標準發布:EN 18031系列標準于2024年8月正式發布,并于2025年1月30日被列入RED協調標準清單。
強制執行日期:2025年8月1日起,所有適用設備必須符合EN 18031要求,否則無法獲得CE-RED認證進入歐盟市場。
企業行動建議:制造商需在2025年8月前完成產品合規性評估及整改,建議提前6-12個月啟動摸底測試,避免因整改延誤認證周期。
EN 18031分為三部分,分別對應RED指令第3.3(d)、(e)、(f)條,覆蓋不同設備類型的安全要求:
EN 18031-1:網絡保護要求:
適用范圍:互聯網連接的無線電設備,如手機、平板、Wi-Fi路由器、車載組件等。
核心要求:防網絡攻擊(如DDoS防護、通信加密)、安全更新機制(需支持固件/軟件漏洞修復)、密鑰管理(加密密鑰安全存儲與更新)。
限制條款:允許用戶不設置密碼,但可能導致合規風險。
EN 18031-2:數據隱私要求:
適用范圍:處理個人數據和隱私的無線電設備,如可穿戴設備、兒童監護設備、智能傳感器等。
核心要求:訪問控制與數據加密(如用戶權限管理、敏感數據加密)、日志記錄與用戶通知(需記錄操作并告知數據泄露風險)。
限制條款:未實施家長控制機制的兒童設備可能無法合規。
EN 18031-3:金融安全要求:
適用范圍:涉及虛擬貨幣或貨幣價值的無線電設備,如POS機、ATM、虛擬貨幣終端。
核心要求:設備完整性驗證(防篡改與日志審計)、交易追蹤機制(記錄金融操作并支持追溯)。
限制條款:無論設計如何,均需通過第三方合格評定。
1.確認適用范圍:根據設備功能匹配EN 18031-1/2/3的類別。
例如,聯網家電適用EN 18031-1;
智能手表適用EN 18031-1、EN 18031-2;
支付終端適用EN 18031-1、EN 18031-2、EN 18031-3。
2.不適用的情況:
不適用 EN 18031-2,但適用于 EN 18031-1 的設備:
a)(EU)2017/745號條例(醫療器械法規MDR)和(EU)2017/746號條例(體外診斷器械法規IVDR)管轄的醫療設備;
b)(EU)2018/1139號條例(歐洲航空安全局基本法規)管轄的無線電設備(遠程控制無人機的設備以及可能安裝在飛機上的非機載特定無線電設備);
c)(EU)2019/2144號條例(歐盟新汽車一般安全法)管轄的無線電設備(機動車輛);
d)(EU)2019/520號指令(歐盟道路電子收費系統指令)管轄的無線電設備(道路收費系統);
3.合規性評估路徑:自我聲明適用于完全符合標準且不涉及限制條款的產品;第三方認證涉及限制條款(如金融設備、未實施家長控制)或替代技術方案時,必須通過公告機構(NB)評估。
4.技術整改重點:密碼策略取消通用默認密碼,支持用戶自定義(EN 18031-1/2);安全更新明確最低支持周期,并通過數字簽名驗證更新包(EN 18031-3);加密強度密鑰長度需≥112位,且采用符合標準的加密算法(如AES-256)。
5.認證流程優化:
文檔準備:技術設計說明書、風險評估報告、測試記錄等;
實驗室選擇:優先選擇具備EN 18031資質的第三方機構;
聯合認證已通過ETSI EN 303 645認證的企業,可補充差異測試以縮短周期。
6.RED與EN 18031的關系:
RED指令的Article 3.3提出了網絡安全的三個基本要求,這些要求旨在保護網絡不受損害、個人數據和隱私得到保護,以及防止欺詐。為了滿足RED指令中提出的網絡安全要求,歐盟的標準組織正在起草和審核EN 18031系列標準。EN 18031系列標準預計將對應RED指令Article 3.3中提出的三個網絡安全要求,即RED3(3)(d)、RED 3(3)(e)和RED3(3)(f)。
