Die Vernetzung moderner Geräte schreitet ungebremst voran – vom smarten Spielzeug über industrielle Funkmodule bis hin zu komplexen IoT‑Systemen. Damit wachsen auch die Risiken: Unsichere Authentifizierungen, manipulierbare Updates oder schwache Voreinstellungen können Nutzerinnen und Nutzer ernsthaft gefährden. Genau hier setzt die Normenreihe DIN EN 18031 an. Sie definiert erstmals verbindliche technische Anforderungen zur Cybersicherheit von Funkanlagen, die über das Internet kommunizieren oder personenbezogene Daten verarbeiten, und ist seit dem 1. August 2025 der maßgebliche technische Bezugspunkt für Produkte, die unter die Radio Equipment Directive (RED) fallen.
DIN EN 18031 – der technische Standard für sichere Funkanlagen
Die EN‑18031‑Reihe wurde entwickelt, um die erweiterten Cybersicherheitsanforderungen der RED (insbesondere Artikel 3(3)(d), (e) und (f)) präzise nachvollziehbar zu machen. Eine zentrale Rolle spielt dabei die DIN EN 18031‑2, deren deutsche Fassung seit März 2025 vorliegt. Sie adressiert Funkanlagen, die Daten verarbeiten – darunter internetfähiges Spielzeug, Kinderbetreuungsfunkanlagen und tragbare Funkgeräte. Der DIN‑Verbraucherrat hat die Erarbeitung intensiv begleitet und Verbraucheranforderungen – insbesondere zu smartem Spielzeug – eingebracht.
Wichtig in der Praxis: Seit der Listung im EU‑Amtsblatt am 28. Januar 2025 ist die EN 18031 als harmonisierte Norm verankert, allerdings mit Restriktionen. So sieht die Norm prinzipiell vor, dass Hersteller festlegen können, Passwörter seien vom Benutzer nicht änderbar. Diese Option wird jedoch nicht als mit den grundlegenden RED‑Sicherheitsanforderungen vereinbar bewertet. In solchen Fällen entfällt die Konformitätsvermutung, und Produkte benötigen eine Bewertung durch eine notifizierte Stelle. Das erhöht den Aufwand für Hersteller – technisch wie organisatorisch.
Seit dem 1. August 2025 dürfen betroffene Funkanlagen nur noch in Verkehr gebracht werden, wenn sie die Anforderungen der EN 18031 zuverlässig erfüllen. Für viele Unternehmen bedeutete das eine gründliche Neubewertung bestehender Produktlinien. Denn auch zuvor unkritische Geräte konnten durch einzelne Funktionsmerkmale plötzlich unter die erweiterten Sicherheitsanforderungen fallen – etwa wenn sichere Update‑Mechanismen oder wirksame Zugriffskontrollen fehlten. Die Norm etabliert damit Security by Design als durchgängiges Leitmotiv: Sicherheit wird nicht nachgerüstet, sondern von Anfang an in die Entwicklung integriert – inklusive Dokumentation, sicherer Standardkonfigurationen und dem Nachweis, dass Geräte weder Netzwerke gefährden noch personenbezogene Daten unzureichend schützen.
Vom technischen Standard zur EU‑weiten Regulierung: die Brücke zum CRA
Während die DIN EN 18031 die technische Umsetzung für Funkanlagen präzisiert, sorgt der Cyber Resilience Act (CRA) seit seiner Veröffentlichung als EU‑Verordnung für einen rechtsverbindlichen Mindeststandard bei allen Produkten mit digitalen Elementen. Inhaltlich greifen beide ineinander: Was die EN 18031 bei Funkgeräten methodisch vorgibt – etwa Secure by Design und Secure by Default –, wird im CRA horizontal für den gesamten Binnenmarkt vorgeschrieben. Wer Produkte seit 2025 bereits konsequent nach EN 18031 entwickelt, schafft damit eine belastbare Ausgangsbasis, um die CRA‑Pflichten effizient zu erfüllen.
Der Cyber Resilience Act – der EU‑Rechtsrahmen für digitale Produkte
Der CRA gilt für nahezu sämtliche Produkte mit digitalen Komponenten – von Smarthome‑Geräten über Unternehmenssoftware bis hin zu industriellen Systemen. Nicht‑kommerzielle Open‑Source‑Software ist ausgenommen. Der CRA ist 20 Tage nach Veröffentlichung im EU‑Amtsblatt in Kraft getreten und wird seitdem stufenweise umgesetzt; seit Ende 2027 müssen neu in Verkehr gebrachte Produkte die Anforderungen vollständig erfüllen.
Zentrales Ziel ist es, Cybersicherheit über den gesamten Lebenszyklus mitzudenken: Hersteller berücksichtigen seit der Entwicklung die Risiken, setzen sichere Voreinstellungen (z. B. Verbot schwacher Standardpasswörter, automatische Sicherheitsupdates) um, betreiben ein Schwachstellenmanagement und stellen während des gesamten Supportzeitraums Sicherheitsupdates bereit – in der Regel über fünf Jahre. Eine wesentliche Neuerung ist die verpflichtende Software Bill of Materials (SBOM), die nachvollziehbar dokumentiert, welche Komponenten in der Software stecken. Für die Meldung aktiv ausgenutzter Schwachstellen und schwerwiegender Sicherheitsvorfälle steht seitens der europäischen IT‑Sicherheitsbehörde ENISA eine zentrale Plattform bereit, über die Hersteller melden müssen. Je nach Produktklasse erfolgt der Konformitätsnachweis als Selbstbewertung oder über notifizierte Drittstellen – bei „wichtigen“ bzw. „kritischen“ Produkten, wie z. B. Firewalls oder Smart‑Meter‑Gateways, greifen strengere Verfahren.
Gemeinsames Ziel: ein belastbarer, sicherer EU‑Digitalmarkt
Seit August 2025 setzt die DIN EN 18031 den technischen Maßstab für Funkanlagen, seit Ende 2027 ist der CRA für neu in Verkehr gebrachte Produkte voll wirksam. Zusammen sorgen beide dafür, dass Cybersicherheit nicht optional, sondern integraler Bestandteil der Produktentwicklung und des Betriebs ist. Für Hersteller schafft das klare Leitplanken – von der Architektur über Updates und SBOM‑Transparenz bis zu Meldepflichten und Konformitätsbewertung.
Für Unternehmen wie SE‑Elektronic eröffnet diese Entwicklung Chancen: Wer Produkte seit der EN‑Umstellung normgerecht gestaltet, ist CRA‑ready, stärkt die Marktzulassung im Binnenmarkt und baut Vertrauen bei Kundinnen und Kunden auf – ein entscheidender Wettbewerbsfaktor in einem Umfeld, in dem Sicherheitsvorfälle schnell zu Reputationsschäden führen.
Möchten Sie DIN‑EN‑18031‑konforme Funkmodule und Komponenten sehen, die „Secure by Design“ bereits mitbringen? Entdecken Sie jetzt unsere Produkte.
