Smernica o rádiových zariadeniach (RED)
Smernica o rádiových zariadeniach (2014/53/EÚ) je nariadenie EÚ upravujúce uvádzanie rádiových zariadení na trh a ich používanie v Európskom hospodárskom priestore. Jej delegovaný akt 2022/30 — bežne označovaný ako „RED 3(3)(d)(e)(f)” — pridáva povinné požiadavky na kybernetickú bezpečnosť pre všetky rádiové zariadenia, čo z nej robí prvé nariadenie EÚ vynucujúce bezpečnosť bezdrôtového hardvéru.
Kľúčové fakty
| Detail | Informácia |
|---|---|
| Základná smernica | Smernica 2014/53/EÚ o rádiových zariadeniach |
| Bezpečnostné rozšírenie | Delegované nariadenie Komisie (EÚ) 2022/30 |
| Aktivované články | 3(3)(d) — ochrana siete, 3(3)(e) — ochrana súkromia, 3(3)(f) — ochrana pred podvodmi |
| Účinnosť | 1. august 2025 |
| Rozsah | Všetky rádiové zariadenia: Wi-Fi, Bluetooth, celulárne, LoRa, Zigbee, NFC, UWB, GNSS prijímače |
| Vynútenie | Vyžaduje sa označenie CE — nevyhovujúce produkty nemôžu byť uvedené na trh EÚ |
| Vzťah k CRA | Produkty splňujúce CRA sa považujú za vyhovujúce RED 3(3)(d)(e)(f) |
Čo vyžaduje RED 3(3)(d)(e)(f)?
Článok 3(3)(d) — Ochrana siete
Rádiové zariadenia nesmú poškodzovať komunikačné siete ani zneužívať sieťové zdroje:
- Autentifikovaná komunikácia — Zariadenia musia overovať identitu pripojených sietí a partnerov.
- Bezpečné protokoly — TLS 1.2+ alebo ekvivalent pre všetku sieťovú komunikáciu.
- Kontrola prístupu — Predvolené prihlasovacie údaje musia byť jedinečné pre každé zariadenie alebo vyžadovať zmenu pri prvom použití.
Článok 3(3)(e) — Ochrana súkromia
Rádiové zariadenia musia obsahovať ochranné opatrenia na ochranu osobných údajov:
- Minimalizácia údajov — Zbierať iba údaje nevyhnutné pre funkciu zariadenia.
- Šifrované úložisko — Osobné údaje uložené na zariadení musia byť šifrované.
- Mechanizmy súhlasu — Používatelia musia mať možnosť kontrolovať spracovanie osobných údajov.
Článok 3(3)(f) — Ochrana pred podvodmi
Rádiové zariadenia musia podporovať funkcie na zníženie rizika podvodov:
- Bezpečná identita — Každé zariadenie musí mať kryptograficky overiteľnú identitu.
- Autentifikovaný firmvér — Môže sa vykonávať iba podpísaný, autorizovaný firmvér.
- Bezpečné platby — Zariadenia podporujúce finančné transakcie musia implementovať primeranú bezpečnosť.
Ktoré zariadenia sú ovplyvnené?
| Kategória | Príklady | Články RED |
|---|---|---|
| Internet pripojené | Inteligentné reproduktory, IP kamery, inteligentná domácnosť | 3(3)(d), 3(3)(e) |
| Nositeľné | Chytré hodinky, fitness náramky | 3(3)(d), 3(3)(e) |
| Starostlivosť o deti | Detské pestúnky, GPS lokátory pre deti | 3(3)(d), 3(3)(e) |
| Platby | POS terminály, NFC platobné zariadenia | 3(3)(d), 3(3)(e), 3(3)(f) |
| Priemyselný IoT | Bezdrôtové senzory, LoRa brány, celulárne modemy | 3(3)(d), 3(3)(e) |
| Automobilový priemysel | Moduly pripojených áut, V2X zariadenia | 3(3)(d), 3(3)(e) |
Dôležité: Ak vaše zariadenie má akúkoľvek bezdrôtovú schopnosť (aj len Bluetooth čip na konfiguráciu), požiadavky RED na kybernetickú bezpečnosť platia od augusta 2025.
RED vs. CRA
Delegovaný akt RED (aug. 2025) predchádza plnému vynúteniu CRA (dec. 2027), čo vytvára prechodné obdobie, keď RED je primárna regulácia kybernetickej bezpečnosti pre bezdrôtové zariadenia:
| Aspekt | RED 3(3)(d)(e)(f) | CRA |
|---|---|---|
| Platí od | August 2025 | December 2027 (plne) |
| Rozsah | Iba rádiové zariadenia | Všetky produkty s digitálnymi prvkami |
| Posúdenie | Sebahodnotenie podľa harmonizovaných noriem | Odstupňované: sebahodnotenie až po audit tretou stranou |
| Vyžaduje SBOM | Neexplicitne | Áno, povinné |
| Hlásenie zraniteľností | Nevyžaduje sa | 24-hodinové hlásenie ENISA |
Súvisiace pojmy
- CRA — Širšie nariadenie EÚ o kybernetickej bezpečnosti produktov, ktoré od roku 2027 nahradzuje bezpečnostné články RED.
- NIS2 — Smernica zabezpečujúca organizácie; RED zabezpečuje bezdrôtové produkty, ktoré používajú.
- Secure Boot — Overenie firmvéru nevyhnutné pre súlad s RED.
- IoT — Kategória zariadení najviac ovplyvnená požiadavkami RED na kybernetickú bezpečnosť.