Text: Ambuductor
EU har beslutat om nya regler som gäller radiokommunikation EU-ägda frekvenser och mobilfredkvenser såsom wireless M-bus, LoRaWAN mesh och Mioty. Det är långt gående krav gällande säkerhet och andra aspekter. Syftet är att skydda befolkningen men hur berörs våra branscher?
Från den 1 augusti 2025 trädde en ny tilläggsförordning (Delegated Regulation EU 2022/30) till Radio Equipment Directive (RED; 2014/53/EU) i kraft, vilket innebär att flera kategorier radio‑utrustning måste uppfylla nya cybersäkerhetskrav för att få CE‑märkning vid försäljning inom EU.
Låt oss reda ut vad som gäller.
Historik
Intentionerna har varit goda. EU har infört regler stegvis för att säkerställa vår integritet. Redan 1999 infördes regler (R&TTE-direktivet 1999/5/EG) som hanterade säkerhet, EMC och effektivt utnyttjande av radiospektrum.
2014 infördes ett helt nytt regelsystem genom RED-direktivet (2014/53/EU). Det gäller för all radio- och trådlös kommunikationsutrustning, inklusive Bluetooth, Wi-Fi, wireless M-bus, LoRa och LTE-enheter.
Det utvidgades till:
Elektromagnetisk kompatibilitet (EMC)
Användarsäkerhet
Effektivt spektrumanvändande
Skydd av nätverk och mot skadlig påverkan
Harmonisering inom hela EU
Under 2016–2020 debatterades cybersäkerhet vilket ledde fram till tilläggsregler Delegated Regulation EU 2022/30.
Omfattar krav på:
Nätverksskydd (d)
Dataskydd och integritet (e)
Skydd mot bedrägerier (f)
Med de nya reglerna från 2025-08-01 harmoniserar man standarderna enligt nedan.
Hur ser de nya reglerna ut som vi måste följa?
Nedan följer formell text. Scrolla ner till sammanfattningen för enklare läsning.
Tillämpning av artiklar 3.3 (d), (e) och (f) i RED:
Artikel 3.3 (d) – Nätverksintegritet:
Enheter får inte påverka nätverkets funktion negativt eller missbruka resurser, t.ex. genom att orsaka överbelastning eller DDoS-attacker.
Artikel 3.3 (e) – Skydd av personuppgifter och integritet:
Radioenheter måste skydda användares/persons data och integritet genom tekniska säkerhetsåtgärder (kryptering, minimerad datainsamling o.s.v.).
Artikel 3.3 (f) – Skydd mot bedrägeri:
För enheter som hanterar virtuella betalningar eller monetär data krävs funktioner som säkert boot‑firmware, autentisering och skydd mot spoofing/förfalskning.
Harmoniserade standarder EN 18031:
Tre standarder publicerade i början av 2025 och harmoniserade av EU:
EN 18031‑1: nätverksskydd (3.3 (d))
EN 18031‑2: skydd av person‑, trafik‑ och platsdata (3.3 (e))
EN 18031‑3: bedrägeriskydd vid penning‑/virtuella transaktioner (3.3 (f)).
Att tillämpa dessa standarder ger normalt presumption of conformity – det vill säga en väg att visa att produkten uppfyller RED‑kraven.
Tillämpningsområdet:
Gäller alla radioenheter som placeras på EU‑marknaden från och med 1 augusti 2025 — oavsett när själva produkten designades eller typgodkändes.
Internetuppkopplade enheter omfattas av alla tre kraven (d, e, f).
Icke‑internetuppkopplade enheter kan vara undantagna från (e) och (f), men (d) kan ändå tillämpas vid interaktion med andra nätverksresurser.
Exempel: wearables, barnmonitorer, internet‑IoT‑moduler – även om de inte är uppkopplade kan de kräva (e) om de hanterar personlig eller trafikdata.
Konsekvenser vid bristande efterlevnad:
Om en produkt inte uppfyller de nya kraven får den ingen CE‑märkning och får därmed inte säljas eller användas inom EU.
Påföljder kan inkludera återkallanden, marknadsförbud, ekonomiska böter och i allvarliga fall till och med rättsliga sanktioner.
Hur berörs produkterna av detta?
Produkter måste alltså uppfylla de nya kraven för att få säljas inom EU. Brott mot detta kan leda till näringsförbud. Nedan beskrivs tillverkarnas/leverantörernas egenkontroll och krav.
Tillverkarens valmöjligheter:
Självdeklaration enligt EN 18031‑serien
Certifiering via accrediterad verkstad, om självdeklaration inte är möjlig eller om standardens villkor inte möts.
Ingående tekniska mekanismer (enligt EN 18031-modellerna):
Autentiserings- och åtkomstkontroller
Krypterad kommunikation och lagring
Säkra uppdateringsmekanismer (OTA)
Nätverksövervakning och trafikbegränsning
Resiliens mot olika attacker, inklusive DDoS
Säker hantering av kryptografiska nycklar, loggning och incidenthantering.
Vilket ansvar faller på installatörer/entreprenörer?
Som installatör har man ansvar för att säkerställa att produkterna uppfyller gällande regler. Fråga leverantörerna om detta.
Eftersom utländska bolag är svårare att kravställa är det en försäkran att handla produkter av svenska leverantörer som då tar de risker som är förknippade med att inte följa reglerna.
Här nedan beskriver vi hur man säkerställer att produkterna uppfyller reglerna.
Produkter tillverkade innan 1 augusti 2025 berörs inte av de nya reglerna, även om de säljs senare.
Observera
Notera att produkter kan innehålla radiokommunikation även om man inte har beställt detta.
Vad innebär det för kunderna?
Kunder som köper utrustning har ansvar att säkerställa att de inte köper utrustning som bryter mot dessa regler. Direktiven är även för kunders säkerhet så ett enkelt sätt att öka sin cybersäkerhet är att noga kravställa leverans av nya produkter.
Observera att reglerna både gäller sändare och mottagare d.v.s. sensorer och gateways/koncentratorer/accesspunkter.
Hur vet man om produkterna är tillåtna?
Produkter skall uppfylla EN 18031‑1, EN 18031‑2 och EN 18031‑3. Se leverantörens hemsida och/eller datablad.
I skrivande stund (augusti 2025) är majoriteten av Europeiska tillverkare godkända, men nästan inga från Kina och andra icke-europeiska produkter.
Sammanfattning
Från 1 augusti 2025 måste alla radio‑ och trådlösa enheter som lanseras på EU‑marknaden uppfylla dessa krav – annars förloras CE‑markering och marknadstillgång. Genom att följa standarderna EN 18031‑serie kan tillverkare visa överensstämmelse och fortsätta sälja lagligt inom EU. Bekräfta uppfyllande via teknisk dokumentation eller, vid behov, tredjepartscertifiering från en ackrediterad verkstad.
