EN18031系列标准纳入欧盟协调标准。近日,欧盟委员会在其官方期刊《Office Journal》(以下简称OJ)宣布,EN 18031系列标准已被纳入《无线电设备指令》(Directive 2014/53/EU)的协调标准。这一决定旨在进一步规范无线电设备的网络安全要求,提升设备进入欧盟市场的合规性和安全性。由于EN 18031系列标准所列的网络安全要求将于2025年8月1日起强制执行,对于无线设备制造商来说,这是一个重大的变化。
EN 18031系列标准由欧洲标准化委员会(CEN)制定和欧洲电工委员会(CENELEC)联合制定开发,主要针对无线电设备的网络安全需求。该系列标准的纳入标志着欧盟在推动无线电设备网络安全方面迈出了重要一步,为制造商提供了清晰的技术路线,同时简化了设备进入欧盟市场的流程。
EN 18031系列标准包括以下三个部分,每部分针对不同类型的无线电设备及其安全要求,2022年欧盟委员会还根据第3(3)条引入了网络安全要求:
EN 18031-1:2024
适用范围:互联网连接的无线电设备。
支持要求:符合《无线电设备指令》第3(3)(d)条款的基本要求(引入了“防止网络损害和服务退化”的网络安全要求)
EN 18031-2:2024
适用范围:包括互联网连接设备、儿童护理设备、玩具设备和可穿戴设备。
支持要求:符合《无线电设备指令》第3(3)(e)条款的基本要求(引入了“保护个人数据和用户隐私”的网络安全要求)
EN 18031-3:2024
适用范围:处理虚拟货币或货币价值的无线电设备。
支持要求:符合《无线电设备指令》第3(3)(f)条款的基本要求(引入了“防止处理虚拟货币的无线设备欺诈的措施”的网络安全要求)
EN 18031-1:2024:如果允许用户不设置或使用任何密码(条款6.2.5.1和6.2.5.2),则不符合《指令》第3(3)(d)条款的要求。
标准中“rationale”和“guidance”的章节不提供符合《指令》第3(3)(d)条款基本要求的推定。
EN 18031-2:2024:如果允许用户不设置或使用任何密码(条款6.2.5.1和6.2.5.2),则不符合《指令》第3(3)(e)条款的要求。
对于儿童设备等特定类型的设备,如果未确保父母或监护人的访问控制(如条款6.1.3.4.2等),也不符合《指令》第3(3)(e)条款的要求。
标准中“rationale”和“guidance”的章节不提供符合《指令》第3(3)(e)条款基本要求的推定。
EN 18031-3:2024:如果允许用户不设置或使用任何密码(条款6.2.5.1和6.2.5.2),则不符合《指令》第3(3)(f)条款的要求。
协调标准EN 18031-3:2024的第6.3.2.4条包括安全更新的评估标准。根据数字签名、安全通信机制、访问控制机制或其他,列出了四种不同的实施类别。没有单独一种方法足以处理金融资产安全评估。第6.3.2.4条适用的协调标准 EN 18031-3:2024所涵盖的产品的制造商,无论产品如何设计,都无法确保产品符合RED(Radio Equipment Directive)指令中第3(3)(f)条款中规定的基本要求,因此第三方合格评价的介入是强制性的。
标准中“rationale”和“guidance”的章节不提供符合《指令》第3(3)(f)条款基本要求的推定。
这些限制表明,虽然EN 18031系列标准为无线电设备提供了网络安全框架,但在某些情况下,设备可能无法完全满足《无线电设备指令》的基本要求,尤其是在以下方面:
用户密码的设置和使用。
涉及虚拟货币的设备的安全评估。
依据《无线电设备指令》的基本要求,对于未完全应用(有限制)、未应用或尚不存在协调标准的无线电设备,一致性评估过程必须由指定的公告机构(Notified Body)参与审查。
对制造商的影响
EN 18031系列标准的实施将推动制造商加强设备的网络安全性,同时为用户提供更高的安全保障。这一系列标准的发布还将规范欧盟市场内无线电设备的安全标准,提升消费者对无线电设备的信任。
由于RED的网络安全要求将于2025年8月1日起强制执行,强制执行日之后进入欧盟市场的产品都需要符合要求,因此制造商必须迅速采取行动,使无线产品符合网络安全要求。
1、确认产品是否适用限制条款
2、记录额外安全措施
3、选择合适的认证路径
