欧盟委员会于2022年发布了RED指令补充授权法案(EU) 2022/30,对无线电设备的网络安全、隐私保护和反欺诈等方面提出了明确要求。该法案将于2025年8月1日正式实施,届时无线电设备必须符合RED指令第3(3)条(d)、(e)和(f)点的网络信息安全要求才能进入欧盟市场销售。
◆ 标准解读
一、标准协调性|
RED指令相关条款 |
协调标准 |
限制条件 |
|
Article 3:Section 3.3(d): 无线电设备不会损害网络或其功能,也不会滥用网络资源,从而导致不可接受的服务降级。 |
EN 18031-1:2024 Common security requirements for radio equipment - Part 1: Internet connected radio equipment |
要求用户必须设置和使用密码。若允许用户不设置密码,EN 18031-1/2/3标准都将丧失协调性。 |
|
Article 3:Section 3.3(e): 无线电设备包含保护措施,以确保用户和订户的个人数据和隐私得到保护。 |
EN 18031-2:2024 Common security requirements for radio equipment - Part 2: radio equipment processing data, namely Internet connected radio equipment, childcare radio equipment, toys radio equipment and wearable radio equipment |
要求必须确保父母或监护人的访问控制。若采用“自主访问控制”等不兼容模式,EN 18031-2标准将丧失协调性。 |
|
Article 3:Section 3.3(f): 无线电设备支持某些功能,确保防止欺诈。 |
EN 18031-3:2024Common security requirements for radio equipment - Part 3: Internet connected radio equipment processing virtual money or monetary value |
要求通过多重机制实施安全更新。如果单独使用一种方法(如数字签名或访问控制)实施安全更新,不足以满足金融安全需求,EN 18031-3标准将丧失协调性。 |
二、适用范围
根据RED指令补充授权法案(EU) 2022/30的要求,新规适用的产品包含以下三类:
■ 适用范围内的产品示例
三、测试要求
为了确保测试要求能够在三个并列标准(EN 18031-1/2/3)之间保持一致,新标准引入了“资产”这一概念作为主要测试对象,并对“资产”进行分类,各类资产对应着不同的标准测试要求。
|
标准 |
EN 18031-1 |
EN 18031-2 |
EN 18031-3 |
|
RED指令相关条款 |
3.3.(d) |
3.3.(e) |
3.3.(f) |
|
Security asset 安全资产 |
√ |
√ |
√ |
|
Network asset 网络资产 |
√ |
- |
- |
|
Privacy asset 隐私资产 |
- |
√ |
- |
|
Financial asset 金融资产 |
- |
- |
√ |
|
标准 |
通用要求 |
特殊要求 |
|
EN 18031-1 |
访问控制-Access Control 认证验证-Authentication 安全升级-Secure Update 安全存储-Secure Storage 安全通信-Secure Communication 加密算法-Confidential Cryptographic Keys 通用设备能力-General Equipment Capabilities 密码最佳实践- Cryptographic Best Practice |
对于安全和网络资产: 弹性恢复- Resilience 网络监控- Network Monitoring 流量控制- Traffic Control |
|
EN 18031-2 |
对于安全和隐私资产: 父母控制 - Parental Control 日志- Logging 删除- Deletion 用户通知- User Notification 对外获取信息- External Sensing Capabilities |
|
|
EN 18031-3 |
对于安全和金融资产: 日志– Logging 设备完整性- Equipment Integrity (Secure Boot) |
