一、从RED指令到EN 18031:合规维度发生了哪些变化
2025年8月1日,欧盟无线电设备指令(RED 2014/53/EU)第3.3(d)、(e)、(f)条款进入强制实施阶段。这三项条款分别涉及网络防护、个人隐私保护和防欺诈能力。与以往RED框架下的射频、电磁兼容、电气安全测试不同,网络安全合规更强调产品设计、文档证据和全生命周期管理的系统性。
EN 18031系列(EN 18031-1/-2/-3)由CEN/CLC于2024年8月发布,2025年1月28日经实施决定 (EU) 2025/138 纳入RED协调标准清单。制造商若完整应用该系列标准,其产品将被推定符合对应RED条款要求。这一路径为多数消费电子、智能家居、工业无线设备提供了相对明确的合规通道。
二、EN 18031三部分标准的适用边界
| 标准编号 | 对应RED条款 | 适用对象 | 核心目标 |
|---|---|---|---|
| EN 18031-1 | 第3.3(d)条 | 可联网的无线电设备 | 防止设备损害网络或其基本功能 |
| EN 18031-2 | 第3.3(e)条 | 处理个人数据、流量数据或位置数据的设备 | 保护个人隐私与数据安全 |
| EN 18031-3 | 第3.3(f)条 | 涉及货币转移的联网无线电设备 | 建立防欺诈技术措施 |
判断是否适用时,需要关注设备的实际连接能力。例如,机电之家网等B2B平台上常见的工业无线模块、智能电机控制器、无线传感器等产品,若集成Wi-Fi、蓝牙、Zigbee等联网能力,通常需要纳入EN 18031-1评估范围。
三、合规落地的关键节点
在实际项目中,EN 18031合规通常不是一个独立的测试环节,而是贯穿产品开发和文档准备的全过程。以下是一个常见的工作节点示意:
上述流程中的关键节点有两个:
- 产品联网能力判定:不仅看设备是否直接联网,还要考虑通过手机APP、网关、云端服务间接联网的场景。
- 替代方案评估:如果产品设计未完全遵循EN 18031中的某项要求,而是采用了等效替代方案,则通常需要公告机构参与评估。
四、实际评估中容易忽视的细节
4.1 默认密码问题
EN 18031-1明确禁止通用默认密码,要求首次使用时强制修改。这一点看似简单,但在实际项目中常被忽略。例如,设备出厂时统一使用"admin/admin",或在固件升级后重置为默认密码,均可能触发不符合项。
4.2 安全更新机制
标准对固件/软件更新的完整性验证提出了要求。仅依赖HTTP下载更新包、缺乏签名校验、或更新失败无回滚机制,都是常见的不符合点。
4.3 儿童设备的特殊要求
针对儿童使用的联网设备(如智能玩具、婴儿监视器),EN 18031-2要求具备不可绕过的家长控制机制。这一要求在隐私保护评估中需要单独验证。
4.4 金融交易场景的数据完整性
EN 18031-3适用于移动支付设备、POS终端、加密货币硬件钱包等产品。除了防篡改设计,还需要对每笔交易进行审计记录,并在启动时验证固件完整性。
上图展示了无线电设备测试场景的一部分。图片来自机电之家网公开资料,发布前建议检查是否带有水印,避免被平台判定为商业推广。
五、技术文档准备经验
在多个项目中,技术文档的完整性和一致性往往是审核重点。通常需要准备以下材料:
| 文档类别 | 主要内容 |
|---|---|
| 安全架构文档 | 数据流图(DFD)、威胁模型(如STRIDE分析) |
| 风险评估报告 | 识别的安全风险及缓解措施 |
| 渗透测试报告 | 覆盖常见物联网风险项的测试记录 |
| 软件物料清单(SBOM) | 软件组件、版本、开源许可信息 |
| 安全更新策略 | 支持周期、更新验证机制、漏洞响应流程 |
需要特别注意的是,这些文档应当与产品实际设计保持一致。文档中描述的安全机制如果在产品中未实现,或实现方式与描述不符,都会导致合规风险。
六、常见误区澄清
Q1:EN 18031测试与传统RED测试(EMC/RF/Safety)是同一个报告吗?
不是。网络安全评估与电磁兼容、射频、安全测试是相互独立的项目,但最终需纳入同一套技术文档,并签署同一份符合性声明(DoC)。
Q2:非联网的无线电设备是否适用EN 18031?
EN 18031-1适用于联网设备。如果设备不能通过互联网直接或间接通信,则不在第3.3(d)条管控范围内。但通过手机APP间接联网的设备仍被视为联网设备。
Q3:使用协调标准是否一定不需要公告机构?
如果产品完整应用协调标准,且未采用标准未覆盖的替代方案,可以进行自我声明。一旦存在替代方案或特殊设计,通常需要公告机构参与评估。
Q4:医疗器械是否豁免?
MDR法规范围内的医疗器械豁免RED第3.3(d)(e)(f)条款要求。但普通健康类设备(如健身追踪器、智能体重秤)不在豁免范围内。
七、小结
EN 18031的实施标志着欧盟对无线电设备网络安全的监管从原则性要求进入可执行的技术评估阶段。对于制造商而言,尽早将网络安全设计纳入产品开发流程,建立完整的技术文档证据链,是避免上市延误的关键。
与机电之家网等平台常见的传统机电产品不同,现代联网设备的安全合规不仅取决于硬件设计,还涉及固件、软件、云端接口和更新机制的全链条管理。这一变化对研发团队和合规人员都提出了新的能力要求。
数据来源声明:本文依据欧盟官方公报(OJ)、RED指令2014/53/EU、授权法规(EU) 2022/30、实施决定(EU) 2025/138及EN 18031系列标准公开资料整理。相关法规和标准如有更新,以官方发布版本为准。