歐盟委員會于2022年發布了RED指令補充授權法案(EU) 2022/30,對無線電設備的網絡安全、隱私保護和反欺詐等方面提出了明確要求。該法案將于2025年8月1日正式實施,屆時無線電設備必須符合RED指令第3(3)條(d)、(e)和(f)點的網絡信息安全要求才能進入歐盟市場銷售。
法規脈絡
01 標準協調性
EN 18031系列標準分為三部分,分別為EN 18031-1、EN 18031-2和EN 18031-3,分別對應RED指令第3(3)條款的(d)、(e)、(f)要求。EN 18031系列標準的部分章節在一些情況下不被認為是協調的,沒有協調的情況下產品必須通過指定公告機構(NB)完成認證,方可投入市場。
RED指令相關條款 | 協調標準 | 限制條件 |
| Article 3:Section 3.3(d):無線電設備不會損害網絡或其功能,也不會濫用網絡資源,從而導致不可接受的服務降級。 | EN 18031-1:2024 Common security requirements for radio equipment - Part 1: Internet connected radio equipment | 要求用戶必須設置和使用密碼。若允許用戶不設置密碼,EN 18031-1/2/3標準都將喪失協調性。 |
| Article 3:Section 3.3(e):無線電設備包含保護措施,以確保用戶和訂戶的個人數據和隱私得到保護。 | EN 18031-2:2024 Common security requirements for radio equipment - Part 2: radio equipment processing data, namely Internet connected radio equipment, childcare radio equipment, toys radio equipment and wearable radio equipment | 要求必須確保父母或監護人的訪問控制。若采用“自主訪問控制”等不兼容模式,EN 18031-2標準將喪失協調性。 |
| Article 3:Section 3.3(f):無線電設備支持某些功能,確保防止欺詐。 | EN 18031-3:2024Common security requirements for radio equipment - Part 3: Internet connected radio equipment processing virtual money or monetary value | 要求通過多重機制實施安全更新。如果單獨使用一種方法(如數字簽名或訪問控制)實施安全更新,不足以滿足金融安全需求,EN 18031-3標準將喪失協調性。 |
02 適用范圍
根據RED指令補充授權法案(EU) 2022/30的要求,新規適用的產品包含以下三類:
1、直接或間接連接互聯網的無線設備;
2、涉及用戶隱私數據處理的設備,如兒童看護設備、玩具、穿戴式設備等;
3、互聯網貨幣支付、轉賬、交易設備。
注意:①RED指令Article 3:Section 3.3(d),(e),(f)的要求不適用于MDR法規范圍內的醫療器械設備。②RED指令Article 3:Section 3.3(e),(f)的要求不適用Regulation (EU) 2018/1139、Regulation (EU) 2019/2144和Directive (EU) 2019/520法規范圍內的航空或道路交通相關設備。
03 測試要求
為了確保測試要求能夠在三個并列標準(EN 18031-1/2/3)之間保持一致,新標準引入了“資產”這一概念作為主要測試對象,并對“資產”進行分類,各類資產對應著不同的標準測試要求。
標準 | EN 18031-1 | EN 18031-2 | EN 18031-3 |
| RED指令相關條款 | 3.3.(d) | 3.3.(e) | 3.3.(f) |
| Security asset 安全資產 | √ | √ | √ |
Network asset 網絡資產 | √ | ||
Privacy asset 隱私資產 | √ | ||
Financial asset 金融資產 | √ |
EN 18031系列標準的測試內容如下表所示,要求對這些測試內容進行“概念評估Conceptual assessment”、“功能完整性評估Functional completeness assessment”和“功能充分性評估Functional sufficiency assessment”。
標準 | 通用要求 | 特殊要求 |
| EN 18031-1 | 訪問控制-Access Control 認證驗證-Authentication 安全升級-Secure Update 安全存儲-Secure Storage 安全通信-Secure Communication 加密算法-Confidential Cryptographic Keys 通用設備能力-General Equipment Capabilities 密碼最佳實踐- Cryptographic Best Practice | 對于安全和網絡資產: 彈性恢復- Resilience 網絡監控- Network Monitoring 流量控制- Traffic Control |
| EN 18031-2 | 對于安全和隱私資產: 父母控制 - Parental Control 日志- Logging 刪除- Deletion 用戶通知- User Notification 對外獲取信息- External Sensing Capabilities | |
| EN 18031-3 | 對于安全和金融資產: 日志– Logging 設備完整性- Equipment Integrity (Secure Boot) |