​EN 18031是欧盟无线电设备指令

EN 18031是欧盟无线电设备指令（RED）的网络安全协调标准，于2025年8月1日起强制实施，旨在确保进入欧盟市场的无线电设备符合网络安全、隐私保护和反欺诈要求。以下是关于该标准的详细解析：

标准背景与实施时间

• 法规层级：EN 18031是RED指令（2014/53/EU）的补充标准，具体实施网络安全要求。

• 委托法规：欧盟《授权法规(EU) 2022/30》明确了RED指令第3.3(d)、(e)、(f)条的网络安全、隐私保护和反欺诈要求。

• 实施时间：EN 18031系列标准于2024年8月发布，2025年1月纳入欧盟官方公报，2025年8月1日起强制执行。

  
  

标准体系结构

EN 18031系列标准分为三部分，分别对应RED指令第3.3条的(d)、(e)、(f)款：

1. EN 18031-1: 网络保护要求

• 访问控制机制：实施基于角色的访问控制（RBAC），禁止默认用户名/密码，支持多因素认证。

• 安全通信机制：采用TLS 1.2+加密传输，验证服务器证书链。

• 安全更新机制：OTA更新需加密传输，更新包需数字签名验证，支持自动回滚。

• 流量控制机制：实施带宽限制和QoS管理，防止DDoS攻击。

• 适用设备：所有具备网络连接功能的无线设备（如智能手机、路由器、智能家居设备）。

• 核心要求：

2. EN 18031-2: 隐私保护要求

• 数据Zui小化：仅收集必要个人信息。

• 加密存储：采用AES-256加密敏感数据。

• 用户同意机制：明确数据处理同意流程，支持数据删除和可携带权利。

• 儿童保护：提供监护人控制功能（如物理按键+LED指示灯或管理员账户权限分级）。

• 适用设备：处理个人数据的设备（如可穿戴设备、儿童护理设备）。

• 核心要求：

3. EN 18031-3: 防欺诈要求

• 交易安全：集成多因素认证（生物识别+动态验证码），交易日志保留至少180天。

• 硬件安全：采用硬件安全模块（HSM）保护密钥，交易密钥与设备管理密钥分离存储。

• 实时监控：建立反欺诈系统，支持交易完整性验证和异常风险评估。

• 适用设备：处理虚拟货币或货币价值的设备（如POS机、加密货币钱包）。

• 核心要求：

适用范围与豁免领域

1. 适用设备：

• 直接或间接连接互联网的无线设备（如蓝牙设备、Wi-Fi设备）。

• 处理用户隐私数据的设备（如智能手表、健康监测设备）。

• 涉及金融交易的设备（如移动支付终端、加密货币硬件钱包）。

2. 豁免领域：

• 业余无线电设备（非商业用途）。

• 民用航空机载设备及部件（属216/2008号法规监管）。

• 船舶专用无线电设备（属96/98/EC指令监管）。

• 定制评估套件（仅用于专业研发测试，非商业流通）。

合规路径与认证流程

1. 自我声明路径（采用协调标准）：

• 编制技术文档（包括设计图、元件清单、风险评估报告）。

• 执行合格评定程序，签署EU符合性声明。

• 加贴CE标志。

• 适用条件：产品完全满足EN 18031相应部分的所有要求。

• 流程：

2. 公告机构评估路径（必须情况）：

• 向RED公告机构提交技术资料（包括硬件/软件架构、数据流程图、安全更新策略）。

• 经独立评估和测试后获得EU型式检查证书。

• 适用条件：未完全满足EN 18031标准要求，或产品设计存在标准未覆盖的特殊情况。

• 流程：

技术文档要求

根据RED指令附件II，必须准备以下文档：

1. 基础技术文档：

• 设备的一般描述、概念设计图、元件和子装配件清单。

• 适用的协调标准清单（如EN 18031-1/2/3）。

• 未适用协调标准时的设计计算结果。

2. 网络安全专项文档：

• EN 18031-1：网络安全风险评估、访问控制机制说明、安全更新程序。

• EN 18031-2：数据处理影响评估（DPIA）、隐私保护措施说明、用户同意机制。

• EN 18031-3：金融安全架构设计、欺诈检测机制、交易安全流程。

市场影响与责任

1. 市场禁入风险：2025年8月1日起，不合规设备禁止在欧盟销售。

2. 法律责任：伪造CE标志或故意销售不合规产品，可能被追究刑事责任。

3. 连带责任：进口商、分销商未履行合规核查义务，需承担共同召回成本。

4. 经济责任：销售不合规产品可能面临Zui高企业全球营业额4%的罚款。