De EU Radio Equipment Directive (RED) is Europese wetgeving die vastlegt aan welke technische en beveiligingseisen draadloze apparatuur moet voldoen voordat deze op de markt gebracht mag worden.
Denk aan smartphones, laptops, routers, IoT-sensoren, slimme deurbellen en zelfs medische apparatuur met een draadloze verbinding.

Vanaf 1 augustus 2025 treedt een belangrijke uitbreiding van deze richtlijn in werking.
Die uitbreiding richt zich specifiek op cybersecurity: fabrikanten moeten aantonen dat hun producten veilig omgaan met data, bescherming bieden tegen misbruik en correct omgaan met netwerkverbindingen.

Voor mkb-bedrijven betekent dit dat apparaten die niet aan de RED-eisen voldoen straks mogelijk niet meer verkocht, geïmporteerd of gebruikt mogen worden.
In dit artikel legt Process 2 IT uit wat de richtlijn inhoudt, wat de nieuwe cybersecurity-eisen betekenen en hoe je jouw organisatie hierop voorbereidt.

Achtergrond en doel van de RED

De Radio Equipment Directive (2014/53/EU) is al sinds 2016 van kracht en verving de oude R&TTE-richtlijn.
De wetgeving zorgt ervoor dat draadloze apparaten veilig zijn, het radiospectrum efficiënt gebruiken en voldoen aan technische normen binnen de Europese markt.

In eerste instantie lag de nadruk op radiostoringen en productveiligheid.
Maar met de explosieve groei van Internet of Things (IoT)-apparaten kwam een nieuw risico: cybersecurity.
Slimme apparaten bleken kwetsbaar voor hacking, datadiefstal en misbruik van netwerktoegang.

Daarom besloot de Europese Commissie in 2022 de richtlijn uit te breiden met drie nieuwe beveiligingsdoelen.
Deze uitbreiding wordt vanaf augustus 2025 verplicht voor alle fabrikanten en importeurs.

Wat verandert er vanaf 2025?

De nieuwe bepalingen uit de RED richten zich specifiek op de beveiliging van draadloze apparatuur die met internet of netwerken verbonden is.
Dat geldt onder andere voor:

• Smartphones, laptops en tablets
• Routers, modems en access points
• Smart home-apparaten (camera’s, thermostaten, deurbellen)
• Wearables en medische apparaten
• IoT-apparaten in industriële of zakelijke omgevingen

Fabrikanten moeten kunnen aantonen dat deze apparaten:

• de privacy en persoonlijke gegevens van gebruikers beschermen,
• niet kunnen worden misbruikt om netwerken te verstoren of te compromitteren,
• veilig communiceren met andere apparaten en diensten.

In de praktijk betekent dit dat apparaten een veilig ontwerp moeten hebben: versleutelde communicatie, veilige firmware-updates en controle op authenticatie.

Cybersecurity-verplichtingen voor fabrikanten en gebruikers

De nieuwe RED legt de verantwoordelijkheid primair bij de fabrikant.
Die moet technische documentatie aanleveren, risicoanalyses uitvoeren en beveiligingsmaatregelen implementeren.

Maar de verantwoordelijkheid eindigt daar niet. Zodra een apparaat in een bedrijfsnetwerk wordt gebruikt, ligt er ook een taak bij de gebruiker of IT-beheerder.
Organisaties moeten zorgen dat:

• apparaten up-to-date blijven met beveiligingspatches,
• standaardwachtwoorden worden gewijzigd,
• toegang tot IoT-apparaten wordt gemonitord,
• en apparaten niet buiten het bedrijfsnetwerk communiceren zonder controle.

In veel gevallen kan een beheeroplossing zoals Microsoft Intune helpen om dit centraal te regelen.
Intune maakt het mogelijk om apparaten automatisch te registreren, beleid af te dwingen en risico’s te beperken zonder handmatig beheer.

Wat betekent dit voor mkb-bedrijven?

Voor mkb’ers verandert er in eerste instantie niets aan hun dagelijkse werkzaamheden, maar op termijn wél aan hun inkoopbeleid.
Bedrijven moeten straks beter letten op de conformiteit van apparaten die ze aanschaffen.

• Controleer of apparatuur voorzien is van een CE-markering met verwijzing naar de RED 2025-uitbreiding.
• Gebruik alleen leveranciers die conformiteitsverklaringen kunnen overleggen.
• Integreer nieuwe apparaten altijd via gecontroleerde onboarding, bijvoorbeeld binnen het netwerkbeheer van Process 2 IT.
• Monitor het gedrag van apparaten binnen je netwerk, zeker bij IoT-oplossingen.

De Europese Commissie wil hiermee voorkomen dat onveilige apparaten het fundament van bedrijfsnetwerken verzwakken.
Ook verzekeraars en auditors zullen steeds vaker eisen dat aangesloten apparatuur voldoet aan de nieuwe normen.

Praktische stappen om compliant te blijven

Voor bedrijven die hun IT-beheer serieus nemen, zijn de meeste maatregelen eenvoudig te integreren in het bestaande beveiligingsbeleid.

• Inventariseer alle draadloze en IoT-apparaten binnen het netwerk.
• Beoordeel risico’s per apparaat (bijv. camera’s, sensoren, access points).
• Beperk rechten van apparaten via VLAN’s of toegangsbeheer.
• Schakel standaardservices en open poorten uit waar mogelijk.
• Update firmware regelmatig en stel automatische updates in.
• Documenteer leveranciers en controleer conformiteitsverklaringen.

Door dit structureel te beheren via Intune of een centraal netwerkbeheersysteem, voorkom je dat apparaten buiten controle raken.

Veelgestelde vragen over de RED

Welke apparaten vallen precies onder de RED?

Alle draadloze apparaten die gebruikmaken van radiofrequenties of netwerken, waaronder Wi-Fi, Bluetooth, 4G/5G en Zigbee.
Dat betekent dat bijna alle moderne zakelijke apparaten onder de richtlijn vallen, inclusief laptops, printers en IoT-sensoren.

Vanaf wanneer gelden de nieuwe regels?

De nieuwe cybersecurity-eisen uit de RED worden vanaf 1 augustus 2025 verplicht.
Apparaten die vóór die datum zijn geproduceerd, mogen nog worden verkocht tot hun voorraad is uitgeput.

Wat gebeurt er als een apparaat niet aan de eisen voldoet?

Niet-conforme producten mogen niet worden verkocht binnen de EU.
In ernstige gevallen kunnen toezichthouders boetes opleggen of producten laten terugroepen.

Wat kan een bedrijf nu al doen?

Begin met inventariseren welke apparaten actief zijn en controleer of fabrikanten updates blijven leveren.
Integreer nieuwe apparaten via een beheerde omgeving zoals Microsoft Intune om beveiligingsbeleid af te dwingen.

De rol van Process 2 IT

Process 2 IT ondersteunt mkb-bedrijven bij het implementeren van een veilig en toekomstbestendig apparaatbeheerbeleid.
Wij helpen met:

• Het inventariseren van alle aangesloten apparaten en netwerken.
• Het beoordelen van risico’s en kwetsbaarheden in IoT-omgevingen.
• Het configureren van beveiligingsbeleid via Microsoft Intune.
• Het opzetten van monitoring en netwerksegmentatie.
• Advies over compliant inkoopbeleid voor nieuwe apparatuur.

Zo zorgen wij ervoor dat jouw organisatie voldoet aan de nieuwste Europese eisen zonder dat het beheer complexer wordt.

Samenvatting en vervolgstappen

De uitbreiding van de Radio Equipment Directive markeert een belangrijke stap in de Europese strategie om cyberrisico’s te verkleinen.
Vanaf 2025 mogen alleen apparaten worden gebruikt die aantoonbaar veilig zijn ontworpen en beheerd.

• Controleer of jouw apparaten voldoen aan de nieuwe RED-eisen.
• Gebruik beheeroplossingen zoals Intune om apparaten te controleren.
• Werk samen met een IT-partner die ervaring heeft met compliance en netwerkbeheer.

Wil je weten of jouw huidige IT-omgeving klaar is voor de nieuwe RED-regels?
Neem contact op met Process 2 IT voor een vrijblijvende compliance-analyse.