跨境电商交易会2.png)
MFCompliance
8月1日起
欧盟强制推行网络安全认证新标准 EN18031
EN 18031是欧盟针对无线电设备网络安全、隐私保护和防欺诈能力的强制性标准,属于欧盟无线电设备指令RED(2014/53/EU)的补充法规(EU 2022/30)。目的是确保联网设备(如手机、可穿戴设备等)具备抵御网络攻击、保护用户隐私和防止金融欺诈的能力,增强消费者对产品的信任。
该法案要求所有进入欧盟市场的无线电设备必须符合RED指令第3(3)条(d)、(e)和(f)点的网络信息安全要求,否则将禁止销售,将于2025年8月1日起强制实施。
1、适用范围和要求
● 手机、平板电脑
● Wi-Fi路由器和网关
● 联网空调、冰箱和其他家用电器
● 智能电视/电视盒和3G/4G/5G设备
● 所有具有 wi-Fì 通信功能的设备
● 车载联网组件
● 能源系统中的电源转换器
联网功能安全要求:针对互联网连接的无线电设备,主要评估网络资产的安全性,包括抵御网络攻击、防止网络资源滥用和服务中断等。
●包括TWS在内的蓝牙连接手机、耳机或音响
● 智能手表和其他可移动设备
● 智能传感器、空气净化器、吸尘器
● 婴儿监视器和3G/4G/5G设备
● 车载联网组件
● GPS跟踪设备
数据安全要求:针对处理个人数据的无线电设备,重点关注隐私保护,要求设备具备访问控制、数据加密和隐私保护机制。
● POS机、ATM机
● 支持任何类型转账的设备
金融功能安全要求:针对处理虚拟货币或货币价值的设备,要求具备防止欺诈的功能,如日志记录、软件完整性验证等。
2、标准解析
EN 18031系列标准分为三部分,分别为EN 18031-1、EN 18031-2和EN 18031-3,分别对应RED指令第3(3)条款的(d)、(e)、(f)要求。EN 18031系列标准的部分章节在一些情况下不被认为是协调的,没有协调的情况下产品必须通过指定公告机构(NB)完成认证,方可投入市场。
|
RED指令条款 |
对应协调标准EN 18031 |
限制条件 |
|
Article 3.3 (d):与网络保护相关的设备;(互联网连接的无线电设备) |
EN 18031-1无线电设备的共同安全要求-第1部分: 连接互联网的无线电设备; |
要求用户必须设置和使用密码。若允许用户不设置密码,EN 18031-1/2/3标准都将丧失协调性。 |
|
Article 3.3 (e):处理个人数据、交通数据或位置数据的设备; |
EN 18031-2无线电设备的共同安全要求-第2部分: 无线电设备数据处理,即联网无线电设备、儿童无线电设备、玩具无线电设备和可穿戴无线电设备; |
要求必须确保父母或监护人的访问控制。若采用“自主访问控制”等不兼容模式,EN 18031-2标准将丧失协调性。 |
|
Article 3.3 (f):使持有者或用户能够转移由 EU Directive 2019/713 Article 2 (d) 中定义的金钱、货币价值或虚拟货币的无线电设备。 |
EN 18031-3无线电设备的共同安全要求-第3部分: 通过连接互联网处理虚拟货币或货币价值的无线电设备。 |
要求通过多重机制实施安全更新。如果单独使用一种方法(如数字签名或访问控制)实施安全更新,不足以满足金融安全需求,EN 18031-3标准将丧失协调性。 |
注意:
⑴ RED指令Article 3: Section 3.3(d),(e),(f)的要求不适用于MDR法规范围内的医疗器械设备。
⑵ RED指令Article 3: Section 3.3(e),(f)的要求不适用Regulation (EU) 2018/1139、Regulation (EU) 2019/2144和Directive (EU) 2019/520法规范围内的航空或道路交通相关设备。
3、评估范围和证书类型
需要确定您的产品是否符合RED的网络安全要求范围。RED DA评估标准判定参考:
1、所有能连接到互联网的无线电产品都需要考虑EN 18031-1。
2、无线电产品(涉及个人数据/流量数据/定位数据),同时属于可连接互联网设备/婴幼儿照看设备/儿童玩具/可穿戴设备,则需要考虑EN 18031-2。
3、无线电设备,可以连接互联网,同时涉及虚拟货币支付等,需要考虑EN 18031-3。
证书和报告类型:
1、NB证书+报告;
2、评估报告。
MFCompliance
EN 18031系列标准常见问题解答
1、直接或者间接连接互联网:即能够直接/间接连接互联网的产品定要做(间接连接互联网定义:通过中间设备或网络来访问互联网。把中间设备的连接介质断开,如果可以操控IOT设备,则该设备要做认证)。例如:带WI-FI、5G功能模块的产品。
2、连接互联网且具备数据处理功能:即具备数据处理功能的产品一定要做。例如:智能手环会记录运动数据,需要做认证。而蓝牙连接的按摩仪,因为按摩仪只是一个执行设备,不采集数据,所以不需要做认证。
3、连接互联网且具备支付功能等金融属性的产品一定要做。
是的,欧盟通过授权法规(EU)2022/30,将网络安全要求纳入《无线电设备指令》(RED)的合规框架,并发布配套标准EN18031系列。该法规要求自2025年8月1日起,所有出口至欧盟的无线电设备必须通过EN18031认证,否则禁止进入欧盟市场。
找有技术能力和资质的实验室补做网络安全报告。
EN 18031系列标准的强制实施,是欧盟网络安全监管的重要一步也是企业进入欧盟市场必须跨越的门槛。抓住机遇,积极行动,完成相关检测认证,以确保无线产品符合网络安全要求。
麦蜂合规云拥有专业的技术团队和丰富的产品检测经验,可为企业提供从标准解读、技术整改到认证的一站式服务,如果您有需要,请随时与我们联系,我们的工程师将在第一时间为您服务!
