IT/AV终端检测认证事业部

    在网络安全日益重要的今天，欧盟对无线电设备指令（RED）的要求也在不断提升。最新消息显示，EN18031系列标准即将正式发布，为行业带来更明确的网络安全规范。

    （一）标准发布时间及背景

    2022年1月12日，欧盟官方公报发布了授权法规2022/30/EU，要求执行RED第3.3(d)、(e)和(f)条的合规要求。该法规要求对欧盟市场上适用的无线设备进行网络安全、个人数据隐私和欺诈保护，旨在确保此类设备具有更高水平的网络安全，并增强消费者对其的信心。该法案于2022年2月1日生效，并于2025年8月1日强制执行，为设备制造商提供了42个月的过渡期。

    在此背景下，欧盟于2024年5月发布了RED网络安全要求适用的草稿标准pr EN18031 Final Draft-Fpr EN18031。

    2024年5月，欧盟发布了网络安全标准EN18031系列标准的最终版草案，并向成员国征求投票意见。经过积极投票，EN18031系列标准已经获得通过，预计将于2024年8月30日正式发布。该标准将作为无线电设备指令（RED）下的协调标准，旨在证明产品符合RED指令中的网络安全要求。

    （二）与ETSIEN303645的对比

    EN18031系列标准与现有的ETSI EN303645标准相比，有以下变化：

    EN18031与ETSI EN303645的要求有很多相似之处，但对被测设备提出了更高的要求，且多项要求中均提供了“不适用”条件，为产品通过符合性评估增加了灵活性和标准适用范围。总的来说，如果产品符合ETSI EN303645，对企业和其产品通过EN18031标准评估将十分有利。

    EN18031-1、EN18031-2和EN18031-3在AnnexC中明确了与ETSIEN303645的要求对比，为方便企业精准了解两个标准之间的具体差异，GTG网络安全专家在针对EN18031编写测试计划时对以上三本标准与ETSI EN303645重合与覆盖度做了详细梳理。

    （三）无线厂商须知——产品范围/标准内容

    授权法规2022/30/EU涵盖了可以通过互联网直接或通过其他设备进行通信（间接）的设备和可能暴露敏感个人数据的无线电设备。例如：

    1.手机、平板电脑和笔记本电脑
    2.无线玩具和儿童安全设备，例如婴儿监视器
    3.可穿戴设备，例如智能手表和健身追踪器

    具体法规条款对应的产品范围如下：

    Article3.3(d)：与网络保护相关的设备
    Article3.3(e)：处理个人数据、交通数据或位置数据的设备
    Article3.3(f)：使持有者或用户能够转移由EU Directive 2019/713 Article2(d)中定义的金钱、货币价值或虚拟货币的无线电设备

    EN18031系列标准分为三个部分，分别对应RED指令中的不同网络安全要求：

    1.EN18031-1：确保无线电设备不会对网络或其运行产生有害影响，避免滥用网络资源导致服务严重影响。适用于任何可以通过互联网进行通信的无线电设备。

    2.EN18031-2：确保无线电设备具有安全措施，保护用户和订户的个人数据和隐私。适用于处理个人数据或流量数据的设备，包括互联网连接设备、儿童看护设备、符合Toys Directive规定的设备以及佩戴在人体或衣服上的设备。

    3.EN18031-3：确保无线电设备具有安全措施，保护用户和订户的个人数据和隐私。适用于允许用户转移货币或虚拟货币的联网无线电设备。

    可以确定RED指令中的Article3.3(d)/(e)/(f)，分别由EN18031系列的-1/-2/-3进行阐述。

    标准的实施及预期

    在EN18031系列标准发布后，它需要欧盟的最终批准，并列入欧盟官方公报（OJ），才能正式作为证明符合RED指令的协调标准。行业多数人预期，这一过程将在标准正式发布后不久完成。

    EN18031系列标准的推出，标志着欧盟在网络安全领域的进一步规范和提升。作为无线厂商，及时了解并遵循这一标准，将是确保产品合规并提升市场竞争力的关键。