法规更新背景:
随着物联网(IoT)设备在欧盟市场的普及,从智慧手表到婴儿监视器,数十亿台设备已成为日常生活的核心。然而,2014年《无线电设备指令》(RED)尚未预见此波浪式成长,当时的法规框架未涵盖网路安全防护。结果,DDoS 攻击、个人数据外泄、金融诈骗等事件频传,成为欧盟数位单一市场的潜在破坏性风险。
欧盟委员会在2021年启动RED修订,将网路安全纳入核心合规要求。这项决策源于两项关键认知:• 安全预设设计(Secure by Default):物联网设备需在设计阶段即内建防护机制,而非事后补救。• 分级管控:针对不同设备风险(如网路连接、数据处理、电子支付),分别制定3.3(d)(e)(f)条款,精准针对各类威胁。
EN 18031系列标准是RED指令网路安全要求的技术规范与实施基准,分为三部份(EN 18031-1/2/3),对应RED第3.3条款的不同安全层面(网路损害防 护、隐私保护、防诈欺)。
上述的(d/e/f)三大类均属于所谓的"安全资产"的通类评估后才分属于(网路/隐私/金流三大类资产) 。
法规执行时间轴:
• 2025年1月30日,欧盟委员会正式将EN 18031系列标准列入《欧盟官方公报》(OJ)的《无线电设备指令》(RED)协调标准清单,标志着该系列标准成为欧盟境内无线电设备网络安全合规的重要依据。
• 2025年8月1日起,RED指令中的网络安全条款Article 3.3(d)、(e)和(f)将强制生效!
法规更新要点:
RED指令第3.3条新增要求:
• 3.3(d):针对能自行连接网路的设备(如手机、智慧家电),要求防止设备危害网路运作(如阻断服务攻击),并禁止滥用频宽资源。
• 3.3(e):针对处理个人/位置数据的设备(如穿戴装置、儿童玩具),强制实施端到端加密、存取控制,并对接 GDPR 第 4 条与《电子通讯隐私指令》。
• 3.3(f):针对支援电子支付的设备(如行动支付终端、加密货币硬体钱包),强化交易验证机制(如多因素认证),防范诈骗与虚拟货币盗用。
• 豁免范围:(EU) 2017/745(医疗器械)、(EU) 2017/746(体外诊断医疗器械)、 (EU) 2018/1139(民用航空安全)、(EU) 2019/2144(车辆类型认可)和指令 (EU) 2019/520(电子道路收费系统)涵盖的无线电设备免于遵守第 3(3)(e) 和 (f) 条。
(EU) 2025/138 安全与合规重点要求:
• 默认密码问题:设备如果有密码设置功能的前提条件下,如果允许用户不设置或使用密码,则相关标准不被认可为符合指令的基本要求。这意味着设备必须强制用户设置密码,以确保安全性。
• 玩具和儿童护理设备的访问控制:如果未能确保家长或监护人的访问控制,则不满足指令的基本要求。这意味着这些设备必须具备让家长或监护人能够控制的机制。
• 金融资产的安全更新:安全更新评估标准规定了多种实施类别,单独的任何一种方法都不足以处理金融资产的安全。这意味着需要综合考虑多种安全措施来确保金融资产的安全。
备注:需要NB的类型: 没有密码的IoT装置& 蓝牙装置有透过APP登录身分与密码或者蓝牙联网者 &玩具类(儿童手表/录音玩偶) &婴儿监视器 &支付类或者有涉及加密货币者
我们秉承科学严谨的工作态度,以客户为中心,高效统筹安排测试计划,竭力缩短测试时间的周期,为客户提供快捷、公正的第三方咨询检测等服务。服务区域遍布广东广州、深圳、东莞、佛山、中山、珠海、清远、惠州、茂名、揭阳、梅州、江门、肇庆、汕头、潮州、河源、韶关及全国各地如您有相关产品需要咨询,欢迎您直接来电咨询我司工作人员,获得详细的费用报价与周期方案等信息,深圳讯科期待您的光临!