一��、實施時間與法規(guī)背景:
關(guān)鍵時間節(jié)點:
法規(guī)生效:歐盟授權(quán)法規(guī)2022/30/EU于2022年2月1日生效��,為RED指令引入網(wǎng)絡安全要求。
標準發(fā)布:EN 18031系列標準于2024年8月正式發(fā)布��,并于2025年1月30日被列入RED協(xié)調(diào)標準清單���。
強制執(zhí)行日期:2025年8月1日起�,所有適用設備必須符合EN 18031要求����,否則無法獲得CE-RED認證進入歐盟市場。
企業(yè)行動建議:制造商需在2025年8月前完成產(chǎn)品合規(guī)性評估及整改��,建議提前6-12個月啟動摸底測試����,避免因整改延誤認證周期�。
二、標準分類與核心要求:
EN 18031分為三部分����,分別對應RED指令第3.3(d)、(e)����、(f)條����,覆蓋不同設備類型的安全要求:
EN 18031-1:網(wǎng)絡保護要求:
適用范圍:互聯(lián)網(wǎng)連接的無線電設備�,如手機、平板����、Wi-Fi路由器、車載組件等�����。
核心要求:防網(wǎng)絡攻擊(如DDoS防護�����、通信加密)���、安全更新機制(需支持固件/軟件漏洞修復)���、密鑰管理(加密密鑰安全存儲與更新)。
限制條款:允許用戶不設置密碼��,但可能導致合規(guī)風險��。
EN 18031-2:數(shù)據(jù)隱私要求:
適用范圍:處理個人數(shù)據(jù)和隱私的無線電設備,如可穿戴設備�����、兒童監(jiān)護設備��、智能傳感器等���。
核心要求:訪問控制與數(shù)據(jù)加密(如用戶權(quán)限管理�����、敏感數(shù)據(jù)加密)��、日志記錄與用戶通知(需記錄操作并告知數(shù)據(jù)泄露風險)。
限制條款:未實施家長控制機制的兒童設備可能無法合規(guī)����。
EN 18031-3:金融安全要求:
適用范圍:涉及虛擬貨幣或貨幣價值的無線電設備,如POS機����、ATM、虛擬貨幣終端�����。
核心要求:設備完整性驗證(防篡改與日志審計)、交易追蹤機制(記錄金融操作并支持追溯)��。
限制條款:無論設計如何�����,均需通過第三方合格評定���。
三�、產(chǎn)品認證計劃執(zhí)行要點:
1.確認適用范圍:根據(jù)設備功能匹配EN 18031-1/2/3的類別�����。
例如����,聯(lián)網(wǎng)家電適用EN 18031-1;
智能手表適用EN 18031-1�����、EN 18031-2;
支付終端適用EN 18031-1�����、EN 18031-2����、EN 18031-3。
2.不適用的情況:
不適用 EN 18031-2�����,但適用于 EN 18031-1 的設備:
a)(EU)2017/745號條例(醫(yī)療器械法規(guī)MDR)和(EU)2017/746號條例(體外診斷器械法規(guī)IVDR)管轄的醫(yī)療設備���;
b)(EU)2018/1139號條例(歐洲航空安全局基本法規(guī))管轄的無線電設備(遠程控制無人機的設備以及可能安裝在飛機上的非機載特定無線電設備)��;
c)(EU)2019/2144號條例(歐盟新汽車一般安全法)管轄的無線電設備(機動車輛)���;
d)(EU)2019/520號指令(歐盟道路電子收費系統(tǒng)指令)管轄的無線電設備(道路收費系統(tǒng));
3.合規(guī)性評估路徑:自我聲明適用于完全符合標準且不涉及限制條款的產(chǎn)品�����;第三方認證涉及限制條款(如金融設備�����、未實施家長控制)或替代技術(shù)方案時�����,必須通過公告機構(gòu)(NB)評估�����。
4.技術(shù)整改重點:密碼策略取消通用默認密碼�,支持用戶自定義(EN 18031-1/2);安全更新明確最低支持周期���,并通過數(shù)字**驗證更新包(EN 18031-3)����;加密強度密鑰長度需≥112位�����,且采用符合標準的加密算法(如AES-256)��。
5.認證流程優(yōu)化:
文檔準備:技術(shù)設計說明書�����、風險評估報告、測試記錄等�����;
實驗室選擇:優(yōu)先選擇具備EN 18031資質(zhì)的第三方機構(gòu)�����;
聯(lián)合認證已通過ETSI EN 303 645認證的企業(yè)�����,可補充差異測試以縮短周期�。
6.RED與EN 18031的關(guān)系:
RED指令的Article 3.3提出了網(wǎng)絡安全的三個基本要求���,這些要求旨在保護網(wǎng)絡不受損害����、個人數(shù)據(jù)和隱私得到保護����,以及防止欺詐。為了滿足RED指令中提出的網(wǎng)絡安全要求�,歐盟的標準組織正在起草和審核EN 18031系列標準。EN 18031系列標準預計將對應RED指令Article 3.3中提出的三個網(wǎng)絡安全要求�,即RED 3(3)(d)、RED 3(3)(e)和RED 3(3)(f)�。
四、風險與應對建議:
合規(guī)風險:未通過認證將面臨產(chǎn)品召回�、市場禁入、罰款(最高為年營業(yè)額4%)�����;技術(shù)漏洞如未實施安全更新機制���,可能導致設備遭攻擊并引發(fā)法律訴訟�����。
成本控制策略:早期介入在研發(fā)階段導入EN 18031要求�����,減少后期整改成本��;多標準覆蓋通過ETSI EN 303 645認證�,復用部分測試結(jié)果降低重復成本。
五����、行業(yè)影響與未來趨勢:
市場準入門檻提升:中小型企業(yè)需加大安全投入,頭部廠商可憑借技術(shù)積累搶占市場���。
技術(shù)融合:EN 18031與歐盟網(wǎng)絡彈性法案(CRA)將形成互補�,2027年后或進一步整合安全要求�。
六、EN 18031認證周期與費用評估要點表:
