一�、實(shí)施時(shí)間與法規(guī)背景:
關(guān)鍵時(shí)間節(jié)點(diǎn):
法規(guī)生效:歐盟授權(quán)法規(guī)2022/30/EU于2022年2月1日生效,為RED指令引入網(wǎng)絡(luò)安全要求�����。
標(biāo)準(zhǔn)發(fā)布:EN 18031系列標(biāo)準(zhǔn)于2024年8月正式發(fā)布���,并于2025年1月30日被列入RED協(xié)調(diào)標(biāo)準(zhǔn)清單�����。
強(qiáng)制執(zhí)行日期:2025年8月1日起��,所有適用設(shè)備必須符合EN 18031要求����,否則無法獲得CE-RED認(rèn)證進(jìn)入歐盟市場�。
企業(yè)行動(dòng)建議:制造商需在2025年8月前完成產(chǎn)品合規(guī)性評(píng)估及整改,建議提前6-12個(gè)月啟動(dòng)摸底測(cè)試��,避免因整改延誤認(rèn)證周期����。
二、標(biāo)準(zhǔn)分類與核心要求:
EN 18031分為三部分�,分別對(duì)應(yīng)RED指令第3.3(d)、(e)����、(f)條,覆蓋不同設(shè)備類型的安全要求:
EN 18031-1:網(wǎng)絡(luò)保護(hù)要求:
適用范圍:互聯(lián)網(wǎng)連接的無線電設(shè)備���,如手機(jī)���、平板、Wi-Fi路由器���、車載組件等�����。
核心要求:防網(wǎng)絡(luò)攻擊(如DDoS防護(hù)���、通信加密)��、安全更新機(jī)制(需支持固件/軟件漏洞修復(fù))�����、密鑰管理(加密密鑰安全存儲(chǔ)與更新)���。
限制條款:允許用戶不設(shè)置密碼,但可能導(dǎo)致合規(guī)風(fēng)險(xiǎn)�。
EN 18031-2:數(shù)據(jù)隱私要求:
適用范圍:處理個(gè)人數(shù)據(jù)和隱私的無線電設(shè)備,如可穿戴設(shè)備��、兒童監(jiān)護(hù)設(shè)備��、智能傳感器等���。
核心要求:訪問控制與數(shù)據(jù)加密(如用戶權(quán)限管理���、敏感數(shù)據(jù)加密)����、日志記錄與用戶通知(需記錄操作并告知數(shù)據(jù)泄露風(fēng)險(xiǎn))�。
限制條款:未實(shí)施家長控制機(jī)制的兒童設(shè)備可能無法合規(guī)���。
EN 18031-3:金融安全要求:
適用范圍:涉及虛擬貨幣或貨幣價(jià)值的無線電設(shè)備�����,如POS機(jī)����、ATM�����、虛擬貨幣終端�。
核心要求:設(shè)備完整性驗(yàn)證(防篡改與日志審計(jì))、交易追蹤機(jī)制(記錄金融操作并支持追溯)����。
限制條款:無論設(shè)計(jì)如何��,均需通過第三方合格評(píng)定�。
三�����、產(chǎn)品認(rèn)證計(jì)劃執(zhí)行要點(diǎn):
1.確認(rèn)適用范圍:根據(jù)設(shè)備功能匹配EN 18031-1/2/3的類別�����。
例如����,聯(lián)網(wǎng)家電適用EN 18031-1;
智能手表適用EN 18031-1�����、EN 18031-2�����;
支付終端適用EN 18031-1�����、EN 18031-2、EN 18031-3�����。
2.不適用的情況:
不適用 EN 18031-2�,但適用于 EN 18031-1 的設(shè)備:
a)(EU)2017/745號(hào)條例(醫(yī)療器械法規(guī)MDR)和(EU)2017/746號(hào)條例(體外診斷器械法規(guī)IVDR)管轄的醫(yī)療設(shè)備;
b)(EU)2018/1139號(hào)條例(歐洲航空安全局基本法規(guī))管轄的無線電設(shè)備(遠(yuǎn)程控制無人機(jī)的設(shè)備以及可能安裝在飛機(jī)上的非機(jī)載特定無線電設(shè)備)����;
c)(EU)2019/2144號(hào)條例(歐盟新汽車一般安全法)管轄的無線電設(shè)備(機(jī)動(dòng)車輛)����;
d)(EU)2019/520號(hào)指令(歐盟道路電子收費(fèi)系統(tǒng)指令)管轄的無線電設(shè)備(道路收費(fèi)系統(tǒng));
3.合規(guī)性評(píng)估路徑:自我聲明適用于完全符合標(biāo)準(zhǔn)且不涉及限制條款的產(chǎn)品�;第三方認(rèn)證涉及限制條款(如金融設(shè)備、未實(shí)施家長控制)或替代技術(shù)方案時(shí)���,必須通過公告機(jī)構(gòu)(NB)評(píng)估�����。
4.技術(shù)整改重點(diǎn):密碼策略取消通用默認(rèn)密碼���,支持用戶自定義(EN 18031-1/2)�����;安全更新明確最低支持周期�,并通過數(shù)字**驗(yàn)證更新包(EN 18031-3)��;加密強(qiáng)度密鑰長度需≥112位�����,且采用符合標(biāo)準(zhǔn)的加密算法(如AES-256)�。
5.認(rèn)證流程優(yōu)化:
文檔準(zhǔn)備:技術(shù)設(shè)計(jì)說明書、風(fēng)險(xiǎn)評(píng)估報(bào)告���、測(cè)試記錄等�����;
實(shí)驗(yàn)室選擇:優(yōu)先選擇具備EN 18031資質(zhì)的第三方機(jī)構(gòu)����;
聯(lián)合認(rèn)證已通過ETSI EN 303 645認(rèn)證的企業(yè)����,可補(bǔ)充差異測(cè)試以縮短周期����。
6.RED與EN 18031的關(guān)系:
RED指令的Article 3.3提出了網(wǎng)絡(luò)安全的三個(gè)基本要求,這些要求旨在保護(hù)網(wǎng)絡(luò)不受損害�、個(gè)人數(shù)據(jù)和隱私得到保護(hù),以及防止欺詐�����。為了滿足RED指令中提出的網(wǎng)絡(luò)安全要求��,歐盟的標(biāo)準(zhǔn)組織正在起草和審核EN 18031系列標(biāo)準(zhǔn)����。EN 18031系列標(biāo)準(zhǔn)預(yù)計(jì)將對(duì)應(yīng)RED指令A(yù)rticle 3.3中提出的三個(gè)網(wǎng)絡(luò)安全要求�,即RED 3(3)(d)、RED 3(3)(e)和RED 3(3)(f)���。
四�����、風(fēng)險(xiǎn)與應(yīng)對(duì)建議:
合規(guī)風(fēng)險(xiǎn):未通過認(rèn)證將面臨產(chǎn)品召回���、市場禁入����、罰款(最高為年?duì)I業(yè)額4%)���;技術(shù)漏洞如未實(shí)施安全更新機(jī)制���,可能導(dǎo)致設(shè)備遭攻擊并引發(fā)法律訴訟。
成本控制策略:早期介入在研發(fā)階段導(dǎo)入EN 18031要求����,減少后期整改成本;多標(biāo)準(zhǔn)覆蓋通過ETSI EN 303 645認(rèn)證���,復(fù)用部分測(cè)試結(jié)果降低重復(fù)成本��。
五�、行業(yè)影響與未來趨勢(shì):
市場準(zhǔn)入門檻提升:中小型企業(yè)需加大安全投入,頭部廠商可憑借技術(shù)積累搶占市場���。
技術(shù)融合:EN 18031與歐盟網(wǎng)絡(luò)彈性法案(CRA)將形成互補(bǔ)����,2027年后或進(jìn)一步整合安全要求���。
六��、EN 18031認(rèn)證周期與費(fèi)用評(píng)估要點(diǎn)表:
