根据欧盟最新法规要求,自2025年8月1日起,所有进入欧盟市场的无线电设备必须符合RED指令(RadioEquipmentDirective)中新增的网络安全条款(Article3.3(d)(e)(f)及对应的协调标准EN18031系列。不符合该标准的产品将无法通过CE认证,进而禁止在欧盟市场销售。
法规执行时间
2025年1月30日:EN18031系列标准被正式列入欧盟官方公报(OJ),成为RED指令的协调标准。
2025年8月1日:RED指令的网络安全条款(Article3.3(d)(e)(f)强制生效,所有相关产品必须完成合规性评估。
EN18031标准主要覆盖以下三类无线电设备:
1.联网设备:直接或间接连接互联网的设备,如手机、智能家居设备、WiFi路由器等。需满足防止网络攻击(如DDoS)和滥用资源的要求(对应Article3.3(d))。
2.隐私数据处理设备:处理个人数据、位置数据的设备,例如可穿戴设备(智能手表)、儿童玩具、婴儿监视器等。需实施端到端加密和访问控制(对应Article3.3(e))。
3.金融交易设备:支持电子支付、虚拟货币交易的设备,如移动支付终端、加密货币硬件钱包。需强化交易验证机制(如多因素认证)(对应Article3.3(f))。
核心合规要求
EN18031系列标准分为三个子标准,分别对应不同条款的安全要求:
共性要求
默认密码禁止:设备若允许用户设置密码,则必须强制用户启用,否则视为不合规。
安全更新机制:需提供持续的安全补丁支持,尤其是金融类设备需多重措施保障。
豁免范围
以下设备可部分或完全豁免相关条款:
1.医疗器械:受(EU)2017/745(医疗器械)和(EU)2017/746(体外诊断设备)监管的设备,豁免Article3.3(e)(f)条款。
2.航空与交通设备:如无人机、车载系统(受(EU)2018/1139、(EU)2019/2144监管),豁免Article3.3(e)(f)条款。
3.道路收费系统:受(EU)2019/520指令约束的设备,豁免Article3.3(e)(f)条款。
流程与测试要求
制造商需完成以下步骤以获取CE认证:
1.资产分类与评估:识别设备涉及的“安全资产”(网络、隐私、金融资产)并分类。
2.技术文档准备:包括安全设计说明、风险评估报告、用户手册等。
3.测试与认证
概念评估:验证技术文档的完整性和逻辑性。
功能完整性测试:检查安全机制是否覆盖所有风险点(如网络接口扫描)。
功能充分性测试:通过渗透测试、模糊测试验证防护有效性。
检测建议
1.市场准入门槛提升:未通过EN18031认证的产品将无法进入欧盟市场,企业需尽快调整设计和生产流程。
2.技术升级成本:需投入资源优化网络安全设计(如加密模块、固件更新机制)。
3.合作认证机构:建议选择具备RED指令经验的实验室,加速认证流程。