RED DA er trådt i kraft – hvad betyder det for din virksomhed?

RED DA er trådt i kraft – hvad betyder det for din virksomhed?

RED DA (Radio Equipment Directive Delegated Act) er nu en realitet. Det betyder, at virksomheder, der udvikler, producerer eller sælger radioudstyr og trådløse enheder i EU – herunder mobiltelefoner, trådløse routers, wearables og smart home-enheder – skal forholde sig til nye krav. RED DA sigter mod at styrke cybersikkerheden for trådløst udstyr solgt i EU. Selvom RED-direktivet har eksisteret siden 2014, udvider denne nye delegerede retsakt kravene med særlig fokus på cybersikkerhed. Og der er ikke tale om anbefalinger – der er tale om bindende krav.

Hvad handler RED DA om?

RED DA er en udmøntning af artikel 3, stk. 3, litra d), e) og f) i direktiv 2014/53/EU, som tidligere ikke var aktiveret.

Den indfører krav om, at visse kategorier af trådløst udstyr skal:

• beskytte brugeres personoplysninger og privatliv
• understøtte funktioner, der forhindrer svig
• sikre, at netværk ikke kompromitteres, f.eks. ved at blive overbelastet eller saboteret

Disse krav skal fremover dokumenteres via overensstemmelsesvurdering og teknisk dokumentation før produkterne må bringes på markedet.

Hvem er omfattet?

Kravene gælder for producenter, importører og distributører af følgende kategorier af trådløst udstyr:

• Internet-opkoblede enheder (IoT) såsom smartwatches, sensorer og fitness-trackere, mv.
• Mobiltelefoner og tablets med adgang til mobilnetværk eller Wi-Fi
• Børnelegetøj med trådløs forbindelse
• Udstyr der kommunikerer med betalingsinfrastrukturer
• Radioudstyr, der kan forbindes med internettet direkte eller indirekte

Hvis jeres udstyr er dækket af RED DA, skal i sikre, at produktet ikke kan kompromittere brugerdata, netværk eller bruges til svig.

De vigtigste krav

Fremover skal visse typer radioudstyr leve op til følgende væsentlige krav:

• Datasikkerhed: Beskyttelse af personoplysninger og privatliv for brugere og abonnenter
• Svigbeskyttelse: Funktioner til at forhindre manipulation eller misbrug af netværk
• Netværkssikkerhed: Radioudstyret må ikke overbelaste, ødelægge eller forstyrre netværksfunktionalitet

Disse krav skal dokumenteres som led i produktets CE-mærkning, og der skal foretages en overensstemmelsesvurdering, fx via EN-standarder eller en teknisk fil, som viser, at kravene er opfyldt.

Hvornår gælder det?

RED DA er allerede trådt i kraft, men der er en overgangsperiode frem til 1. august 2025. Det betyder, at udstyr, der kommer på markedet efter denne dato, skal leve op til de nye krav.

Produkter, som allerede er på markedet, kan dog fortsat sælges, så længe de ikke ændres væsentligt.

Er jeres virksomhed klar?

Det første spørgsmål, man bør stille sig, er: Producerer, importerer eller distribuerer vi radioudstyr, som kan oprette forbindelse til internettet eller andre netværk? Hvis svaret er ja, så er der stor sandsynlighed for, at RED DA gælder for jer.

Dernæst skal man sikre, at produktudviklingen og dokumentationen tilpasses de nye krav.

Hvad skal i gøre nu?

• Identificér om jeres produkter er omfattet – vurder teknologier og anvendelsesområder
• Opdater jeres overensstemmelsesvurdering – dokumentér cybersikkerhed og databeskyttelse
• Inddrag cybersikkerhed i produktdesign – “security by design” bliver nu et regulatorisk krav
• Forbered CE-mærkning og teknisk dokumentation – som skal dække de nye krav