欧盟于2025年8月1日起强制执行RED网络安全协调标准EN 18031系列,该标准覆盖所有具备无线通信功能的设备,未通过认证的产品将无法进入欧盟市场。以下是关于该认证的详细介绍:
一、认证背景与核心目标
背景:随着物联网(IoT)设备在欧盟市场的普及,网络安全问题日益凸显,DDoS攻击、个人数据外泄、金融诈骗等事件频发,成为欧盟数位单一市场的潜在破坏性风险。
核心目标:通过分层安全机制,确保设备在联网环境下的网络防护、隐私保护和金融交易安全。
二、认证标准与适用范围
EN 18031系列标准:分为EN 18031-1、EN 18031-2和EN 18031-3三个子标准,分别对应RED指令第3.3条款的(d)、(e)、(f)要求。
EN 18031-1:针对互联网连接的无线电设备,如智能手机、Wi-Fi路由器、车载信息娱乐系统等。要求设备具备抵御DDoS攻击的能力,通信链路需采用TLS1.3或WPA3加密,固件更新需通过数字签名验证,并承诺至少2年的安全补丁支持。
EN 18031-2:针对处理个人数据的无线电设备,如儿童智能手表、健康手环、车载GPS等。要求设备对生物数据(如心率、位置)进行加密存储,并支持用户一键删除。儿童设备需强制家长控制,日志记录仅保留必要信息。
EN 18031-3:针对虚拟货币相关的无线电设备,如POS机、加密货币硬件钱包等。要求设备具备防篡改设计,交易日志需保存至少5年,并支持多重身份验证。
豁免范围:医疗器械、体外诊断医疗器械、民用航空安全、车辆类型认可和电子道路收费系统等涵盖的无线电设备免于遵守部分条款。
三、认证要求与流程
强制用户设置密码:设备如果有密码设置功能,必须强制用户设置强密码(如8字符以上,含大小写、符号),禁止默认密码。
数据加密与访问控制:处理个人数据的设备需采用端到端加密,并实施多层级访问认证。
安全更新机制:固件更新需通过数字签名验证,防止恶意固件入侵。
认证流程:
确定适用标准:根据设备功能确定适用EN 18031-1、EN 18031-2或EN 18031-3。
选择认证路径:低风险设备可通过自我声明方式合规;涉及限制条款或处理敏感数据的设备必须通过公告机构评估。
准备技术文档:包括技术设计说明书、风险评估报告、测试记录等。
进行技术整改:确保设备满足认证要求,如禁用默认密码、具备安全更新机制等。
实验室测试:选择具备EN 18031资质的第三方机构进行测试。
公告机构审核(如需):若产品涉及限制条款,需通过公告机构进行审核,审核通过后颁发相关证书。
四、认证成本与周期
认证成本:整体费用通常在5000到150000欧元之间,具体金额视产品复杂程度而定。主要成本包括技术评估费用、认证机构费用、合规准备成本和后续维护费用。
认证周期:常规流程为3-6个月,加急可缩短至2个月。
