标准发布:EN 18031系列标准于2024年8月正式发布,并于2025年1月30日被列入RED协调标准清单。
强制执行日期:2025年8月1日起,所有适用设备必须符合EN 18031要求,否则无法获得CE-RED认证进入欧盟市场。
企业行动建议:制造商需在2025年8月前完成产品合规性评估及整改,建议提前6-12个月启动摸底测试,避免因整改延误认证周期。
EN 18031分为三部分,分别对应RED指令第3.3(d)、(e)、(f)条,覆盖不同设备类型的安全要求:
EN 18031-1:网络保护要求:
适用范围:互联网连接的无线电设备,如手机、平板、Wi-Fi路由器、车载组件等。
核心要求:防网络攻击(如DDoS防护、通信加密)、安全更新机制(需支持固件/软件漏洞修复)、密钥管理(加密密钥安全存储与更新)。
限制条款:允许用户不设置密码,但可能导致合规风险。
EN 18031-2:数据隐私要求:
适用范围:处理个人数据和隐私的无线电设备,如可穿戴设备、儿童监护设备、智能传感器等。
核心要求:访问控制与数据加密(如用户权限管理、敏感数据加密)、日志记录与用户通知(需记录操作并告知数据泄露风险)。
限制条款:未实施家长控制机制的儿童设备可能无法合规。
EN 18031-3:金融安全要求:
适用范围:涉及虚拟货币或货币价值的无线电设备,如POS机、ATM、虚拟货币终端。
核心要求:设备完整性验证(防篡改与日志审计)、交易追踪机制(记录金融操作并支持追溯)。
限制条款:无论设计如何,均需通过第三方合格评定。
1.确认适用范围:根据设备功能匹配EN 18031-1/2/3的类别。
例如,联网家电适用EN 18031-1;
智能手表适用EN 18031-1、EN 18031-2;
支付终端适用EN 18031-1、EN 18031-2、EN 18031-3。
2.不适用的情况:
不适用 EN 18031-2,但适用于 EN 18031-1 的设备:
a)(EU)2017/745号条例(医疗器械法规MDR)和(EU)2017/746号条例(体外诊断器械法规IVDR)管辖的医疗设备;
b)(EU)2018/1139号条例(欧洲航空安全局基本法规)管辖的无线电设备(远程控制无人机的设备以及可能安装在飞机上的非机载特定无线电设备);
c)(EU)2019/2144号条例(欧盟新汽车一般安全法)管辖的无线电设备(机动车辆);
d)(EU)2019/520号指令(欧盟道路电子收费系统指令)管辖的无线电设备(道路收费系统);
3.合规性评估路径:自我声明适用于完全符合标准且不涉及限制条款的产品;第三方认证涉及限制条款(如金融设备、未实施家长控制)或替代技术方案时,必须通过公告机构(NB)评估。
4.技术整改重点:密码策略取消通用默认密码,支持用户自定义(EN 18031-1/2);安全更新明确最低支持周期,并通过数字签名验证更新包(EN 18031-3);加密强度密钥长度需≥112位,且采用符合标准的加密算法(如AES-256)。
5.认证流程优化:
文档准备:技术设计说明书、风险评估报告、测试记录等;
实验室选择:优先选择具备EN 18031资质的第三方机构;
联合认证已通过ETSI EN 303 645认证的企业,可补充差异测试以缩短周期。
6.RED与EN 18031的关系:
RED指令的Article 3.3提出了网络安全的三个基本要求,这些要求旨在保护网络不受损害、个人数据和隐私得到保护,以及防止欺诈。为了满足RED指令中提出的网络安全要求,欧盟的标准组织正在起草和审核EN 18031系列标准。EN 18031系列标准预计将对应RED指令Article 3.3中提出的三个网络安全要求,即RED3(3)(d)、RED 3(3)(e)和RED3(3)(f)。
