Cybersicherheit & CE
Stell dir vor: Du verkaufst ein smartes Produkt – etwa eine Bluetooth-Steckdose, ein Wearable oder ein Baby-Überwachungsgerät – über Amazon. Bisher hast du dich um Funktion, Design, Preis und Logistik gekümmert. Aber seit Mitte 2025 ist ein weiterer Faktor zwingend für den Marktzugang in der EU: die Cybersicherheit.
Denn die EU erweitert die Anforderungen an CE-Kennzeichnung durch verpflichtende Sicherheitsvorgaben für vernetzte Geräte. Wenn du nicht vorbereitet bist, riskierst du nicht nur technische Nachrüstkosten, sondern auch den Ausschluss vom Markt.
Wenn du also als Amazon-Seller damit arbeitest, dass deine Produkte mit App, Cloud, Funk (Bluetooth, WLAN etc.) ausgestattet sind, dann betrifft dich das direkt.
In diesem Artikel erfährst du:
- welche rechtlichen Grundlagen neu gelten
- welche Geräte konkret betroffen sind
- welche Anforderungen du erfüllen musst
- und wie du konkret als Seller handeln solltest
Bereit? Dann lass uns starten.
Rechtsgrundlage: RED-Delegierte Verordnung (EU) 2022/30
Überblick und Zielsetzung
Die Delegierte Verordnung (EU) 2022/30 ergänzt die bestehende Radio Equipment Directive (RED 2014/53/EU) und aktiviert damit verbindliche Anforderungen zu Cybersicherheit für bestimmte funkbasierte Geräte.
Konkret werden in Artikel 3(3) der RED die Punkte (d), (e) und (f) relevant:
- (d) Geräte dürfen das Netz und dessen Funktion nicht schädigen oder missbrauchen
- (e) Geräte müssen Datenschutz und Privatsphäre der Nutzer sicherstellen
- (f) Geräte, die Zahlungsfunktionen oder virtuelle Werte unterstützen, müssen Schutz gegen Betrug bieten
Diese neuen Anforderungen sind seit dem 1. August 2025 für Geräte, die in den EU-Markt gebracht werden, verpflichtend.
Warum aber das Ganze?
Die EU will sicherstellen, dass vernetzte Produkte nicht zur Schwachstelle werden: keine unbeabsichtigte Beeinträchtigung von Netzwerken, keine Datenlecks, keine Manipulation, kein Missbrauch. Auch Missbrauch durch Geräte als Botnetz, Ausspähen von Nutzerdaten, weitreichende Angriffe etc. sollen verhindert werden.
Übergangsphase & harmonisierte Standards
Um den Übergang abzumildern, wurden neue harmonisierte Standards eingeführt: die EN 18031-Reihe (–1, –2, –3) zur Unterstützung der Anforderungen zu Sicherheit, Datenschutz und Betrugsschutz. Wer diese Standards anwendet, erhält eine Vermutung der Konformität mit den Anforderungen.
Beachte: Wenn du diese Standards nicht vollständig anwendest oder bestimmte Einschränkungen gelten, kann eine benannte Stelle (Notified Body) in den Konformitätsnachweis eingebunden werden.
Welche Produkte sind betroffen?
Es sind nicht alle Produkte betroffen, aber eine große und wachsende Klasse:
Geräte mit Funkverbindung
Alle Produkte, die Funkmodule nutzen und mit Netzwerken kommunizieren:
- WLAN, Bluetooth, Zigbee, LoRa, Mobilfunk / NB-IoT etc.
- Geräte, die direkt mit dem Internet verbunden sind oder über ein Gateway bzw. Hub
Typische Beispiele hierzu sind:
- Smarte Steckdosen und Relais
- Smartwatches, Fitness-Tracker, Wearables
- Babyphones / Überwachungsgeräte
- Intelligente Türklingeln, Kameras, Alarmanlagen
- IoT-Geräte mit App-Anbindung oder Cloudfunktion
- Spielzeuge mit Funk / Internetverbindung
Erweiterter Anwendungsbereich
Auch wenn ein Gerät keine Funkkomponente besitzt, aber Daten verarbeitet oder mit einem Cloud-Dienst interagiert, kann es mitbetroffen sein – insbesondere, wenn es über Apps, Sensorik oder zusätzliche Module vernetzt wird. Die Richtlinie zielt auf „radio equipment“ mit Verbindung zum Internet ab.
Außerdem gelten besondere Anforderungen, wenn Geräte Datenverkehr, Standortdaten, personenbezogene Daten verarbeiten oder wenn sie Zahlungsfunktionen / virtuelle Währung unterstützen.
Die neuen Anforderungen im Detail
Damit du weißt, was wirklich im Einzelnen verlangt wird, erfährst du hier die wichtigsten Anforderungen:
a) Netzschutz / Vermeidung von Netzwerk‐Schäden
Dein Gerät darf das Netzwerk nicht stören, gefährden oder Ressourcen missbrauchen. Beispiele:
- Keine Denial-of-Service-Angriffe (DoS)
- Kein Flooding des Netzwerks
- Effiziente Nutzung von Bandbreite
- Schutz gegen unbefugtes Routing oder Umleitung
b) Datenschutz & Privatsphäre
Wenn dein Produkt personenbezogene Daten, Verkehrsdaten oder Standortdaten verarbeitet, musst du sicherstellen:
- Verschlüsselung der Daten bei Übertragung und Speicherung
- Starke Authentifizierung (z.B. keine Standardpasswörter)
- Minimierung von Datenzugriffen (Need-to-know-Prinzip)
- Transparenz und Nutzerkontrolle
c) Schutz gegen Betrug (Fraud)
Bei Geräten mit Zahlungsfunktion oder virtuellen Werten muss sichergestellt sein:
- Absicherung von Transaktionen
- Mechanismen gegen Manipulation
- Schutz vor unberechtigtem Zugriff auf Zahlungsfunktionen
d) Update- und Patch-Management
Ein wesentliches Detail: Dein Produkt muss sicher Updates empfangen und anwenden können:
- Sichere Update-Prozesse (z.B. signed Firmware)
- Mechanismen zum Rollback / Notfall-Update
- Regelmäßige Sicherheits-Patches über den Lebenszyklus des Produkts
e) Dokumentations- und Nachweispflichten
- Technische Dokumentation, die alle Sicherheitsmaßnahmen zeigt
- Risikoanalyse und Sicherheitskonzept
- Prüfberichte, Tests und Nachweise
- Konformitätserklärung, in der es heißt, dass alle Anforderungen erfüllt sind
- Versionshistorie, Change Logs, Update-Protokolle
Was bedeutet das konkret für dich als Amazon-Seller?
Wenn du Produkte verkaufst, die in diesen Geltungsbereich fallen, musst du einiges umstellen:
a) CE-Kennzeichnung nur mit Cybersecurity‐Nachweis
Du darfst seit dem 1. August 2025 Produkte nicht mehr einfach „nur so“ mit CE kennzeichnen – du musst nachweisen, dass sie auch die neuen Cyber-Anforderungen erfüllen. Fehlt dieser Nachweis, droht die Ablehnung durch Marktüberwachung oder Amazon selbst.
Allgemeine Infos zur CE-Kennzeichnung findest du auch in unseren beiden Blogbeiträgen CE-Kennzeichnung – Teil 1 & CE-Kennzeichnung – Teil 2.
b) Technische Dokumentation erweitern
Deine technische Dokumentation muss insbesondere erweitert werden um:
- Sicherheitsarchitektur
- Risikobewertungen
- Tests / Prüfprotokolle
- Versions- und Update-Management
- Nachweise zu Verschlüsselung, Authentifizierung etc.
Ohne vollständige Dokumentation kannst du in Prüfverfahren in Erklärungsnot geraten.
c) Stärkere Zusammenarbeit mit Produzenten & Laboren
Wenn du als Seller tätig bist, musst du sicherstellen, dass deine Produkte und Produzenten diese Anforderungen erfüllen und die Sicherheitsnachweise liefern. Ebenso müssen Prüflabore ausgewählt werden, die auch Cybersecurity-Kompetenz haben – nicht nur Funk, EMV etc.
Einen Überblick über das Thema Labortests findest du hier: Labortests & Zertifikate: Der große Überblick
d) Amazon, Marktplatzrichtlinien & Risiko
Amazon selbst kann bei fehlerhafter CE-Kennzeichnung oder fehlendem Konformitätsnachweis deine Produkte sperren oder löschen. Auch Marktüberwachungsbehörden haben neue Befugnisse. Du trägst als Hersteller die volle Verantwortung.
e) Lebenszyklus-Überwachung
Du musst sicherstellen, dass du auch nach dem Verkauf Patches & Updates bereitstellst. Falls Sicherheitslücken entdeckt werden, musst du reagieren können – sowohl technisch als auch dokumentarisch.
Umsetzungstipps: So machst du deine Produkte CE-ready & sicher
Damit du nicht unvorbereitet bist, hier eine praktische To-do-Liste:
1. Frühzeitig mit Lieferanten & Entwicklern sprechen
- Weise sie auf die RED-Cyber-Anforderungen hin
- Fordere von Anfang an Sicherheitsfunktionen ein
- Baue in den Entwicklungsprozess Sicherheitsstandards ein
2. Firmware-Updates prüfen
- Stelle sicher, dass deine Geräte sichere Firmware-Updates erlauben
- Nutze signierte Firmware, sichere Kanäle, Rollback-Mechanismen
- Dokumentiere Versionsstände und Protokolle
3. Sicherheitsfunktionen dokumentieren
- Verschlüsselung, Authentifizierung, Zugriffskontrollen
- Logging & Ereignisprotokolle
- Angriffsflächen (Ports, offene Interfaces) reduzieren
- Mechanismen zur Überwachung und Abwehr
4. Prüflabore mit Cybersecurity-Kompetenz wählen
- Wähle Labore, die explizit Know-how in Cybersecurity-Tests haben, nicht nur Funk/EMV
- Kooperiere früh mit einem Labortechniker, um Anforderungen klarzustellen
- Fordere Prüfberichte, Penetrationstests, Risikobewertungen
5. Standard-Konformitätsannahme nutzen
Wenn du die harmonisierten Standards (EN 18031-1, -2, -3) anwendest, bekommst du eine Vermutung der Konformität, was viele Prüfprozesse erleichtert.
6. Updates & Wartung langfristig sichern
- Plane einen Support- und Updatezeitraum von vielen Jahren
- Habe Prozesse, um Sicherheitslücken zu entdecken und zu patchen
- Informiere Nutzer transparent über Updates & Sicherheitsmaßnahmen
7. Risikomanagement & Versicherung
- Führe Risikoanalysen gemäß Best Practices durch
- Prüfe, ob deine Produkthaftpflicht auch Schäden durch Cyberangriffe abdeckt
- Dokumentiere alle Sicherheitsmaßnahmen als Nachweis
Fazit
Cybersicherheit ist seit Mitte 2025 kein optionaler Zusatz mehr, sie ist ein verpflichtender Teil der CE-Kennzeichnung für viele vernetzte Produkte. Für dich als Amazon-Seller heißt das: Du musst jetzt handeln. Sicherheit darf nicht nur technische Aufgabe des Produzenten sein, du als Seller trägst Verantwortung. Wer vorbereitet ist, schützt nicht nur Kunden und Daten, sondern seinen Marktzugang.
Beginne bestenfalls noch heute mit Gesprächen, Dokumentation und Auswahl von Partnern und sei bereit für die Zukunft. Wer seit dem 1. August 2025 wohne Nachweise auf dem Markt agiert, wird früher oder später Schwierigkeiten bekommen.
Also: Setz das Thema Cybersicherheit auf deine Prioritätenliste und mach dein Smart-Produkt CE-ready.
Wer hat diesen Beitrag verfasst?
In ihrer Rolle als Autorin füllt Christina die Blogsektion unserer Website mit spannenden sowie informativen Beiträgen, so dass sich unsere Leser stets bestinformiert selbstständig um die Product Compliance in Ihrem Unternehmen kümmern können.
