smartnuts … the world on the cabaret-style dissecting table

Wallboxen, CRA und EU RED

By Michael Bunzel
In Cybersecurity, Law and Legal Action, Personal, Technology
1 Woche ago
5 Min Read
W

A. Wallboxen nach dem EU Cyber Resilience Act (CRA, Regulation EU 2024/2847)

Anwendungsbereich des CRA

Der Cyber Resilience Act (CRA) gilt gem. Art. 2 Abs. 1 CRA für auf dem Markt bereitgestellte Produkte mit digitalen Elementen, deren bestimmungsgemäßer Zweck oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt. Dazu zählen sowohl Hardware als auch Software. Wallboxen, die über Internet- oder Netzwerkfunktionen verfügen (z. B. zur Fernsteuerung, Datenübermittlung oder Nutzerauthentifizierung), erfüllen diese Definition und sind somit vom CRA erfasst.

Bei den Produkten unterschiedet der CRA gemäß deren Kritikalität wie folgt: 

  • Nicht kritische Produkte mit digitalen Elementen (wie z.B. Festplatten, Computerspiele aber auch Bild- und Textverarbeitungsprogramme). In diese Kategorie fallen etwa 90% der CRA-relevanten Produkte.
    • Für diese Produkte gelten allgemeine Sicherheitsanforderungen, die sich auf den Schutz vor Cyberbedrohungen und den Umgang mit Schwachstellen beziehen. 
  • Kritische Produkte mit digitalen Elementen  
    • Klasse I: z. B. Browser, Firewalls und Router, Passwortmanager 
    • Klasse II z. B. Betriebssysteme, Hardware-Sicherheitsmodule, Chipkarten 
    • Für diese Produkte sind strengere Sicherheitsanforderungen vorgesehen.
  • Hochkritische Produkte mit digitalen Elementen
    • Diese Kategorie ist bisher noch nicht mit Beispielen belegt.

Ausnahmen

Der CRA schließt bestimmte Produktkategorien aus, für die bereits andere EU-Regulierungen gelten, wie z. B. Fahrzeuge im Sinne der Verordnung (EU) 2019/2144 über die Typgenehmigung von Kraftfahrzeugen und Kraftfahrzeuganhängern.

  • Wallboxen sind keine Fahrzeuge, sondern Teil der Ladeinfrastruktur. Sie fallen daher nicht unter die Ausnahme des Art. 2 Abs. 2 b) des CRA.
  • Auch nicht-kommerzielle Open-Source-Software erfährt eine Sonderstellung im CRA, was für Wallbox-Hardware in der Regel irrelevant ist. Gegebenfalls sind jedoch Softwareumfänge auf den ECUs der Wallbox hiervon betroffen und insoweit gesondert zu prüfen.

Um die Anforderungen des CRA zu erfüllen, müssen Hersteller, Importeure und Händler von Wallboxen folgende Aspekte beachten:

Integration von Sicherheit in den Entwicklungsprozess

  • Security-by-Design & Security-by-Default
    Sicherheitsmaßnahmen müssen bereits in der Produktentwicklung integriert werden, z. B. durch Verschlüsselung von Daten, Minimierung der Angriffsfläche und Verbot schwacher Standardpasswörter. Die Standardeinstellungen sollten maximale Sicherheit bieten.
  • Software Bill of Materials (SBOM)
    Hersteller müssen eine detaillierte Liste aller verwendeten Softwarekomponenten erstellen. Diese SBOM ist intern zu pflegen, muss aber nicht öffentlich zugänglich sein.

Risikobewertung und Schwachstellenmanagement

  • Risikoanalyse
    Vor Markteinführung ist eine umfassende Risikobewertung durchzuführen, um potenzielle Bedrohungen und Schwachstellen zu identifizieren. Diese Analyse muss kontinuierlich während des gesamten Produktlebenszyklus aktualisiert werden.
  • Schwachstellenbehandlung
    Bekannte Schwachstellen müssen vor der Auslieferung behoben werden. Während der Nutzungsdauer sind kostenlose Sicherheitsupdates für mindestens fünf Jahre (oder länger, je nach Produktlebensdauer) bereitzustellen.
  • Product Security Incident Response Teams (PSIRT)
    Eine explizite Verpflichtung zur Einrichtung eines formalisierten PSIRT besteht nach dem Wortlaut des CRA nicht, jedoch sind Prozesse und Strukturen zur schnellen Bearbeitung gemeldeter Sicherheitslücken notwendig, um produktbezogene sicherheitsrelevante Ereignisse identifizieren und darauf reagieren zu können.

Konformitätsbewertung und CE-Kennzeichnung

  • Selbst- oder Fremdbewertung
    Abhängig von der Produktkategorie (Standard, wichtig, kritisch) muss eine Konformitätsbewertung durchgeführt werden. Für die meisten Produkte reicht eine Selbstbewertung (Modul A), während kritische Produkte (z. B. Firewalls, Passwortmanager) eine Prüfung durch notifizierte Stellen (Module B/C oder H) erfordern.
  • CE-Kennzeichnung
    Die CE-Kennzeichnung wird um Cybersicherheitsanforderungen erweitert. Sie bestätigt, dass das Produkt den CRA-Standards entspricht. Zusätzlich ist eine EU-Konformitätserklärung erforderlich.

Dokumentation und Meldepflichten

  • Technische Dokumentation
    Hersteller müssen Nachweise über die Einhaltung der Sicherheitsanforderungen erstellen und mindestens zehn Jahre aufbewahren. Dazu gehören Risikobewertungen, SBOMs und Updateprozesse.
  • Meldung von Sicherheitsvorfällen
    Aktiv ausgenutzte Schwachstellen oder schwerwiegende Vorfälle müssen innerhalb von 24 Stunden an die zuständigen Behörden (z. B. ENISA oder nationale CSIRTs) gemeldet werden. Ab September 2026 gilt diese Pflicht verbindlich.

Unterstützung für KMU und Übergangsfristen

  • Vereinfachte Verfahren
    Kleine und mittlere Unternehmen (KMU) erhalten Leitlinien, vereinfachte Dokumentationsanforderungen und Zugang zu Regulatory Sandboxes für Tests. Das BSI bietet zudem technische Richtlinien (z. B. TR-03183) zur Umsetzungshilfe.
  • Zeitplan
    • Ab September 2026: Meldepflichten für Schwachstellen und Vorfälle
    • Ab Dezember 2027: Vollständige Umsetzung aller CRA-Anforderungen, einschließlich CE-Kennzeichnung und Support-Updates

Sanktionen nach CRA bei Nichteinhaltung

Verstöße gegen den CRA können zu Verkaufsverboten, Bußgeldern (bis zu 15 Mio. Euro oder 2,5 % des globalen Umsatzes) und Reputationsschäden führen.

B. Wallboxen nach der Commission Delegated Regulation (EU) 2022/30 sowie der Radio Equipment Directive (Directive 2014/53/EU)

Anwendungsbereich EU RED

Wallboxen fallen dann in den Anwendungsbereich der RED, wenn diese mittels Funktechnologie mit ihrem Umfeld kommunizieren (bspw. mit einem WLAN-Router oder einem IoT Device). Zudem müssen diese internetfähig sein – entweder direkt oder indirekt vermittelt über ein anderes Gerät.

Cybersicherheitsanforderungen gemäß Artikel 3.3 (d, e, f)

Die Delegierte Verordnung definiert drei zentrale Sicherheitsziele:

  • Schutz vor Netzschäden (Art. 3.3(d)):
    Das Gerät darf keine schädlichen Auswirkungen auf Netzwerke haben, z. B. durch Ressourcenmissbrauch oder Störungen.
  • Datenschutz und Privatsphäre (Art. 3.3(e)):
    Es müssen Sicherheitsvorkehrungen wie Verschlüsselung und Zugriffskontrollen implementiert sein, um personenbezogene Daten zu schützen.
  • Betrugsprävention (Art. 3.3(f)):
    Mechanismen zur Authentifizierung und Absicherung der Kommunikation sind erforderlich, um Manipulationen zu verhindern.

Einhaltung der harmonisierten NormEN eN 18031

Die EN 18031 konkretisiert die Anforderungen der Delegierten Verordnung in drei Teilen:

  • EN 18031-1: Schutz vor Netzwerkschäden (z. B. sichere Updates, Netzwerküberwachung)
  • EN 18031-2: Datenschutz (z. B. Zugangskontrollen für Kinderprodukte)
  • EN 18031-3: Betrugsprävention (z. B. Sicherheit bei finanziellen Transaktionen)

Die Norm verlangt Security-by-Design-Prinzipien, darunter:

  • Mechanismen wie sichere Kommunikation (SCM), Authentifizierung (AUM) und Update-Funktionen (SUM)
  • Dokumentation der Risikobewertung, technischen Spezifikationen und Sicherheitsmaßnahmen

Konformitätsbewertung

  • Selbstbewertung
    Möglich, wenn die EN 18031 vollständig angewendet wird. Hersteller müssen eine technische Dokumentation erstellen, die u. a. funktionale Beschreibungen, Schnittstelleninformationen und Prüfberichte enthält.
  • Bewertung durch ein „benannte Stelle“ erforderlich
    Falls Einschränkungen der Norm vorliegen (z. B. fehlende Passwörter, unsichere Updates bei Kinderspielzeug), muss eine benannte Stelle die Konformität prüfen.

Technische Dokumentation und Prüfungen

Die Dokumentation muss umfassen:

  • Risikobewertung: Identifikation und Minderung von Sicherheitsrisiken
  • Nachweis von Sicherheitsmaßnahmen: Z. B. Verschlüsselung, Zugriffskontrollen
  • Prüfberichte: Tests zur funktionalen Vollständigkeit und Angemessenheit (z. B. Fuzzing-Tests für Netzwerkschnittstellen)

Einschränkungen beachten

Bestimmte Szenarien führen zum Verlust der Konformitätsvermutung

  • Passwortvorgaben: Geräte, die kein Passwort erzwingen
  • Kinderspielzeug: Fehlende elterliche Zugangskontrolle
  • Finanztransaktionen: Unzureichende Absicherung gemäß EN 18031-3

Zeitliche Umsetzung

Ab 1. August 2025 sind die Anforderungen verbindlich. Hersteller müssen bis dahin die EN 18031 umsetzen, um die CE-Kennzeichnung zu erhalten.

Schritte zur Zertifizierung:

  1. Prüfung des Anwendungsbereichs (RED-konform + Internetfähigkeit)
  2. Umsetzung der EN 18031-Anforderungen
  3. Erstellung der technischen Dokumentation
  4. Selbstbewertung oder Einbindung einer benannten Stelle
  5. CE-Kennzeichnung und Inverkehrbringen

About the author

Michael Bunzel

Michael Bunzel (aka maschasan) is a lawyer and engineer currently living in Germany. He has been working in the field of Cybersecurity and related laws and regulations for over 25 years now.

Mike took on various roles and functions in the context of Information Security, Cybersecurity, and SCADA/Shopfloor Security at a German car manufacturer in southern Germany for more than fifteen years - currently in the R&D resort, with focus on E/E-systems in the context of automotive cybersecurity and related regulations in different markets (e.g. UN, EU, China, Korea, India, US, and others).

Mike has worked with global organizations across dozens of countries, cultures and languages, well-travelled in EMEIA, APAC and the Americas.

All articles in this blog do NOT reflect the opinion of his employer, but are all an expression of his personal view of things.

View all posts

Read more

A Brief History of Hacking Cars

By Michael Bunzel
In Automotive Cybersecurity, Cybersecurity, Law and Legal Action
4 Wochen ago
8 Min Read
A

Eigentllich sollte dieser Beitrag ein Rant auf den Datenreichtum bei VW („Volksdaten“ und die Unfähigkeit des OEMs, personenbezogenen Daten aus Fahrzeugen zu anonymisieren) und Subaru (auch hier trägt man mit gut gefüllten Trögen zum Datenreichtum bei) werden – vielleicht auch ein wenig mit Häme gerniert. Dann schien es mir jedoch sinnvoller, die Leserschaft zunächst einmal...

Read on

The never ending story

By Michael Bunzel
In Law and Legal Action, Politics, Society
4 Wochen ago
2 Min Read
T

Was machen derzeit eigentlich so die Umfallergenossen? Nun – offenkundig das, wofür die Verräterpartei bekannt ist: Den Willen ihrer Wähler verraten. An vorderster Front wieder mit dabei unsere Innenministerien Frau Faeser, die es sich nicht nehmen lässt, in den noch verbleibenden zwei Monaten der Koalition die anlasslose Vorratsdatenspeicherung wieder einmal zum Tagesgespräch zu machen...

Read on

Business consulting – or the easy way to make some extra cash

By Michael Bunzel
In AI, Consulting Nightmares, Technology
4 Wochen ago
1 Min Read
B

The management consultants at McKinsey have once again used all their cognitive resources to identify a worthwhile target for a (’scientific‘) study, and then eloquently and confidently set out to achieve it. OK – that may sound a little pejorative. Perhaps we should put it like this: They kicked down another barn door that was already wide open and discovered that AI’s...

Read on

China-Sanktionspolitik und ihre Folgen

By Michael Bunzel
In Cybersecurity, Law and Legal Action, Politics, Technology
4 Wochen ago
4 Min Read
C

Im Ringen um politische und vorallem wirtschaftliche Vorherrschaft sind Sanktionen ein häufiges anzutreffendes und ebenso häufig untaugliches Mittel, um mittel- und langfristig die Oberhand zu gewinnen. Jüngstes Beispiel ist die US-Sanktionspolitik in Richtung China bezüglich des Zugangs des Reichs der Mitte zu State-of-the-art Chiptechnologie. Hierbei geht es nicht so sehr um den Import von...

Read on
By Michael Bunzel 1 Woche ago
smartnuts … the world on the cabaret-style dissecting table

Get in touch

Tags

2022/30 (1) 2024/53 (1) 2024/2847 (1) ACS (1) AI (5) Automotive (1) Belt and Road (1) CAN (1) China (2) CISA (1) CRA (1) Cyberpolitik (2) Cybersicherheitsindex 2024 (1) Delegierte Verordung (1) ECU (1) Elsevier (1) EU (2) Exeptionalismus (1) FDP (2) Hacker (4) ITU (1) Jen Easterly (1) John Wiley & Sons (1) Kowalczuk (2) Kriminalpolitik (1) Large Language Models (2) Legal Interception (1) LLM (3) Made in China 2025 (2) McKinsey (1) OBD (1) OEM (1) Ostdeutschland (2) Peer-Review (1) RED (1) Sanktionspolitk (1) SME (1) snake-oil-dealer (1) software quality (2) SPD (2) Umfallerpartei (2) UN R155 (2) Verlagsmonopol (1) Volksparteien (1) Wolters Kluwer (1)