HQTS简报 | 2025年8月起,无线电设备必须符合EN 18031系列网络安全标准
来源:汉斯曼集团(HQTS) 2025-03-24
2025年1月30日,欧盟委员会在其官方期刊《Office Journal》(以下简称OJ)宣布,EN 18031系列标准已被纳入《无线电设备指令》(Directive 2014/53/EU)的协调标准,这一决定标志着该系列标准将成为欧盟境内无线电设备网络安全合规的重要依据。
新规将于2025年8月1日起强制执行。这意味着,所有在欧盟市场销售的无线设备,自2025年8月1日起必须满足这一网络安全新规的强制要求。未达标产品将面临市场准入限制,制造商需加速布局合规策略。
一、EN 18031系列标准的组成
EN 18031系列标准包括三个部分,每部分针对不同类型的无线电设备及其安全要求,2022年欧盟委员会还根据第3(3)条引入了网络安全要求,具体内容如下:
EN 18031-1:2024
适用范围:互联网连接的无线电设备。
支持要求:符合《无线电设备指令》第3(3)(d)条款的基本要求(引入了“防止网络损害和服务退化”的网络安全要求)
EN 18031-2:2024
适用范围:包括互联网连接设备、儿童护理设备、玩具设备和可穿戴设备。
支持要求:符合《无线电设备指令》第3(3)(e)条款的基本要求(引入了“保护个人数据和用户隐私”的网络安全要求)
EN 18031-3:2024
适用范围:处理虚拟货币或货币价值的无线电设备。
支持要求:符合《无线电设备指令》第3(3)(f)条款的基本要求(引入了“防止处理虚拟货币的无线设备欺诈的措施”的网络安全要求)
二、EN 18031系列协调标准在OJ中主要限制条款
限制1:关于“理由”和“指南”部分
1、适用范围:EN 18031-1:2024/ EN 18031-2:2024 / EN 18031-3:2024
2、内容:这些部分仅为制造商提供参考信息,不赋予合规推定。制造商无需进行第三方合格评定,但需注意这些内容并非规范要求。
限制2:默认密码问题
1、适用范围:EN 18031-1:2024 / EN 18031-2:2024 / EN 18031-3:2024
2、内容:标准允许用户不设置密码,但这可能导致身份验证风险。制造商若忽视此条款,可能无法满足RED指令的基本要求。
限制3:玩具和儿童保育设备的访问控制
1、适用范围:EN 18031-2:2024
2、内容:标准涉及玩具和儿童保育设备的访问控制机制。如果制造商不实施家长或监护人控制,可能无法解决身份验证风险,进而影响合规性。
限制4:安全更新的评估标准
1、适用范围:EN 18031-3:2024
2、内容:标准涉及安全更新的评估,但单独使用任何一种方法(如数字签名或访问控制)都不足以处理金融资产风险。因此,制造商必须进行第三方合格评定。
三、EN 18031系列标准主要评估项目
|
标准 |
通用要求 |
特殊要求 |
|
|
EN 18031-1 |
访问控制 认证验证 安全升级 安全存储 安全通信 加密算法 通用设备能力 密码最佳实践 |
对于安全和网络资产: 弹性恢复 网络监控 流量控制 |
|
|
EN 18031-2 |
对于安全和隐私资产: 父母控制 日志 删除 用户通知 对外获取信息 |
||
|
EN 18031-3 |
对于安全和金融资产: 日志 设备完整性 |
||
