Die RED-Verordnung und ihre praktische Umsetzung
Vor dem Hintergrund, dass IoT-Produkte immer öfter nicht nur über Funk, sondern auch über das Internet miteinander kommunizieren, hat die EU-Kommission mit Wirkung zum 01.08.2025 durch delegierte Rechtsverordnung (EU) 2022/30 (RED-Verordnung) die Security-Anforderungen an reine Funkanlagen aus der Richtlinie 2014/53/EU (RED-Richtlinie) ausdrücklich auf mittelbar oder unmittelbar mit dem Internet verbundene Funkanlagen ausgedehnt und sich aus einer Internetverbindung ergebende Risiken adressiert.
Die Umsetzung bereitet erhebliche Schwierigkeiten.
Unbestimmte Anforderungen
Die Cybersecurity-Anforderungen aus der RED-Verordnung in Verbindung mit der RED-Richtlinie sind derart generisch, dass ein Normungsauftrag vergeben wurde. Der Zweck einer „harmonisierten Norm“ besteht darin, ein generisches Gesetz zu konkretisieren, indem sie technische Einzelheiten und Lösungen für die Sicherheits- und Leistungsanforderungen bereitstellt. Sie werden rechtlich verbindlich, wenn Rechtsakte wie die RED-Verordnung oder die RED-Richtlinie darauf verweisen und können einfacher als diese der technischen Entwicklung angepasst werden.
Erste Entwürfe dafür liegen vor, helfen den Anwendern aber nur bedingt.
Die Schwierigkeiten ergeben sich daraus, dass eine Norm einerseits die sehr unterschiedlichen Risiken nicht berücksichtigen kann, die sich aus oder für einzelne mit dem Internet verbundene Produkte ergeben. Die Bandbreite ist zu groß. Andererseits hat der Normgeber das Grundrecht der unternehmerischen Freiheit aus Art. 16 EU-Grundrechtscharta zu berücksichtigen, welches dem Unternehmer das Recht gewährt, frei über seine wirtschaftlichen, technischen und finanziellen Ressourcen zu verfügen.
Gesetzliche oder normierte Anforderungen dürfen dieses Unternehmergrundrecht nur so weit einschränken, wie es erforderlich ist, legitime Zwecke zu erfüllen. Diese sind ausweislich der Erwägungsgründe der RED-Verordnung insbesondere der Schutz des Netzes vor Schaden, Schutz personenbezogener Daten und der Privatsphäre des Nutzers, sowie Schutz vor Betrug im Finanzumfeld („Schutzziele“).
Risikomanagement durch das Unternehmen
Die RED-Verordnung mit ihrer entstehenden harmonisierten Norm überlässt es letztlich den Unternehmen, innerhalb eines bestimmten Rahmens die produktspezifischen Maßnahmen zu bestimmen, die zur Sicherung der Schutzziele zu treffen sind. Somit können sie sich für die Umsetzung derjenigen Maßnahmen entscheiden, die ihren Ressourcen und Möglichkeiten am besten entsprechen und mit den übrigen von ihnen bei der Ausführung ihrer Tätigkeit zu erfüllenden Pflichten und Anforderungen vereinbar sind (siehe hierzu ausführlich EuGH, Urteil v. 27.03.2014, C-314/12). Zu diesen übrigen Pflichten gehört auch die Sicherung des Fortbestandes des Unternehmens gemäß §§ 76, 91 Abs. 2, 93 Abs. 1 AktG bzw. § 43 Abs. 1 GmbHG und § 347 Abs. 1 HGB und damit der Schutz des Vermögens vor unangemessenen Sicherheitsmaßnahmen.
Die erforderliche Risikobewertung ist mit den getroffenen Maßnahmen zu dokumentieren, denn – so schreibt es der EuGH in seiner o.g. Entscheidung – dies ermöglicht es dem Unternehmer, sich von einer Haftung zu befreien, indem er nachweist, dass er alle zumutbaren Maßnahmen ergriffen hat.
Ein mühsames und interdisziplinäres Unterfangen
Einen Freifahrtschein hat der EuGH mit seinem Urteil jedoch nicht gegeben. Auch ein finanziell schwaches Unternehmen darf keine Anlage auf dem EU-Markt platzieren, welche unannehmbare Risiken für die oben genannten Schutzziele birgt.
Für eine juristisch valide Anwendung der RED-Verordnung und der harmonisierten Norm und eine qualifizierte Risikobewertung bedarf es einer engen Zusammenarbeit von Rechtsanwälten, Produktentwicklern und Entwicklern von Embedded Software.
In a Nutshell
Bis zum 01.08.2025 müssen Hersteller
- im Rahmen der RED-Normung
- mit Blick auf die notwendige Netzwerksicherheit und den notwendigen Schutz von personenbezogenen Daten
- in Ausübung ihrer unternehmerischen Freiheit und ihrer Vermögensschutzpflichten
eine angemessene Cyberresiliez ihrer Funkanlagen hergestellt haben. Unannehmbare Risiken werden nicht akzeptiert.