最新消息

重要！EN 18031系列標準正式成為CE RED指令協調標準，並將於2025年8月1日起強制執行！

2025年03月21日


法規更新背景：

隨著物聯網（IoT）設備在歐盟市場的普及，從智慧手錶到嬰兒監視器，數十億台設備已成為日常生活的核心。然而，2014年《無線電設備指令》（RED）尚未預見此波浪式成長，當時的法規框架未涵蓋網路安全防護。結果，DDoS 攻擊、個人資料外泄、金融詐騙等事件頻傳，成為歐盟數位單一市場的潛在破壞性風險。

歐盟執委會在2021年啟動RED修訂，將網路安全納入核心合規要求。這項決策源於兩項關鍵認知：
安全預設設計（Secure by Default）：物聯網設備需在設計階段即內建防護機制，而非事後補救。
分級管控：針對不同設備風險（如網路連接、數據處理、電子支付），分別制定3.3(d)(e)(f)條款，精準針對各類威脅。

EN 18031系列標準為 RED 網路安全要求的技術規範及實施基準，分為三部分（EN 18031-1/2/3），對應RED第3.3條款的不同安全面向（網路損害防護、隱私保護、防詐欺）。
上述 (d)/(e)/(f) 三大項均屬「安全資產」之共通評估範疇，後續再細分為「網路」「隱私」「金流」三類資產。

法規執行時間軸：
2025年1月30日，歐盟執委會正式將EN 18031系列標準列入《歐盟官方公報》（OJ）的《無線電設備指令》（RED）協調標準清單，標誌著該系列標準成為歐盟境內無線電設備網絡安全合規的重要依據。2025年8月1日起，RED指令中的網絡安全條款Article 3.3(d)、(e)和(f)將強制生效！

法規更新要點：
RED指令第3.3條新增要求：
• 3.3(d)：針對能自行連接網路的設備（如手機、智慧家電），要求防止設備危害網路運作（如阻斷服務攻擊），並禁止濫用頻寬資源。
• 3.3(e)：針對處理個人/位置數據的設備（如穿戴裝置、兒童玩具），強制實施端到端加密、存取控制，並對接 GDPR 第 4 條與《電子通訊隱私指令》。
• 3.3(f)：針對支援電子支付的設備（如行動支付終端、加密貨幣硬體錢包），強化交易驗證機制（如多因素認證），防範詐騙與虛擬貨幣盜用。
• 豁免範圍：(EU) 2017/745（醫療器械）、(EU) 2017/746（體外診斷醫療器械）、 (EU) 2018/1139（民用航空安全）、(EU) 2019/2144（車輛安全）和指令 (EU) 2019/520（電子道路收費系統）涵蓋的無線電設備免於遵守第 3.3(e)和(f)條。

(EU) 2025/138 安全與合規重點要求：
• 默認密碼問題：設備如果有密碼設置功能的前提條件下，如果允許用戶不設置或使用密碼，則相關標準不被認可為符合指令的基本要求。這意味著設備必須強制用戶設置密碼，以確保安全性。
• 玩具和兒童護理設備的存取控制：如果未能確保家長或監護人的存取控制，則不滿足指令的基本要求。這意味著這些設備必須具備讓家長或監護人能夠控制的機制。
• 金融資產的安全更新：安全更新評估標準規定了多種實施類別，單獨的任何一種方法都不足以處理金融資產的安全。這意味著需要綜合考慮多種安全措施來確保金融資產的安全。

備註(需要NB的類型)：
沒有密碼的IoT裝置
涉及兒童使用但無家長控制
支付類或者有涉及加密貨幣者

BACL技術專家建議：
製造商應確保其產品符合EN 18031標準，並在2025年8月1日之前完成合規性評估。BACL是RED的NB機構，我們熟悉EN 18031系列標準的要求並且具有豐富的實戰經驗，同時在ETSI EN 303 645方面也已經有長期的經驗，歡迎您咨詢。

歐盟官網連結：
Implementing decision - 2025/138 - EN - EUR-Lex

BACL網路安全檢測認證能力：
共同準則（CC）
即ISO/IEC 15408，是國際公認的網路安全認證中的高級別標準，旨在確保資訊系統、產品與服務的安全效能達到國際認可的水準。BACL作為具備 CC 評估授權的單位，已擁有超過10年的豐富經驗。

物聯網安全標準（loT）
• EN 18031/EN 301 549
• ETSI/EN 303 645
• IECEE CB 發證資質
• PSTI 英國網絡安全法案資質
• NIST 美國網絡安全評估資質
• ISO 27001/27701/GDPR

BACL 網路安全服務優勢
• 研發階段的網路資訊安全咨詢與評估
• 英國PSTI 法案咨詢與評估
• CE RED 指令網絡安全咨詢與評估
• 美國加州SB-327 咨詢與評估
• 美國FCC 自願性網絡安全認證咨詢與評估
• 巴西、新加坡及全球其他國家地區網絡安全咨詢與評估