欧盟委员会于2022年发布了RED指令补充授权法案(EU) 2022/30,对无线电设备的网络安全、隐私保护和反欺诈等方面提出了明确要求。针对RED中的网络安全要求,欧盟于2024年8月发布EN 18031标准。
2025年1月30日,欧盟委员会正式将EN 18031标准列入《欧盟官方公报》(OJ)的《无线电设备指令》(RED)协调标准清单。该法案将于2025年8月1日正式实施,届时无线电设备必须符合RED指令第3(3)条(d)、(e)和(f)点的网络信息安全要求才能进入欧盟市场销售。其中,EN 18031-1对应RED指令中的Article 3.3(d),聚焦于连接互联网的无线电设备,在保障网络安全、规范市场秩序等方面发挥着关键作用。
适用产品范围:
直接联网的无线电设备:能够独立连接到互联网并进行通信的无线电设备,例如智能手机、平板电脑、智能家居设备等。
间接联网的无线电设备:设备本身不具备独立联网能力,但可通过其他可联网的中介设备(如网关、手机)与互联网通信。
评估要点说明:
EN 18031系列标准将评估对象按资产分为安全资产、网络资产、隐私资产和金融资产四类。
安全资产:关乎设备自身的安全防护机制,如设备的访问控制、认证等功能;
网络资产:侧重于设备与网络交互过程中的安全性,防止对网络造成损害;
隐私资产:聚焦于保护用户的个人数据和隐私,避免数据被非法获取和使用;
金融资产:则主要针对涉及金融交易功能的设备,确保交易安全,防止欺诈。
EN 18031-1标准主要管制安全资产与网络资产两个方面,旨在确保无线电设备在连接互联网时不会对网络或其功能造成损害,并防止滥用网络资源,从而避免服务质量的不可接受下降。
EN 18031-1标准主要测试与评估内容:
安全通信机制:确保设备在进行网络通信时采用安全传输措施,防止未经授权的访问、篡改或重放攻击。如:TLS 加密、WPA2认证、AES-CCM保护;
安全更新机制:确保设备的可更新性,更新过程的安全性。如:通过数字签名验证固件包的完整性、禁用未加密的HTTP通道;
流量控制机制:对于网络设备应有效管理和限制流量,防止未授权的访问。如:IPv4过滤、MAC地址过滤、VPN。