欧盟 RED 网络安全法规 EN 18031

1. 📂 EN 18031

1.1 背景

1.2 专业术语

1.3 覆盖产品范围

1.4 EN 18031标准主要评估内容：

1.5 EN 18031标准主要评估项目：

1.6 EN 18031 与 ETSI EN 303 645 的主要差异

1.7 RED 网络安全法规解读研讨会

2. 🔱 EN 18031解读与实践

3. ✅ 参考

1. 📂 EN 18031

1.1 背景

2022 年 1 月 12 日，欧盟官方公报发布了授权法规 2022/30/EU，要求执行 RED 第 3.3(d)、(e) 和 (f) 条的合规要求。该法规要求对欧盟市场上适用的无线设备进行网络安全、个人数据隐私和欺诈保护，旨在确保此类设备具有更高水平的网络安全，并增强消费者对其的信心。该法案于 2022 年 2 月 1 日生效，并于 2025 年 8 月 1 日强制执行，为设备制造商提供了 42 个月的过渡期。

在此背景下，欧盟于 2024 年 5 月发布了 RED 网络安全要求适用的草稿标准 prEN 18031 Final Draft – FprEN 18031，本文简称 EN 18031。

1.2 专业术语

术语名称	描述
CE	Conformite Europeenne 欧洲统一，CE 标志是一种进入欧盟市场的强制性安全认证标志
CE-RED 认证	简称 Red 认证(欧洲无线产品认证)，Radio Equipment Directive 无线电设备指令，进入欧盟市场的无线产品必须通过的测试认证，具备无线发射频率的产品需要通过此认证（如：蓝牙设备、WiFi 设备、GPS 定位等）
SGS	Société Générale de Surveillance 瑞士通用公证行，SGS 根据标准、法规、客户要求等条件，提供对目标进行符合性认证的服务，是全球领先的检验、鉴定、测试和认证机构

1.3 覆盖产品范围

授权法规 2022/30/EU 涵盖了可以通过互联网直接或通过其他设备进行通信（间接）的设备和可能暴露敏感个人数据的无线电设备。例如：

手机、平板电脑和笔记本电脑；
无线玩具和儿童安全设备，例如婴儿监视器；
可穿戴设备，例如智能手表和健身追踪器。

具体法规条款对应的产品范围如下：

Article 3.3 (d)：与网络保护相关的设备；
Article 3.3 (e)：处理个人数据、交通数据或位置数据的设备；
Article 3.3 (f)：使持有者或用户能够转移由 EU Directive 2019/713 Article 2 (d) 中定义的金钱、货币价值或虚拟货币的无线电设备。

1.4 EN 18031标准主要评估内容：

2022/30/EU 法规条款	对应草稿标准	评估内容
2022/30/EU 法规条款	对应草稿标准	安全资产&风险	网络资产&风险	隐私资产&风险	金融资产&风险
Article 3.3 (d)	EN 18031-1	√	√
Article 3.3 (e)	EN 18031-2	√		√
Article 3.3 (f)	EN 18031-3	√			√

1.5 EN 18031标准主要评估项目：

标准号	通用评估项目	独有评估项目
EN 18031-1	访问控制机制认证机制安全更新机制安全存储机制安全通信机制密钥机密性通用设备能力要求密码学最佳实践	针对设备中所包含的安全和网络资产，还需评估如下项目：弹性机制网络监控机制流量控制机制
EN 18031-2		针对设备中所包含的安全和隐私资产，还需评估如下项目：针对儿童玩具的访问控制机制日志记录机制删除机制用户通知机制外部感知能力文档
EN 18031-3		针对设备中所包含的安全和金融资产，还需评估如下项目：日志记录机制设备启动进程完整性和软件可信真实性

1.6 EN 18031 与 ETSI EN 303 645 的主要差异

EN 18031 与 ETSI EN 303 645 的要求有很多相似之处，但对被测设备提出了更高的要求，且多项要求中均提供了 “不适用” 条件，为产品通过符合性评估增加了灵活性和标准适用范围。总的来说，如果产品符合 ETSI EN 303 645，对企业和其产品通过 EN 18031 标准评估将十分有利。