EN 18031是欧盟为响应RED指令(2014/53/EU)第3(3)条新增的网络安全、隐私保护和反欺诈基本要求而发布的协调标准(Harmonised Standard)。该标准依据欧盟委员会授权法案(EU) 2022/30制定,并将于2025年8月1日正式强制实施。
自此日期起,所有投放欧盟市场的、属于该法规适用范围的无线电设备,都必须满足这些新的信息安全要求,否则将面临禁售风险。这标志着欧盟对联网设备的安全监管进入了一个全新阶段。
EN 18031标准适用的产品范围
该标准适用于大多数可接入互联网的无线终端设备,具体对应RED指令第3(3)条的(d)、(e)、(f)点:
- 第3(3)(d)条: “与网络保护相关的设备”。例如:路由器、交换机、防火墙、智能家居网关等具有网络连接和管理功能的设备。
- 第3(3)(e)条: “处理个人数据、交通数据或位置数据的设备”。例如:智能摄像头、智能门锁、可穿戴设备、智能家电、智能手机、平板电脑、儿童智能手表等。
- 第3(3)(f)条: “使持有者或用户能够转移金钱、货币价值或虚拟货币的无线电设备”。例如:具有支付功能的智能手表、手机等。
标准的核心要求与评估要点
EN 18031旨在确保设备具备基本的信息安全属性,主要包括以下几个方面:
- 安全漏洞管理: 制造商需建立流程,识别并及时修复已识别的安全漏洞。
- 软件更新安全: 确保通过安全的方式提供软件更新,防止被篡改。
- 敏感数据保护: 对存储或传输的个人数据、支付凭证等敏感信息进行安全保护(如加密)。
- 抵御非法访问: 防止对设备或本地网络的未授权访问。
- 最小化攻击面: 减少不必要的网络端口、服务或功能。
- 安全开发生命周期: 在软件设计和开发过程中融入安全考量。
合规评估通常包括文档审查、源代码/二进制分析、渗透测试、配置审查等多种方法。
合规路径与时间表
强制生效日期:2025年8月1日。 在此之后,新投放市场的适用产品必须符合要求。在此日期之前已投放市场的产品不受追溯。
合规路径: 制造商需要通过应用EN 18031标准(或能够证明达到同等安全水平的其他方法)来满足RED指令的基本要求,并将此纳入技术文件(TCF)和符合性声明(DoC)中。对于高风险或复杂产品,可能需要公告机构(Notified Body)的参与。
晟安国际认证的EN 18031应对服务
面对即将到来的强制性要求,晟安国际认证已提前布局,为企业提供全方位支持:
- 合规差距分析与预评估: 通过专业工具和清单,帮助客户快速识别现有产品与EN 18031要求之间的差距。
- 一站式测试与认证服务: 我们已获得欧盟公告机构(如西班牙Applus+)的授权,可提供从漏洞扫描、渗透测试、文档审核到最终协助取得NB证书的全流程服务。
- 设计阶段安全咨询: 为新产品研发提供安全设计(Security by Design)咨询服务,从源头构建安全能力,降低后期整改成本和风险。
- 技术文件升级支持: 协助客户更新现有的RED指令技术文件,纳入网络安全符合性证据。
- 快速自检工具: 为客户提供在线自查工具和清单,便于企业内部进行初步评估。
我们致力于帮助客户从容应对全球日益严格的产品网络安全法规,确保产品持续合规。
