近日,亚马逊欧盟站发布重要公告,自公告发布之日起,所有销往欧盟市场的联网设备,涵盖无线电设备、智能家居产品以及智能穿戴设备等,均需通过EN 18031标准认证,以此证明其符合欧盟《网络安全授权法案》所规定的安全要求。这一举措在相关行业引起了广泛关注。
根据欧盟EU 2025/138实施决定,EN 18031 - 1、EN 18031 - 2、EN 18031 - 3标准于2025年1月30日正式被纳入RED指令(2014/53/EU),成为协调标准。这一纳入强化了无线设备在信息方面的要求,特别是在处理互联网连接设备、玩具以及穿戴式设备等领域,影响深远。
EN 18031系列标准由三个部分构成,针对RED指令中的不同网络安全要求分别制定。EN 18031 - 1主要确保无线电设备不会对网络或其功能产生负面影响,防止滥用网络资源致使服务严重受损,适用于所有能够通过互联网直接或间接通信的无线电设备。EN 18031 - 2提供保护用户和订阅者个人数据及隐私的保障措施,适用于处理个人数据的设备,如联网设备、儿童看护设备、无线玩具和可穿戴设备。EN 18031 - 3则确保支持货币或虚拟货币转移的联网无线电设备具备防范欺诈的功能。
值得注意的是,这套标准的纳入具有限制性。在密码、家长监护以及安全更新方面有额外要求,即便标准接受未设置密码的设备,但RED也不会将其视为合规产品。
在产品范围方面,直接或间接连接互联网的无线设备基本都在其中,判断依据通常是产品能否通过网络或APP更新固件版本。存在金钱交易的无线电设备,无论现金还是虚拟货币交易,都需满足反欺诈能力要求,例如设备是否运用加密机制、保密机制、完整性保护机制,是否存在银行卡信息、交易密码等数据泄露问题。像常规的蓝牙耳机、蓝牙音箱、无线键盘与鼠标,若不能通过APP或客户端联网升级固件,大多不在此范围内;反之,则属于EN 18031 - 1的范畴。
RED - DA作为针对无线电产品的网络安全强制法规,覆盖范围广泛。包括电子设备,如智能手机、平板电脑、电子相机等;电信设备,如路由器、交换机等网络通信设备;物联网设备,如智能家居设备、智能工业控制设备;玩具和儿童保育设备,如婴儿监视器等;可穿戴设备,如智能手表、健身追踪器等;特殊行业设备,如汽车电子、无人机、道路交路管理系统(仅适合EN18031 - 1);金融交易产品,如POS机、其它金融终端机;智慧警报设备,含无线功能的自动报警装置等。不过,具体是否在范围内还需依据标准判定条件确定。
EN 18031系列标准虽允许企业采用自声明或者第三方合格评定方式满足合规要求,但制造商需留意其官方限制条款。其一,EN 18031 - 1/2/3中的“rationale”(制定背景)和“guidance”(实施指南)章节仅作参考,不作为合规依据。其二,若设备采用鉴别密码进行用户身份认证,且允许用户不设置或使用任何密码(包含PIN码)使用产品,则不能采用自评估声明的形式宣称合规,像手机、平板设备若允许“无密码使用”,就须采用第三方合格评定路径;不过,若设备配对采用密钥进行身份认证而非密码,则可采用自评估声明形式合规。其三,特殊场景有额外要求。对于儿童玩具与监护设备(EN 18031 - 2适用),若设备采用基于角色、自主或强制访问控制,但不支持家长/监护人控制管理权限,则不能采用自评估声明宣称合规,须采用第三方合格评定方式,鉴于儿童玩具和监护设备风险较高,高度建议企业采用第三方合格评定路径;对于金融功能设备(EN 18031 - 3适用),涉及产品包括支持虚拟货币交易的无线电设备(如支付终端、加密货币硬件钱包),若仅满足标准中的“安全更新”条款不足以防范金融风险,需结合多重防护机制,须采用第三方合格评定方式,典型产品如联网POS机、联网支付充电桩、联网售卖机。
鉴于新规将于2025年8月1日起强制执行,制造商需尽快行动。首先要确认产品适用范围,依据EN 18031 - 1/2/3划分的设备类别判断是否受新规约束;其次深度解读EN 18031标准条款,全面理解适用条款及限制条件;接着进行合规差距分析,对照标准要求评估现有设计是否满足限制条款,尤其检查密码强制设置、家长控制等功能;最后根据情况选择自我声明或公告机构介入评估,与公告机构合作既是合规要求(若采用标准外替代方案),也是确保符合性的关键。
