&

歐盟網(wǎng)絡(luò)信息安全EN 18031標(biāo)準(zhǔn)解讀！

來(lái)源: 華檢檢測(cè) / 日期: 2025-07-11 / 瀏覽: 117425次

▲ 2025年8月1日正式實(shí)施，不符合RED指令網(wǎng)絡(luò)信息安全EN 18031標(biāo)準(zhǔn)的產(chǎn)品將無(wú)法進(jìn)入歐盟市場(chǎng)！

歐盟委員會(huì)于2022年發(fā)布了RED指令補(bǔ)充授權(quán)法案(EU) 2022/30，對(duì)無(wú)線電設(shè)備的網(wǎng)絡(luò)安全、隱私保護(hù)和反欺詐等方面提出了明確要求。該法案將于2025年8月1日正式實(shí)施，屆時(shí)無(wú)線電設(shè)備必須符合RED指令第3(3)條(d)、(e)和(f)點(diǎn)的網(wǎng)絡(luò)信息安全要求才能進(jìn)入歐盟市場(chǎng)銷售。

◆ 標(biāo)準(zhǔn)解讀

一、標(biāo)準(zhǔn)協(xié)調(diào)性
EN 18031系列標(biāo)準(zhǔn)分為三部分，分別為EN 18031-1、EN 18031-2和EN 18031-3，分別對(duì)應(yīng)RED指令第3(3)條款的(d)、(e)、(f)要求。EN 18031系列標(biāo)準(zhǔn)的部分章節(jié)在一些情況下不被認(rèn)為是協(xié)調(diào)的，沒(méi)有協(xié)調(diào)的情況下產(chǎn)品必須通過(guò)指定公告機(jī)構(gòu)（NB）完成認(rèn)證，方可投入市場(chǎng)。

RED指令相關(guān)條款	協(xié)調(diào)標(biāo)準(zhǔn)	限制條件
Article 3:Section 3.3(d): 無(wú)線電設(shè)備不會(huì)損害網(wǎng)絡(luò)或其功能，也不會(huì)濫用網(wǎng)絡(luò)資源，從而導(dǎo)致不可接受的服務(wù)降級(jí)。	EN 18031-1:2024 Common security requirements for radio equipment - Part 1: Internet connected radio equipment	要求用戶必須設(shè)置和使用密碼。若允許用戶不設(shè)置密碼，EN 18031-1/2/3標(biāo)準(zhǔn)都將喪失協(xié)調(diào)性。
Article 3:Section 3.3(e): 無(wú)線電設(shè)備包含保護(hù)措施，以確保用戶和訂戶的個(gè)人數(shù)據(jù)和隱私得到保護(hù)。	EN 18031-2:2024 Common security requirements for radio equipment - Part 2: radio equipment processing data, namely Internet connected radio equipment, childcare radio equipment, toys radio equipment and wearable radio equipment	要求必須確保父母或監(jiān)護(hù)人的訪問(wèn)控制。若采用“自主訪問(wèn)控制”等不兼容模式，EN 18031-2標(biāo)準(zhǔn)將喪失協(xié)調(diào)性。
Article 3:Section 3.3(f): 無(wú)線電設(shè)備支持某些功能，確保防止欺詐。	EN 18031-3:2024Common security requirements for radio equipment - Part 3: Internet connected radio equipment processing virtual money or monetary value	要求通過(guò)多重機(jī)制實(shí)施安全更新。如果單獨(dú)使用一種方法（如數(shù)字簽名或訪問(wèn)控制）實(shí)施安全更新，不足以滿足金融安全需求，EN 18031-3標(biāo)準(zhǔn)將喪失協(xié)調(diào)性。

二、適用范圍

根據(jù)RED指令補(bǔ)充授權(quán)法案(EU) 2022/30的要求，新規(guī)適用的產(chǎn)品包含以下三類：
1、直接或間接連接互聯(lián)網(wǎng)的無(wú)線設(shè)備；
2、涉及用戶隱私數(shù)據(jù)處理的設(shè)備，如兒童看護(hù)設(shè)備、玩具、穿戴式設(shè)備等；
3、互聯(lián)網(wǎng)貨幣支付、轉(zhuǎn)賬、交易設(shè)備。
▲ 注意：
● RED指令A(yù)rticle 3:Section 3.3(d),(e),(f)的要求不適用于MDR法規(guī)范圍內(nèi)的醫(yī)療器械設(shè)備。
● RED指令A(yù)rticle 3:Section 3.3(e),(f)的要求不適用Regulation (EU) 2018/1139、Regulation (EU) 2019/2144和Directive (EU) 2019/520法規(guī)范圍內(nèi)的航空或道路交通相關(guān)設(shè)備。

■ 適用范圍內(nèi)的產(chǎn)品示例

三、測(cè)試要求
為了確保測(cè)試要求能夠在三個(gè)并列標(biāo)準(zhǔn)（EN 18031-1/2/3）之間保持一致，新標(biāo)準(zhǔn)引入了“資產(chǎn)”這一概念作為主要測(cè)試對(duì)象，并對(duì)“資產(chǎn)”進(jìn)行分類，各類資產(chǎn)對(duì)應(yīng)著不同的標(biāo)準(zhǔn)測(cè)試要求。

標(biāo)準(zhǔn)	EN 18031-1	EN 18031-2	EN 18031-3
RED指令相關(guān)條款	3.3.(d)	3.3.(e)	3.3.(f)
Security asset 安全資產(chǎn)	√	√	√
Network asset 網(wǎng)絡(luò)資產(chǎn)	√	-	-
Privacy asset 隱私資產(chǎn)	-	√	-
Financial asset 金融資產(chǎn)	-	-	√

● EN 18031系列標(biāo)準(zhǔn)的測(cè)試內(nèi)容如下表所示，要求對(duì)這些測(cè)試內(nèi)容進(jìn)行“概念評(píng)估Conceptual assessment”、“功能完整性評(píng)估Functional completeness assessment”和“功能充分性評(píng)估Functional sufficiency assessment”。

標(biāo)準(zhǔn)	通用要求	特殊要求
EN 18031-1	訪問(wèn)控制-Access Control 認(rèn)證驗(yàn)證-Authentication 安全升級(jí)-Secure Update 安全存儲(chǔ)-Secure Storage 安全通信-Secure Communication 加密算法-Confidential Cryptographic Keys 通用設(shè)備能力-General Equipment Capabilities 密碼最佳實(shí)踐- Cryptographic Best Practice	對(duì)于安全和網(wǎng)絡(luò)資產(chǎn): 彈性恢復(fù)- Resilience 網(wǎng)絡(luò)監(jiān)控- Network Monitoring 流量控制- Traffic Control
EN 18031-2		對(duì)于安全和隱私資產(chǎn): 父母控制 - Parental Control 日志- Logging 刪除- Deletion 用戶通知- User Notification 對(duì)外獲取信息- External Sensing Capabilities
EN 18031-3		對(duì)于安全和金融資產(chǎn): 日志– Logging 設(shè)備完整性- Equipment Integrity (Secure Boot)

詳情請(qǐng)咨詢13418907841胡工