[導讀]:
法規更新背景:
隨著(zhù)物聯(lián)網(wǎng)(IoT)設備在歐盟市場(chǎng)的普及����,從智慧手表到嬰兒監視器���,數十億臺設備已成為日常生活的核心��。然而�,2014年《無(wú)線(xiàn)電設備指令》(RED)尚未預見(jiàn)此波浪式成長(cháng)�,當時(shí)的法規框架未涵蓋網(wǎng)路安全防護����。結果�,DDoS 攻擊��、個(gè)人數據外泄�����、金...
法規更新背景:
隨著(zhù)物聯(lián)網(wǎng)(IoT)設備在歐盟市場(chǎng)的普及�����,從智慧手表到嬰兒監視器�����,數十億臺設備已成為日常生活的核心�����。然而��,2014年《無(wú)線(xiàn)電設備指令》(RED)尚未預見(jiàn)此波浪式成長(cháng)�����,當時(shí)的法規框架未涵蓋網(wǎng)路安全防護�����。結果�����,DDoS 攻擊��、個(gè)人數據外泄����、金融詐騙等事件頻傳���,成為歐盟數位單一市場(chǎng)的潛在破壞性風(fēng)險�����。
歐盟委員會(huì )在2021年啟動(dòng)RED修訂��,將網(wǎng)路安全納入核心合規要求��。這項決策源于兩項關(guān)鍵認知:
安全預設設計(Secure by Default):物聯(lián)網(wǎng)設備需在設計階段即內建防護機制��,而非事后補救��。
分級管控:針對不同設備風(fēng)險(如網(wǎng)路連接����、數據處理����、電子支付)���,分別制定3.3(d)(e)(f)條款���,精準針對各類(lèi)威脅��。
EN 18031系列標準是RED指令網(wǎng)路安全要求的技術(shù)規范與實(shí)施基準���,分為三部分(EN 18031-1/2/3)�����,對應RED第3.3條款的不同安全層面(網(wǎng)路損害防護��、隱私保護��、防詐欺)�����。
上述的(d/e/f)三大類(lèi)均屬于所謂的"安全資產(chǎn)"的通類(lèi)評估后才分屬于(網(wǎng)路/隱私/金流三大類(lèi)資產(chǎn))�����。
法規執行時(shí)間軸:
2025年1月30日���,歐盟委員會(huì )正式將EN 18031系列標準列入《歐盟官方公報》(OJ)的《無(wú)線(xiàn)電設備指令》(RED)協(xié)調標準清單�����,標志著(zhù)該系列標準成為歐盟境內無(wú)線(xiàn)電設備網(wǎng)絡(luò )安全合規的重要依據�����。2025年8月1日起��,RED指令中的網(wǎng)絡(luò )安全條款Article 3.3(d)���、(e)和(f)將強制生效��!
法規更新要點(diǎn):
RED指令第3.3條新增要求:
• 3.3(d):針對能自行連接網(wǎng)路的設備(如手機��、智慧家電)�,要求防止設備危害網(wǎng)路運作(如阻斷服務(wù)攻擊)���,并禁止濫用頻寬資源����。
• 3.3(e):針對處理個(gè)人/位置數據的設備(如穿戴裝置�����、兒童玩具)�����,強制實(shí)施端到端加密�、存取控制����,并對接 GDPR 第 4 條與《電子通訊隱私指令》��。
• 3.3(f):針對支援電子支付的設備(如行動(dòng)支付終端����、加密貨幣硬體錢(qián)包)����,強化交易驗證機制(如多因素認證)����,防范詐騙與虛擬貨幣盜用�。
• 豁免范圍:(EU) 2017/745(醫療器械)��、(EU) 2017/746(體外診斷醫療器械)���、 (EU) 2018/1139(民用航空安全)��、(EU) 2019/2144(車(chē)輛類(lèi)型認可)和指令 (EU) 2019/520(電子道路收費系統)涵蓋的無(wú)線(xiàn)電設備免于遵守第 3(3)(e) 和 (f) 條�����。
(EU) 2025/138 安全與合規重點(diǎn)要求:
• 默認密碼問(wèn)題:設備如果有密碼設置功能的前提條件下��,如果允許用戶(hù)不設置或使用密碼��,則相關(guān)標準不被認可為符合指令的基本要求�。這意味著(zhù)設備必須強制用戶(hù)設置密碼����,以確保安全性�。
• 玩具和兒童護理設備的訪(fǎng)問(wèn)控制:如果未能確保家長(cháng)或監護人的訪(fǎng)問(wèn)控制����,則不滿(mǎn)足指令的基本要求�����。這意味著(zhù)這些設備必須具備讓家長(cháng)或監護人能夠控制的機制���。
• 金融資產(chǎn)的安全更新:安全更新評估標準規定了多種實(shí)施類(lèi)別��,單獨的任何一種方法都不足以處理金融資產(chǎn)的安全�。這意味著(zhù)需要綜合考慮多種安全措施來(lái)確保金融資產(chǎn)的安全����。
備注:
需要NB的類(lèi)型: 沒(méi)有密碼的IoT裝置&藍牙裝置有透過(guò)APP登錄身分與密碼或者藍牙聯(lián)網(wǎng)者&玩具類(lèi)(兒童手表/錄音玩偶) &嬰兒監視器 &支付類(lèi)或者有涉及加密貨幣者���。
BACL技術(shù)專(zhuān)家建議:
制造商應確保其產(chǎn)品符合EN 18031標準���,并在2025年8月1日之前完成合規性評估��。BACL是RED的NB機構���,我們熟悉EN 18031系列標準的要求并且具有豐富的實(shí)戰經(jīng)驗����,同時(shí)在ETSI EN 303 645方面也已經(jīng)有長(cháng)期的經(jīng)驗����,歡迎您咨詢(xún)����。
歐盟官網(wǎng)鏈接:
https://eur-lex.europa.eu/eli/dec_impl/2025/138/oj/eng
BACL網(wǎng)絡(luò )安全檢測認證能力:
通用標準(CC)
即ISO/IEC 15408��,是國際公認的網(wǎng)絡(luò )安全認證中的高級別標準�,旨在確保信息系統��、產(chǎn)品與服務(wù)的安全性能達到國際認可的水平�����。BACL作為具備CC 評估授權的單位�����,已擁有超過(guò)10 年的豐富經(jīng)驗�����。
物聯(lián)網(wǎng)安全標準(loT)
• ETSI/EN 303 645
• (RED) article 3/3 d/e/f 網(wǎng)絡(luò )安全資質(zhì)
• IECEE CB 發(fā)證資質(zhì)
• PSTI 英國網(wǎng)絡(luò )安全法案資質(zhì)
• NIST 美國網(wǎng)絡(luò )安全評估資質(zhì)
• ISO 27001/27701/GDPR
BACL網(wǎng)絡(luò )安全服務(wù)優(yōu)勢
• 研發(fā)階段的網(wǎng)絡(luò )信息安全咨詢(xún)與評估
• 英國PSTI 法案咨詢(xún)與評估
• CE RED 指令網(wǎng)絡(luò )安全咨詢(xún)與評估
• 美國加州SB-327 咨詢(xún)與評估
• 美國FCC 自愿性網(wǎng)絡(luò )安全認證咨詢(xún)與評估
• 巴西�����、新加坡及全球其他國家地區網(wǎng)絡(luò )安全咨詢(xún)與評估
服務(wù)熱線(xiàn):18566797115
官方微信
網(wǎng)站地圖
