Zusammenfassung

Ab dem 1. August 2025 sind die Cybersicherheitsbestimmungen der EU-Funkgeräterichtlinie (RED) für vernetzte Produkte durchsetzbar. Für das Laden von Elektrofahrzeugen muss jedes Ladegerät mit WLAN, Mobilfunk oder BLE die Security-by-Design-Anforderungen erfüllen. Geräte, die personenbezogene Daten verarbeiten, müssen über zusätzliche Datenschutzfunktionen verfügen. Und Produkte, die Zahlungen ermöglichen, müssen Kontrollen zur Betrugsbekämpfung implementieren.

Die Europäische Kommission hat die Normen EN 18031-1/-2/-3:2024 als harmonisierte Normen aufgeführt, die als Konformitätsvermutung gelten. Die Auflistungen im Amtsblatt enthalten Einschränkungen, sodass nur korrekt angewendete normative Klauseln eine Konformitätsvermutung begründen. Geräte ohne Funkmodule fallen grundsätzlich nicht unter Artikel 3(3), die Konformität auf Systemebene gilt jedoch weiterhin für das gesamte Ladegerät.

Was sich geändert hat und warum es wichtig ist

• Der Umfang geht jetzt über die HF-Konformität hinaus. Die vernetzte Funktionalität umfasst obligatorische Sicherheits-, Datenschutz- und Betrugsbekämpfungskontrollen.

• Es gibt einen klaren Konformitätsweg. Die Übernahme von EN 18031 kann eine Vermutung begründen; andernfalls verwenden Sie den Weg über eine benannte Stelle.

• Die Beschaffung wird strenger. Bei Ausschreibungen und Audits der EU werden signierte Updates, Anmelderichtlinien, SBOM, Umgang mit Sicherheitslücken und Benutzeranleitungen verlangt.

Wer ist im Ladeökosystem betroffen?

• DC- und AC-Ladegeräte mit integrierter Konnektivität (LTE, Wi-Fi, BLE).

• In das Backoffice integrierte Funktionen, die auf Geräteanmeldeinformationen, Protokollen oder OTA-Updates basieren.

• Ladegeräte, die Ad-hoc-Zahlungen akzeptieren oder Zahlungstoken unterstützen.

• Hardwarezubehör ohne drahtlose Module fällt normalerweise nicht in den Geltungsbereich, während das Ladegerät als System im Geltungsbereich bleibt.

Wichtige Daten und Meilensteine

Hinweis: Die Auflistungen der EN 18031 im Amtsblatt enthalten Einschränkungen; nur bei korrekter Anwendung der normativen Bestimmungen besteht eine Konformitätsvermutung.

Meilenstein | Was er für das Laden von Elektrofahrzeugen bedeutet

30. Januar 2025 | EN 18031-1/-2/-3:2024 im Amtsblatt aufgeführt, sodass bei korrekter Anwendung die Konformitätsvermutung besteht.

1. August 2025 | Die Cybersicherheitsbestimmungen der RED (Artikel 3(3)(d)(e)(f)) sind für in den Geltungsbereich fallende Funkgeräte, einschließlich angeschlossener Ladegeräte, durchsetzbar.

2025–2026 | Hersteller und Betreiber stimmen Dokumentationspakete (Risikobewertung, Testberichte, SBOM, Update-Richtlinie) ab und führen die Feldhärtung ein.

Kriterien zur Lieferantenbewertung für EU RED-konforme Ladegeräte für Elektrofahrzeuge (Checkliste EN 18031)

Nutzen Sie die folgende Checkliste nach EN 18031, um Systeme schnell zu überprüfen.

Firmware-Sicherheit und -Updates (signierte Images, Rollback-Schutz, verschlüsselte Kanäle, Schlüsselrotation).

Klärungsfunktion: Verhindern Sie nicht autorisierten Code und gewährleisten Sie eine sichere Wiederherstellung.

Zugriffskontrolle (keine Standard- oder leeren Passwörter, Änderung bei der ersten Anmeldung, Sperrung und Ratenbegrenzung, Konten mit geringsten Berechtigungen).

Klärer: Blockieren Sie einfache Einbrüche und begrenzen Sie seitliche Bewegungen.

Netzwerkmissbrauchsschutz für OCPP/MQTT/HTTPS (Drosselung, Anomalieerkennung, Replay- und Flood-Schutz, gehärtete Dienste).

Klarstellung: Stoppen Sie die Botnet-Registrierung und Verkehrsstürme.

Datenschutz und Protokolle (Datenminimierung, Aufbewahrungsfristen, benutzerbezogener Datenschutzhinweis, sicherer Protokollexport).

Klärer: Sammeln Sie nur, was Sie brauchen, und bewahren Sie es sicher auf.

Zahlungen, sofern vorhanden (Ende-zu-Ende-Verschlüsselung und -Signierung, manipulationssicheres Design, doppelte Kontrolle für Rückerstattungen und Abrechnungen).

Klarstellung: Wertübertragung schützen und Betrugsrisiko reduzieren.

Beweispaket (EN 18031-Abdeckungsmatrix, Testberichte, Offenlegung von Schwachstellen und Patch-SLAs, Sicherheitsabschnitt im Benutzerhandbuch, EU-Konformitätserklärung, technischer Dateiindex).

Klarstellung: Legen Sie Beweise vor, keine Versprechungen.

Anforderungs-Anwendungsfall-Karte

RED-Anforderung | Typischer Anwendungsfall für das Laden von Elektrofahrzeugen | Beispiele für akzeptable Kontrollen

3(3)(d) Netzwerkmissbrauch | Botnet-Anmeldung oder DDoS über das Ladegerätmodem verhindern | Firewall, Ratenbegrenzungen, gegenseitige TLS-Authentifizierung, gehärtete Dienste

3(3)(e) Datenschutz | Umgang mit Fahrerkennungen, Sitzungsdaten, Metadaten | Datenminimierung, Pseudonymisierung, Zugriffsprotokollierung, Aufbewahrungsrichtlinie

3(3)(f) Betrugsprävention | QR-Code oder kartenbasierte Ad-hoc-Zahlungen | Kryptografische Nachweise, sichere Elemente oder HSM, doppelte Kontrolle bei Rückerstattungen

So operationalisieren Sie Compliance (Feldbereiter Ablauf)

Umfang ermitteln → Bedrohungs- und Lückenanalyse → Kontrollen implementieren (Firmware, Anmeldeinformationen, Kommunikation, Zahlung, Datenschutz) → Validieren (interne Tests und bei Bedarf eine benannte Stelle) → Technische Datei zusammenstellen (Risikoanalyse, SBOM, Testberichte, EN 18031-Zuordnung, Benutzeranweisungen) → EU-Konformitätserklärung und -Etikett ausstellen → Überwachen und Patchen mit definierten Offenlegungs- und Behebungs-SLAs.

30–60–90-Tage-Aktionsplan

Tage 0–30: Bestätigen, welche Modelle drahtlose Module enthalten; Anwendbarkeit von Artikel 3(3)(d)(e)(f) zuordnen; SBOM-Entwurf und erste Risikobewertung; Abdeckung von EN 18031 festlegen.

Tage 31–60: Anmeldeinformationsrichtlinien ausliefern und Aktualisierung sichern; OCPP/MQTT/HTTPS härten; Daten minimieren und dokumentieren; Betrugskontrollen für Zahlungsflüsse definieren; Überprüfung durch Dritte oder benannte Stellen planen, falls nicht vollständig mit EN 18031 konform.

Tage 61–90: Tests, technische Unterlagen und EU-Konformitätserklärung abschließen; Kennzeichnung und Freigabe; Pilotfeldhärtung an ausgewählten Standorten; SLAs zur Schwachstellenbehandlung und zum Patchen veröffentlichen.

Auswirkungen auf Produkt-Roadmaps

• 15118-fähige Ladegeräte und OCPP 2.x-Backends legen Wert auf eine stärkere Handhabung von Anmeldeinformationen und Zertifikaten.

• Bei den RFPs wird die Qualität von Sicherheitsupdates und Nachweisen ebenso stark berücksichtigt wie die Leistung des Typenschilds.

• Zuverlässige OTA reduziert die Anzahl der Besuche vor Ort und trägt zu niedrigeren Lebenszykluskosten bei.

Workersbee-Notiz

Workersbee unterstützt EU-Projekte mit Steckverbinder- und Kabelbaugruppen und stimmt die Anleitung zur Ladegeräteintegration mit den RED-Cybersicherheitskontrollen ab. Für DC-Programme, die eine Konformitätsvermutung anstreben, kann unser Engineering-Team eine prägnante Checkliste zur EN 18031-Abdeckung und Mustertexte für technische Dateien über die folgenden Ankerpunkte bereitstellen: Workersbee-Engineering-Leitfaden, Workersbee-DC-Steckverbinder-Know-how.

Häufig gestellte Fragen

F: Gilt Artikel 3 Absatz 3 Buchstabe f auch, wenn ein Ladegerät keine Zahlungsfunktion hat?

A: Nein. Nur Geräte, die Zahlungen oder die Übertragung von Geldwerten ermöglichen, fallen unter 3(3)(f). Das gleiche Ladegerät muss möglicherweise dennoch die Anforderungen von 3(3)(d) und 3(3)(e) erfüllen.

F: Benötige ich eine Benannte Stelle, wenn ich die EN 18031 vollständig übernehme?

A: Die vollständige und korrekte Anwendung der harmonisierten Normen kann eine Vermutung begründen. Bei nur teilweiser Anwendung oder Unsicherheit verringert der Weg über eine benannte Stelle das Risiko.

F: Bedeuten die Einschränkungen des ABl., dass EN 18031 allein immer ausreicht?

A: Nein. Nur korrekt angewendete normative Klauseln begründen eine Vermutung. Bei Abweichungen oder unklaren Fällen wenden Sie sich an eine benannte Stelle.

F: Welche Nachweise fordern Prüfer normalerweise zuerst an?

A: Richtlinie für signierte Updates, Kennwortrichtlinie, SBOM, Workflow zur Schwachstellenbehandlung, Zuordnungstabelle EN 18031 und EU-Konformitätserklärung.