersetzt diese vollständig. Ihre bestehende Umsetzung der RED-Cybersicherheitsanforderungen bildet eine direkte Grundlage für die CRA-Konformität.

Bestehende EU-Baumusterprüfbescheinigungen
Abgedeckt

Unter RED-Cybersicherheit ausgestellte Bescheinigungen behalten für einen Übergangszeitraum ihre Gültigkeit — die genaue Dauer hängt vom jeweiligen Bescheinigungstyp ab.

Breiterer Cybersicherheitsumfang über RED hinaus
Nicht abgedeckt

Die RED adressiert nur drei spezifische Cybersicherheitsaspekte. Der CRA Anhang I umfasst wesentlich breitere Anforderungen: Security by Design, Angriffsflächen-Minimierung, sichere Standardkonfiguration u.v.m.

SBOM-Pflicht
Nicht abgedeckt

Die RED kennt keine SBOM-Anforderung. Der CRA verlangt eine maschinenlesbare Software Bill of Materials für jedes Produkt.

Strukturiertes Schwachstellenmanagement
Nicht abgedeckt

Die RED fordert keine laufende Schwachstellenbehandlung. Der CRA verlangt systematisches Schwachstellenmanagement über den gesamten Supportzeitraum (mindestens 5 Jahre).

ENISA-Meldeplattform
Nicht abgedeckt

Die RED enthält keine Meldepflichten. Der CRA fordert die Meldung aktiv ausgenutzter Schwachstellen an ENISA innerhalb von 24 Stunden.

Supportzeitraum
Nicht abgedeckt

Die RED verlangt keine deklarierte Supportdauer. Der CRA verpflichtet zur Festlegung und Kommunikation eines Supportzeitraums mit kostenlosen Sicherheitsupdates.

Aktualisierte Konformitätsbewertungsmodule
Nicht abgedeckt

Die CRA-Konformitätsbewertung (Anhang VIII) unterscheidet sich von den RED-Modulen und erfordert eine Neuausrichtung des Bewertungsprozesses.

01

Hintergrund und regulatorischer Kontext

Die RED wurde durch drei delegierte Rechtsakte um Cybersicherheit erweitert: Art. 3(3)(d) Netzwerkschutz, (e) Datenschutz, (f) Betrugsschutz. Der CRA übernimmt und erweitert diese vollständig.

  • Erwägungsgrund 30 CRA: Die CRA-Anforderungen umfassen alle Elemente der RED Art. 3(3)(d), (e) und (f)
  • Bestandsschutz: Bestehende EU-Baumusterprüfbescheinigungen behalten für einen Übergangszeitraum Gültigkeit
  • Erweiterung: CRA geht mit SBOM, Schwachstellenmanagement und ENISA-Meldung deutlich über die RED hinaus
02

Auswirkungen auf Produkthersteller

Der CRA ersetzt die drei RED-Delegierten Rechtsakte durch einen einheitlichen Cybersicherheitsrahmen. RED-Funkaspekte bleiben bestehen — in der Praxis also zwei parallele Konformitätsbewertungen.

  • Neue CRA-Pflichten: SBOM-Erstellung, Schwachstellenmanagement, ENISA-Meldung (24h), EU-Konformitätserklärung
  • Weiterhin RED: Spektrumsnutzung, EMV und Gesundheitsschutz
  • Trennstrich: Cybersicherheit = CRA, Funkaspekte = RED
03

Übergangszeitraum und Bestandsschutz

Der Übergang erfolgt nicht abrupt. RED-Cybersicherheitsanforderungen gelten bis zum 11. Dezember 2027, dann übernimmt der CRA vollständig.

  • Geltungsdauer: RED Art. 3(3)(d)(e)(f) bis 11.12.2027, danach ausschließlich CRA
  • Bestandsschutz: Bestehende EU-Baumusterprüfbescheinigungen behalten übergangsweise Gültigkeit
  • Empfehlung: Übergangszeit strategisch nutzen — CRA-Prozesse (SBOM, Schwachstellenmanagement, ENISA-Meldung) rechtzeitig aufbauen
04

Betroffene Produktkategorien

Alle Funkgeräte mit digitalen Elementen sind betroffen. Besondere Aufmerksamkeit gilt Produkten der CRA-Klasse I und II.

  • Betroffene Geräte: WLAN-Router, Bluetooth-Geräte, Smart-Home (Zigbee/Z-Wave/Thread), vernetzte Spielzeuge, Smart Speaker, IoT-Sensoren, Mobiltelefone, Drohnen
  • Klasse I (Anhang III): Router und Firewalls für den Privatgebrauch
  • Potenziell Klasse II: Industrielle Funkgeräte für kritische Infrastrukturen

Synergien zwischen CRA und RED

Die Kombination aus CRA und RED bietet Herstellern die Chance, eine einheitliche Compliance-Strategie zu verfolgen.

Einheitliche CE-Kennzeichnung

Beide Rechtsakte nutzen das CE-Kennzeichnungssystem — Hersteller können Konformitätsbewertungen koordiniert durchführen.

Harmonisierte Normen

Harmonisierte Normen unter beiden Rechtsakten ermöglichen Konformitätsvermutungen und vereinfachen den Nachweis.

Konsolidierte Dokumentation

Technische Dokumentation für CRA und RED kann in einem integrierten Dokumentationspaket zusammengeführt werden.

Ihre nächsten Schritte

1Hohe Priorität

Cybersicherheitsumfang erweitern

Gehen Sie über die drei RED-Cybersicherheitsartikel hinaus und implementieren Sie die umfassenden CRA-Anhang-I-Anforderungen: Security by Design, Zugriffskontrolle, Datenintegrität, Angriffsflächen-Minimierung.

2Hohe Priorität

SBOM-Erstellung implementieren

Integrieren Sie die automatisierte SBOM-Generierung in Ihren Build-Prozess für alle Softwarekomponenten Ihrer Funkgeräte.

3Hohe Priorität

ENISA-Meldeprozess aufbauen

Definieren Sie interne Abläufe für die Meldung aktiv ausgenutzter Schwachstellen an die zentrale ENISA-Plattform innerhalb der 24-Stunden-Frist.

4Mittlere Priorität

Konformitätsbewertung neu planen

Bereiten Sie den Übergang von der RED-Konformitätsbewertung zur CRA-Konformitätsbewertung vor. Berücksichtigen Sie die CRA-Produktklassifizierung (Anhang III/IV).

Häufig gestellte Fragen

Ersetzt der CRA die Funkgeräterichtlinie (RED) vollständig?
Nein. Der CRA ersetzt ausschließlich die Cybersicherheitsanforderungen der RED, also die delegierten Rechtsakte unter Art. 3(3)(d), (e) und (f). Alle anderen RED-Anforderungen — insbesondere zu Funkspektrum, elektromagnetischer Verträglichkeit (EMV), Gesundheitsschutz und elektrischer Sicherheit — bleiben vollständig bestehen. Funkgeräte mit digitalen Elementen benötigen künftig die Konformität nach beiden Rechtsakten: RED für die Funkaspekte und CRA für die Cybersicherheit.
Was passiert mit bestehenden EU-Baumusterprüfbescheinigungen für RED-Cybersicherheit?
Bestehende EU-Baumusterprüfbescheinigungen, die von benannten Stellen unter den RED-Cybersicherheitsanforderungen (Art. 3(3)(d), (e), (f)) ausgestellt wurden, behalten für einen Übergangszeitraum ihre Gültigkeit; die genaue Dauer hängt vom jeweiligen Bescheinigungstyp ab. Dies gibt Herstellern einen gewissen Puffer über den CRA-Anwendungsbeginn am 11. Dezember 2027 hinaus, um ihre Konformitätsbewertung auf die CRA-Anforderungen umzustellen.
Benötigen WLAN-Router und Bluetooth-Geräte künftig eine doppelte Konformitätsbewertung?
Ja, aber mit klarer Abgrenzung. WLAN-Router und Bluetooth-Geräte müssen die RED-Konformität für die Funkaspekte nachweisen (Frequenznutzung, EMV, Gesundheitsschutz) sowie die CRA-Konformität für alle Cybersicherheitsaspekte. Die bisherige RED-Cybersicherheitsbewertung entfällt dafür vollständig. In der Summe wird der Aufwand für die Cybersicherheitsbewertung steigen, da der CRA deutlich umfangreichere Anforderungen stellt als die bisherigen RED-Delegierten Rechtsakte.
Was ändert sich konkret für Hersteller von IoT-Geräten mit Funkschnittstelle?
Für IoT-Hersteller ergeben sich vier wesentliche Neuerungen: (1) SBOM-Erstellung für alle Softwarekomponenten wird Pflicht, (2) Schwachstellenmanagement über den gesamten Supportzeitraum (mindestens 5 Jahre) muss implementiert werden, (3) aktiv ausgenutzte Schwachstellen müssen innerhalb von 24 Stunden an die ENISA gemeldet werden, und (4) Security by Design nach CRA Anhang I muss bereits im Entwicklungsprozess umgesetzt werden. Diese Anforderungen gehen weit über die bisherigen RED-Cybersicherheitsanforderungen hinaus.
Wie sollten sich Hersteller auf den Übergang vorbereiten?
Hersteller sollten den Übergangszeitraum bis Dezember 2027 aktiv nutzen: Erstens eine Gap-Analyse zwischen den aktuellen RED-Cybersicherheitsmaßnahmen und den umfassenderen CRA-Anforderungen durchführen. Zweitens Prozesse für SBOM-Erstellung und -Management implementieren. Drittens ein systematisches Schwachstellenmanagement aufbauen, einschließlich Monitoring und Patchprozessen. Viertens die ENISA-Meldeprozesse vorbereiten. Und fünftens die interne Dokumentation auf die CRA-Konformitätserklärung umstellen. Unternehmen, die bereits umfassende RED-Cybersicherheitsmaßnahmen umgesetzt haben, haben eine gute Ausgangsbasis — müssen aber die zusätzlichen CRA-Pflichten ergänzen.
Welche Rolle spielen harmonisierte Normen beim Übergang von RED zu CRA?
Harmonisierte Normen (hEN) werden eine Schlüsselrolle spielen. Für die RED-Cybersicherheit wurden bereits harmonisierte Normen wie EN 18031-1/2/3 entwickelt. Für den CRA werden eigene harmonisierte Normen erarbeitet, die bei Anwendung eine Konformitätsvermutung begründen. Hersteller, die nach den künftigen CRA-harmonisierten Normen arbeiten, können den Konformitätsnachweis vereinfacht erbringen. Bis zur Veröffentlichung dieser Normen gelten die allgemeinen CRA-Anforderungen aus Anhang I als Maßstab.
Welche Produkte sind vom CRA ausgenommen?
Nicht alle Produkte mit digitalen Elementen fallen unter den CRA. Explizit ausgenommen sind: Medizinprodukte und In-vitro-Diagnostika (MDR/IVDR), Kraftfahrzeuge und deren Typgenehmigung (UN ECE R155/R156), Luftfahrtprodukte, Produkte für die nationale Sicherheit oder Verteidigung sowie bestimmte Open-Source-Software, die nicht im Rahmen einer kommerziellen Tätigkeit bereitgestellt wird. Falls Ihr Produkt unter eine dieser Ausnahmen fällt, gelten die jeweiligen sektorspezifischen Cybersicherheitsanforderungen statt des CRA.

Weiterführende Links

Offizielle Quellen

CRA Volltext (EUR-Lex)

Verordnung (EU) 2024/2847 — Cyber Resilience Act im Amtsblatt der EU

RED Volltext (EUR-Lex)

Richtlinie 2014/53/EU — Funkgeräterichtlinie im Amtsblatt der EU

EU-Kommission — RED und Delegierte Rechtsakte

Informationsseite der EU-Kommission zur RED mit Verweisen auf delegierte Rechtsakte zu Cybersicherheit

Mehr auf Kunnus

CRA-Wissensportal

Alle CRA-Artikel, Erwägungsgründe und Anhänge im Volltext mit Suchfunktion

Erwägungsgrund 30 — Verhältnis zur RED

CRA-Erwägungsgrund 30 erläutert die Ablösung der RED-Cybersicherheitsanforderungen

IoT-Consumer-Branche

CRA-Anforderungen für Consumer-IoT-Geräte — WLAN-Kameras, Smart Home, Wearables

Telekommunikation & Netzwerk

CRA-Compliance für Router, Switches und Netzwerkinfrastruktur

CRA & CE-Kennzeichnung

Wie der CRA die CE-Kennzeichnung um Cybersicherheitsanforderungen erweitert

CRA vs. ETSI EN 303 645

Vom freiwilligen IoT-Standard zum verbindlichen EU-Recht: CRA und ETSI im Vergleich

Duale Compliance effizient managen

Kunnus unterstützt Hersteller von Funkgeräten bei der parallelen CRA- und RED-Konformität. SBOM-Management, Schwachstellenmonitoring und Konformitätsdokumentation in einer Plattform.

Mehr erfahren