RED网络安全|EN18031成为有限制协调标准

2025年1月30日，欧盟官方公报OJ正式将EN 18031系列标准列为无线电设备RED指令的协调标准。这一转变赋予了符合RED指令（EU）2014/53基本网络安全要求的法律推定。EN18031系列被列入OJ，制造商可以自我声明，但依据(EU) 2025/138，对EN18031进行了限制。

一、限制内容详解

限制一：基本原理（Rationale）和指南（Guidance）不可作为合规推定依据

原因：EN 18031系列标准中的“基本原理”仅阐述解决风险的必要性，而“指南”提供实施示例，但未明确具体技术规范。因此，这些部分不能作为证明符合（EU）2014/53 Article 3.3的直接依据。

解读：制造商无需对这两部分内容进行第三方合格评定，但仍需确保产品设计符合标准中的强制性技术条款。

限制二：默认密码条款（条款6.2.5.1和6.2.5.2）

原因：若制造商允许用户不设置密码，无法确保符合指令（EU）2014/53 Article 3.3 (d\(e\(f的基本要求。

解读：需通过其他认证机制（如生物识别或多因素认证）控制风险，并提交第三方机构进行合格评定。

限制三：EN18031-2:2024对儿童设备的访问控制缺陷（条款6.1.3-6.1.6）

原因：标准未强制要求家长或监护人对儿童设备（如智能玩具、婴儿监视器）的访问控制机制，可能导致隐私数据泄露风险，无法确保符合（EU）2014/53 Article 3.3 (e的基本要求。

解读：无法确保家长或监理人的访问控制，则需要第三方评估机构进行合格评定。

限制四：EN 18031-3安全更新条款（条款6.3.2.4）

原因：标准定义的四种安全更新方法单独使用时，无法全面覆盖金融资产的风险，无法确保符合保证符合（EU）2014/53 Article 3.3 (f的基本要求。

解读：所有涉及金融功能的设备，无论产品设计如何，必须由第三方评估进行合格评定。

二、常见问题与建议

1.确定产品适用范围：依据RED指令和EN18031系列标准，通过技术文档分析，明确产品是否属于限制条款覆盖范围。

2.自我声明的适用条件：仅当产品完全符合EN 18031的强制性条款且不涉及上述四项限制时，制造商可通过自我声明证明合规。

3.产品属于限制条款范围：若涉及限制条款（如默认密码或儿童设备），必须通过第三方机构进行评估。

4.市场准备：RED网络安全法规将于2025年8月1日强制实施，制造商需要提前做好自我合规或取得符合性证书，避免造成不必要的损失。

对很多产品来说，第三方评估机构的参与至关重要。东电检测软件与信息安全实验室能够提供审核产品适用范围、确认适用限制条款、进行符合性差距分析等一系列服务，助力制造商迅速、高效地满足RED指令要求。