2025年1月30日,欧盟委员会在《欧盟官方公报》 (OJEU) 上发布了编号为(EU) 2025/138的决定,将 EN 18031-1/2/3三个标准纳入无线电指令(RED)的协调标准中,但附有相应限制条件。
纳入协调标准意味着允许制造商通过提供自我声明来证明其符合法规要求,从而避免公告机构(NB)的参与。但是,如果产品不完全符合要求或不满足限制条件,则必须通过NB机构颁发型式认证证书。
相关限制说明如下
限制一
关于“理由”和“指南”部分
适用范围:EN 18031-1:2024 / EN 18031-2:2024 / EN 18031-3:2024
这些部分仅为制造商提供参考信息,不赋予合规推定。制造商无需进行第三方合格评定,但需注意这些内容并非规范要求。
限制二
默认密码问题
适用范围:EN 18031-1:2024 / EN 18031-2:2024 / EN 18031-3:2024
标准允许用户不设置密码,但这可能导致身份验证风险。制造商若忽视此条款,可能无法满足RED指令的基本要求。
限制三
玩具和儿童保育设备的访问控制
适用范围:EN 18031-2:2024
标准涉及玩具和儿童保育设备的访问控制机制。如果制造商不实施家长或监护人控制,可能无法解决身份验证风险,进而影响合规性。
限制四
安全更新的评估标准
适用范围:EN 18031-3:2024
标准涉及安全更新的评估,但单独使用任何一种方法(如数字签名或访问控制)都不足以处理金融资产风险。因此,制造商必须进行第三方合格评定。
RED网络安全要求和EN 18031标准
背景介绍
无线电设备指令RED要求在欧盟范围内销售的无线电设备必须满足与安全、电磁兼容性和有效频谱使用相关的基本要求。2022年,欧盟委员会还根据第3(3)条引入了网络安全要求:
第3(3)(d)条:防止网络损害和服务退化
第3(3)(e)条:保护个人数据和用户隐私
第3(3)(f)条:防止处理虚拟货币的无线电设备欺诈的措施
EN 18031系列旨在提供统一的标准,该系列标准分为三个部分EN 18031-1/2/3,分别对应RED指令中的不同网络安全要求,旨在帮助制造商证明其产品符合这些新的网络安全要求:
EN18031-1:
确保无线电设备不会对网络或其运行产生有害影响,避免滥用网络资源导致服务严重影响。适用于任何可以通过互联网进行通信的无线电设备。
EN18031-2:
确保无线电设备具有安全措施,保护用户和订户的个人数据和隐私。适用于处理个人数据或流量数据的设备,包括互联网连接设备、儿童看护设备、符合玩具指令规定的设备以及佩戴在人体或衣服上的设备。
EN18031-3:
确保无线电设备具有安全措施,保护用户和订户的个人数据和隐私。适用于允许用户转移货币或虚拟货币的联网无线电设备。