EN 18031系列標準為RED合規提供了明確路徑,簡化合規流程的同時,但其限制條款也強調了市場進入的要求。製造商應該優先排查高風險部分,同時結合公告機構展開評估。
2025年1月30日歐盟委員會正式將EN 18031系列標準列入《歐盟官方公報》的《無線電設備指令》(RED)協調標準清單,意味著該系列標準成為歐盟境內無線電設備網路安全合規的重要依據。新規將於2025年8月1日起強制實施,製造商應立即採取行動以因應迫在眉睫的要求。
RED指令強化網路安全要求
根據歐盟《無線電設備指令》,所有在歐銷售的無線電設備需滿足網路安全、隱私保護等強制性要求。2022年新增的第3(3)條明確三項核心要求:
・防止網路攻擊與服務中斷(條款d)
・個人資料與隱私保護(條款e)
・防範虛擬貨幣欺詐(條款f)
EN 18031系列的三大限制條款
EN 18031系列標準為上述要求提供了具體技術規範,隨著EN 18031系列被列入歐盟官方公報,並允許企業採用自行聲明或者由公告機構(Notified Body)合格評定方式來滿足合規要求。但製造商需要特別注意其官方限制條款,否則可能無法通過合規聲明。
標準中的背景與指南章節非合規依據
EN 18031-1/2/3中的制定背景(Rationale)和實施指南(Guidance)章節僅作參考,不作合規依據。
允許使用者不設置密碼
如果設備採用鑑別密碼的方式進行使用者身份認證,且允許用戶不設置或使用任何密碼(包含PIN碼)的情況下使用產品,則不能採用自行評估聲明的形式宣稱合規。舉例來說,若手機、平板設備如果允許無密碼使用,須採用公告機構合格評定路徑。但請注意,如設備配對採用金鑰進行身分認證而非密碼,則可以採用自行評估聲明的形式合規。
特殊場景的額外要求
・對於兒童玩具與監護設備(EN 18031-2適用)
若設備採用基於角色、自主或強制存取控制,但不支持家長/監護人控制管理許可權,則不能採用自行評估聲明宣稱合規,須採用公告機構合格評定方式。
例如:涉及產品包括兒童玩具、可穿戴設備、嬰兒監護類無線電設備。但由於兒童玩具和監護設備相對風險較高,高度建議企業採用公告機構合格評定路徑。
・金融功能設備(EN 18031-3適用)
涉及產品包括支援虛擬貨幣交易的無線電設備(如支付終端、加密貨幣硬體錢包)。若僅滿足標準中的安全更新條款(如數位簽章、安全通訊等單一措施)不足以防範金融風險,需結合多重防護機制。須採用公告機構合格評定方式。
總結來說,如果企業在以上三種限制條款的情況下,則無法採用自行評估聲明,必須採用合格評定方式來確保合規。
合規路徑
製造商必做四步驟,鑑於新規將於2025年8月1日起強制執行,製造商必須儘快啟動以下工作:
・確認產品適用範圍:根據EN 18031-1/2/3劃分的設備類別,判斷是否受新規約束。
・深度解讀EN 18031標準條款:全面理解標準適用條款及限制條件。
・合規差距分析:對照標準要求評估現有設計是否滿足限制條款,尤其檢查密碼強制設置、家長控制等功能。
・自我聲明或公告機構介入評估:與公告機構合作是合規要求(若採用標準外替代方案),也是確保符合的關鍵。
EN 18031系列標準為RED合規提供了明確路徑,簡化合規流程的同時,但其限制條款也強調了市場進入的要求。如果設備受限於限制性條款,則依然需要公告機構的參與,簽發歐盟型式認證(EU Type Examination)證書。
當務之急,製造商應該優先排查密碼策略、兒童設備許可權、金融功能防護等高風險部分,同時結合公告機構展開評估,避免因誤讀標準導致產品延遲進入市場。
(本文作者為德國萊因工業服務與資訊安全業務經理)