一�����、實施時間與法規(guī)背景:
關(guān)鍵時間節(jié)點:
法規(guī)生效:歐盟授權(quán)法規(guī)2022/30/EU于2022年2月1日生效�,為RED指令引入網(wǎng)絡(luò)安全要求。
標(biāo)準(zhǔn)發(fā)布:EN 18031系列標(biāo)準(zhǔn)于2024年8月正式發(fā)布��,并于2025年1月30日被列入RED協(xié)調(diào)標(biāo)準(zhǔn)清單�。
強制執(zhí)行日期:2025年8月1日起,所有適用設(shè)備必須符合EN 18031要求����,否則無法獲得CE-RED認(rèn)證進入歐盟市場。
企業(yè)行動建議:制造商需在2025年8月前完成產(chǎn)品合規(guī)性評估及整改�,建議提前6-12個月啟動摸底測試��,避免因整改延誤認(rèn)證周期���。
二、標(biāo)準(zhǔn)分類與核心要求:
EN 18031分為三部分�����,分別對應(yīng)RED指令第3.3(d)�����、(e)��、(f)條�,覆蓋不同設(shè)備類型的安全要求:
EN 18031-1:網(wǎng)絡(luò)保護要求:
適用范圍:互聯(lián)網(wǎng)連接的無線電設(shè)備,如手機�����、平板��、Wi-Fi路由器��、車載組件等。
核心要求:防網(wǎng)絡(luò)攻擊(如DDoS防護�、通信加密)、安全更新機制(需支持固件/軟件漏洞修復(fù))����、密鑰管理(加密密鑰安全存儲與更新)。
限制條款:允許用戶不設(shè)置密碼�����,但可能導(dǎo)致合規(guī)風(fēng)險�。
EN 18031-2:數(shù)據(jù)隱私要求:
適用范圍:處理個人數(shù)據(jù)和隱私的無線電設(shè)備,如可穿戴設(shè)備�����、兒童監(jiān)護設(shè)備���、智能傳感器等�����。
核心要求:訪問控制與數(shù)據(jù)加密(如用戶權(quán)限管理、敏感數(shù)據(jù)加密)�����、日志記錄與用戶通知(需記錄操作并告知數(shù)據(jù)泄露風(fēng)險)。
限制條款:未實施家長控制機制的兒童設(shè)備可能無法合規(guī)��。
EN 18031-3:金融安全要求:
適用范圍:涉及虛擬貨幣或貨幣價值的無線電設(shè)備�,如POS機、ATM����、虛擬貨幣終端。
核心要求:設(shè)備完整性驗證(防篡改與日志審計)��、交易追蹤機制(記錄金融操作并支持追溯)���。
限制條款:無論設(shè)計如何���,均需通過第三方合格評定。
三��、產(chǎn)品認(rèn)證計劃執(zhí)行要點:
1.確認(rèn)適用范圍:根據(jù)設(shè)備功能匹配EN 18031-1/2/3的類別�。
例如,聯(lián)網(wǎng)家電適用EN 18031-1����;
智能手表適用EN 18031-1�����、EN 18031-2��;
支付終端適用EN 18031-1���、EN 18031-2、EN 18031-3����。
2.不適用的情況:
不適用 EN 18031-2,但適用于 EN 18031-1 的設(shè)備:
a)(EU)2017/745號條例(醫(yī)療器械法規(guī)MDR)和(EU)2017/746號條例(體外診斷器械法規(guī)IVDR)管轄的醫(yī)療設(shè)備�;
b)(EU)2018/1139號條例(歐洲航空安全局基本法規(guī))管轄的無線電設(shè)備(遠(yuǎn)程控制無人機的設(shè)備以及可能安裝在飛機上的非機載特定無線電設(shè)備);
c)(EU)2019/2144號條例(歐盟新汽車一般安全法)管轄的無線電設(shè)備(機動車輛)�����;
d)(EU)2019/520號指令(歐盟道路電子收費系統(tǒng)指令)管轄的無線電設(shè)備(道路收費系統(tǒng))���;
3.合規(guī)性評估路徑:自我聲明適用于完全符合標(biāo)準(zhǔn)且不涉及限制條款的產(chǎn)品����;第三方認(rèn)證涉及限制條款(如金融設(shè)備���、未實施家長控制)或替代技術(shù)方案時�����,必須通過公告機構(gòu)(NB)評估�����。
4.技術(shù)整改重點:密碼策略取消通用默認(rèn)密碼���,支持用戶自定義(EN 18031-1/2);安全更新明確最低支持周期���,并通過數(shù)字**驗證更新包(EN 18031-3)�;加密強度密鑰長度需≥112位��,且采用符合標(biāo)準(zhǔn)的加密算法(如AES-256)����。
5.認(rèn)證流程優(yōu)化:
文檔準(zhǔn)備:技術(shù)設(shè)計說明書、風(fēng)險評估報告�、測試記錄等;
實驗室選擇:優(yōu)先選擇具備EN 18031資質(zhì)的第三方機構(gòu)����;
聯(lián)合認(rèn)證已通過ETSI EN 303 645認(rèn)證的企業(yè)��,可補充差異測試以縮短周期�����。
6.RED與EN 18031的關(guān)系:
RED指令的Article 3.3提出了網(wǎng)絡(luò)安全的三個基本要求���,這些要求旨在保護網(wǎng)絡(luò)不受損害�、個人數(shù)據(jù)和隱私得到保護���,以及防止欺詐��。為了滿足RED指令中提出的網(wǎng)絡(luò)安全要求����,歐盟的標(biāo)準(zhǔn)組織正在起草和審核EN 18031系列標(biāo)準(zhǔn)�。EN 18031系列標(biāo)準(zhǔn)預(yù)計將對應(yīng)RED指令A(yù)rticle 3.3中提出的三個網(wǎng)絡(luò)安全要求����,即RED 3(3)(d)���、RED 3(3)(e)和RED 3(3)(f)。
四�����、風(fēng)險與應(yīng)對建議:
合規(guī)風(fēng)險:未通過認(rèn)證將面臨產(chǎn)品召回���、市場禁入��、罰款(最高為年營業(yè)額4%)����;技術(shù)漏洞如未實施安全更新機制�����,可能導(dǎo)致設(shè)備遭攻擊并引發(fā)法律訴訟���。
成本控制策略:早期介入在研發(fā)階段導(dǎo)入EN 18031要求����,減少后期整改成本;多標(biāo)準(zhǔn)覆蓋通過ETSI EN 303 645認(rèn)證��,復(fù)用部分測試結(jié)果降低重復(fù)成本�����。
五���、行業(yè)影響與未來趨勢:
市場準(zhǔn)入門檻提升:中小型企業(yè)需加大安全投入���,頭部廠商可憑借技術(shù)積累搶占市場。
技術(shù)融合:EN 18031與歐盟網(wǎng)絡(luò)彈性法案(CRA)將形成互補���,2027年后或進一步整合安全要求���。
六、EN 18031認(rèn)證周期與費用評估要點表:
