欧盟法规丨8月1日实施-RED指令网络信息安全EN 18031标准

2025年1月30日欧盟委员会在《欧盟官方公报》 (OJEU) 上发布(EU) 2025/138决议，正式将EN 18031系列标准列名成为RED Article 3.3 d/e/f的协调标准。

️EN 18031系列标准

由欧洲标准化委员会（CEN）制定和欧洲电工委员会（CENELEC）联合制定开发，主要针对无线电设备的网络安全需求，包括以下三个部分。

️EN 18031-1:2024

适用范围：互联网连接的无线电设备。

支持要求：符合《无线电设备指令》第3(3)(d)条款的基本要求（引入了“防止网络损害和服务退化”的网络安全要求）

️EN 18031-2:2024

适用范围：包括互联网连接设备、儿童护理设备、玩具设备和可穿戴设备。

支持要求：符合《无线电设备指令》第3(3)(e)条款的基本要求（引入了“保护个人数据和用户隐私”的网络安全要求）

️EN 18031-3:2024

适用范围：处理虚拟货币或货币价值的无线电设备。

支持要求：符合《无线电设备指令》第3(3)(f)条款的基本要求（引入了“防止处理虚拟货币的无线设备欺诈的措施”的网络安全要求）

️适用范围

▶直接或间接连接互联网的无线设备；

▶涉及用户隐私数据处理的设备，如儿童看护设备、玩具、穿戴式设备等；

▶互联网货币支付、转账、交易设备。

️EN 18031系列的限制条款

EN 18031系列被列入OJ，允许企业采用自声明或者第三方合格评定方式满足合规要求，但制造商需要特别注意其官方限制条款，否则可能无法通过合规声明。

️01

限制一：标准中的“背景”与“指南”章节无效

EN 18031-1/2/3中的“rationale”（制定背景）和“guidance”（实施指南）章节仅作参考，不作为合规依据。

️02

限制二：允许用户不设置密码（包含PIN码）

如果设备采用鉴别密码的方式进行用户身份认证，且允许用户不设置或使用任何密码（包含PIN码）的情况下使用产品，则不能采用自评估声明的形式宣称合规。

举例来说，若手机、平板设备如果允许“无密码使用”，须采用第三方合格评定路径。

但请注意，如设备配对采用密钥进行身份认证而非密码，则可以采用自评估声明的形式合规。

️03

限制三：特殊场景的额外要求

️A：对于儿童玩具与监护设备（EN 18031-2适用）：

若设备采用基于角色、自主或强制访问控制，但不支持家长/监护人控制管理权限，则不能采用自评估声明宣称合规，须采用第三方合格评定方式。

例如：涉及产品包括儿童玩具、可穿戴设备、婴儿监护类无线电设备。

️但由于儿童玩具和监护设备相对风险较高，高度建议企业采用第三方合格评定路径。

️B：金融功能设备（EN 18031-3适用）：

涉及产品包括支持虚拟货币交易的无线电设备（如支付终端、加密货币硬件钱包）。若仅满足标准中的“安全更新”条款（如数字签名、安全通信等单一措施）不足以防范金融风险，需结合多重防护机制。须采用第三方合格评定方式。