RED DA er trådt i kraft: Hvad betyder det for din virksomhed?

RED DA (Radio Equipment Directive Delegated Act) er nu en realitet. Det betyder, at virksomheder, der udvikler, producerer eller sælger radioudstyr og trådløse enheder i EU - herunder mobiltelefoner, trådløse routere, wearables og smart home-enheder - skal forholde sig til nye krav. RED DA har til formål at styrke cybersikkerheden for trådløst udstyr, der sælges i EU.

Hvad handler RED DA om?

Selvom RED-direktivet har eksisteret siden 2014, udvider denne nye delegerede retsakt kravene med særligt fokus på cybersikkerhed. Og der er ikke tale om anbefalinger – det er bindende krav. RED DA er en udmøntning af artikel 3, stk. 3, litra d), e) og f) i direktiv 2014/53/EU, som tidligere ikke har været aktiveret. Den indfører krav om, at visse kategorier af trådløst udstyr skal:

  • Beskytte brugeres personoplysninger og privatliv

  • Understøtte funktioner, der forhindrer svig

  • Sikre, at netværk ikke kompromitteres – f.eks. ved overbelastning eller sabotage

Disse krav skal fremover dokumenteres gennem en overensstemmelsesvurdering og teknisk dokumentation, før produkterne må bringes på markedet.

Hvem er omfattet?

Kravene gælder for producenter, importører og distributører af følgende kategorier af trådløst udstyr:

  • Internetopkoblede enheder (IoT), såsom smartwatches, sensorer og fitness-trackere

  • Mobiltelefoner og tablets med adgang til mobilnetværk eller Wi-Fi

  • Børnelegetøj med trådløs forbindelse

  • Udstyr, der kommunikerer med betalingsinfrastrukturer

  • Radioudstyr, der kan forbindes med internettet – direkte eller indirekte

Hvis jeres udstyr er dækket af RED DA, skal I sikre, at produktet ikke kan kompromittere brugerdata, netværk eller anvendes til svig

De vigtigste krav

Fremover skal visse typer radioudstyr leve op til følgende væsentlige krav:

  • Datasikkerhed: Beskyttelse af personoplysninger og privatliv for brugere og abonnenter

  • Svigbeskyttelse: Funktioner til at forhindre manipulation eller misbrug af netværk

  • Netværkssikkerhed: Udstyret må ikke overbelaste, ødelægge eller forstyrre netværksfunktionalitet

Disse krav skal dokumenteres som led i produktets CE-mærkning. Det kræver en overensstemmelsesvurdering, f.eks. baseret på EU-standarder eller en teknisk dokumentationsfil, der viser, at kravene er opfyldt.

Hvornår gælder det?

RED DA er allerede trådt i kraft, men der er en overgangsperiode frem til 1. august 2025. Det betyder, at udstyr, der bringes på markedet efter denne dato, skal leve op til de nye krav. Produkter, som allerede er på markedet, må fortsat sælges – så længe de ikke ændres væsentligt.

Er jeres virksomhed klar?

Det første spørgsmål, man bør stille sig, er: Producerer, importerer eller distribuerer vi radioudstyr, som kan oprette forbindelse til internettet eller andre netværk? Hvis svaret er ja, er der stor sandsynlighed for, at RED DA gælder for jer. Dernæst skal I sikre, at produktudviklingen og dokumentationen tilpasses de nye krav.

Hvad skal I gøre nu?

  • Identificér, om jeres produkter er omfattet – vurder teknologier og anvendelsesområder

  • Opdatér jeres overensstemmelsesvurdering – dokumentér cybersikkerhed og databeskyttelse

  • Inddrag cybersikkerhed I produktdesign – security by design bliver nu et regulatorisk krav

  • Forbered CE-mærkning og teknisk dokumentation – som skal dække de nye krav

Et velfungerende produkt er ikke nok, hvis det ikke beskytter brugeren og deres data."

René Matthiassen, IT-sikkerhedsekspert og partner i Frontdoor Security ApS