一、欧盟EN 18031网络安全认证简介
EN 18031是欧盟针对无线电设备网络安全、隐私保护和防欺诈能力的强制性标准,属于欧盟无线电设备指令(RED)的补充法规(EU 2022/30)。目的是确保联网设备(如手机、可穿戴设备等)具备抵御网络攻击、保护用户隐私和防止金融欺诈的能力,增强消费者对产品的信任。
该法案要求所有进入欧盟市场的无线电设备必须符合RED指令第3(3)条(d)、(e)和(f)点的网络信息安全要求,否则将禁止销售,将于2025年8月1日起强制实施。
二、适用范围和要求
(一)EN 18031-1:互联网连接的无线电设备检测
l 手机、平板电脑
l Wi-Fi路由器和网关
l 联网空调、冰箱和其他家用电器
l 智能电视/电视盒和3G/4G/5G设备
l 所有具有 wi-Fì 通信功能的设备
l 车载联网组件
l 能源系统中的电源转换器
联网功能安全要求:针对互联网连接的无线电设备,主要评估网络资产的安全性,包括抵御网络攻击、防止网络资源滥用和服务中断等。
(二)EN 18031-2:联网无线电设备、儿童无线电设备、玩具无线电设备和可穿戴无线电设备等
l 包括TWS在内的蓝牙连接手机、耳机或音响
l 智能手表和其他可移动设备
l 智能传感器、空气净化器、吸尘器
l 婴儿监视器和3G/4G/5G设备
l 车载联网组件
l GPS跟踪设备
数据安全要求:针对处理个人数据的无线电设备,重点关注隐私保护,要求设备具备访问控制、数据加密和隐私保护机制。
(三)EN 18031-3:通过连接互联网处理虚拟货币或货币价值的无线电设备
l POS机、ATM机
l 支持任何类型转账的设备
金融功能安全要求:针对处理虚拟货币或货币价值的设备,要求具备防止欺诈的功能,如日志记录、软件完整性验证等。
三、标准解析
EN 18031系列标准分为三部分,分别为EN 18031-1、EN 18031-2和EN 18031-3,分别对应RED指令第3(3)条款的(d)、(e)、(f)要求。EN 18031系列标准的部分章节在一些情况下不被认为是协调的,没有协调的情况下产品必须通过指定公告机构(NB)完成认证,方可投入市场。
RED指令条款 | 对应协调标准EN 18031 | 限制条件 |
Article 3.3 (d):与网络保护相关的设备;(互联网连接的无线电设备) | EN 18031-1无线电设备的共同安全要求-第1部分: 连接互联网的无线电设备; | 要求用户必须设置和使用密码。若允许用户不设置密码,EN 18031-1/2/3标准都将丧失协调性。 |
Article 3.3 (e):处理个人数据、交通数据或位置数据的设备; | EN 18031-2无线电设备的共同安全要求-第2部分: 无线电设备数据处理,即联网无线电设备、儿童无线电设备、玩具无线电设备和可穿戴无线电设备; | 要求必须确保父母或监护人的访问控制。若采用“自主访问控制”等不兼容模式,EN 18031-2标准将丧失协调性。 |
Article 3.3 (f):使持有者或用户能够转移由 EU Directive 2019/713 Article 2 (d) 中定义的金钱、货币价值或虚拟货币的无线电设备。 | EN 18031-3无线电设备的共同安全要求-第3部分: 通过连接互联网处理虚拟货币或货币价值的无线电设备。 | 要求通过多重机制实施安全更新。如果单独使用一种方法(如数字签名或访问控制)实施安全更新,不足以满足金融安全需求,EN 18031-3标准将丧失协调性。 |
注意:
⑴ RED指令Article 3: Section 3.3(d),(e),(f)的要求不适用于MDR法规范围内的医疗器械设备。
⑵ RED指令Article 3: Section 3.3(e),(f)的要求不适用Regulation (EU) 2018/1139、Regulation (EU) 2019/2144和Directive (EU) 2019/520法规范围内的航空或道路交通相关设备。
四、测试要求
为了确保测试要求能够在三个并列标准(EN 18031-1/2/3)之间保持一致,新标准引入了“资产”这一概念作为主要测试对象,并对“资产”进行分类,各类资产对应着不同的标准测试要求。
标准 | EN 18031-1 | EN 18031-2 | EN 18031-3 |
RED指令相关条款 | 3.3.(d) | 3.3.(e) | 3.3.(f) |
Security asset 安全资产 | √ | √ | √ |
Network asset 网络资产 | √ | _ | _ |
Privacy asset 隐私资产 | _ | √ | _ |
Financial asset 金融资产 | _ | _ | √ |
EN 18031系列标准的测试内容如下表所示,要求对这些测试内容进行“概念评估Conceptual assessment”、“功能完整性评估Functional completeness assessment”和“功能充分性评估Functional sufficiency assessment”。
标准 | 通用要求 | 特殊要求 |
EN 18031-1 | 访问控制-Access Control 认证验证-Authentication 安全升级-Secure Update 安全存储-Secure Storage 安全通信-Secure Communication 加密算法-Confidential Cryptographic Keys 通用设备能力-General Equipment Capabilities 密码最佳实践- Cryptographic Best Practice | 对于安全和网络资产: 弹性恢复- Resilience 网络监控- Network Monitoring 流量控制- Traffic Control |
EN 18031-2 | 对于安全和隐私资产: 父母控制 - Parental Control 日志- Logging 删除- Deletion 用户通知- User Notification 对外获取信息- External Sensing Capabilities | |
EN 18031-3 | 对于安全和金融资产: 日志– Logging 设备完整性- Equipment Integrity (Secure Boot) |
五、评估范围和证书类型
需要确定您的产品是否符合RED的网络安全要求范围。RED DA评估标准判定参考:
1、所有能连接到互联网的无线电产品都需要考虑EN 18031-1。
2、无线电产品(涉及个人数据/流量数据/定位数据),同时属于可连接互联网设备/婴幼儿照看设备/儿童玩具/可穿戴设备,则需要考虑EN 18031-2。
3、无线电设备,可以连接互联网,同时涉及虚拟货币支付等,需要考虑EN 18031-3。
证书和报告类型:
1、NB证书+报告;
2、VOC+报告;
3、评估报告。
六、合规建议
EN-18031网络安全要求将于2025年8月1日开始强制执行,且所有在该日期之前进入欧盟市场并继续销售的产品也必须符合新要求,制造商需要尽快采取行动,确保无线产品符合这些网络安全标准。
佳誉检测作为专业的第三方检测认证服务机构,具备CMA、CNAS、CBTL、CCC等资质,同时获得国内外多个权威认证机构实验室认可,配备先进的仪器设备,拥有技术精湛的专业技术队伍,具备丰富的行业服务经验和雄厚的检测技术能力,精通各类法规标准,佳誉检测可为客户提供RED DA一站式网络安全测试和认证服务,如需了解RED指令EN 18031标准的网络信息安全要求,或者获取欧盟EN 18031网络安全认证合规解决方案。欢迎联系我们!
