EN 18031 資安系列標準成為 RED 協調標準

法規動態

為支援歐盟無線電設備指令 (Radio Equipment Directive, RED)，歐盟將 EN 18031 資安系列標準納入為 RED (Directive 2014/53/EU) 的協調標準。這意味製造商必須制定策略並採取行動，以因應這項很快就會在 2025 年 8 月 1 日起強制執行的規定！

歐盟委員會近期在其官方期刊《Office Journal》(以下簡稱 OJ）宣布：EN 18031 系列標準已獲納入成為《無線電設備指令》(Directive 2014/53/EU) 的協調標準。

這個決議的最主要目的是為了進一步規範無線電設備的網路安全要求，以提升設備進入歐盟市場的法規符合性和安全性。由於 EN 18031 系列標準所列的網路安全要求將會在 2025 年 8 月 1 日起強制執行，對於無線設備製造商來說，此不僅是一項形式上的重大變化，而是必須立即做出因應的行動策略。

背景與意義

EN 18031 系列標準係由歐洲標準化委員會 (CEN) 和歐洲電工委員會 (CENELEC) 聯合開發制定，主要針對無線電設備的網路安全需求做出規範。其在獲納入成為 RED 的協調標準，正代表歐盟在推動無線電設備網路安全上，邁出了至關重要的一步 ── 除了能為製造商提供一套更為清晰的技術規範，同時亦簡化設備進入歐盟市場的流程。

EN 18031 系列標準的組成

EN 18031 系列標準針對不同類型的無線電設備及其對應的安全要求，涵蓋三個部分。2022 年歐盟委員會則根據第 3(3) 條納入網路安全要求：

EN 18031-1:2024

• 適用範圍：網際網路連接的無線電設備。
• 需求：符合《無線電設備指令》第 3(3)(d) 條款的基本要求 (納入「防止網路損害和服務退化」的網路安全要求)

EN 18031-2:2024

• 適用範圍：包括網際網路連接設備、兒童護理設備、玩具設備和可穿戴設備。
• 需求：符合《無線電設備指令》第 3(3)(e) 條款的基本要求 (納入「保護個人數據和用戶隱私」的網路安全要求)

EN 18031-3:2024

• 適用範圍：處理虛擬貨幣或貨幣價值的無線電設備。
• 需求：符合《無線電設備指令》第 3(3)(f) 條款的基本要求 (納入「防止處理虛擬貨幣的無線設備詐欺的措施」的網路安全要求)

EN 18031 系列協調標準在 OJ 中主要限制什麽？

EN 18031-1:2024

• 假設允許使用者不設置或使用任何密碼 (條款 6.2.5.1 和6.2.5.2)， 則不符合《指令》第 3(3)(d) 條款的要求。
• 標準中 “rationale” 和 “guidance” 的章節不提供符合《指令》第 3(3)(d) 條款基本要求的推定。

EN 18031-2:2024

• 假設允許使用者不設置或使用任何密碼 (條款 6.2.5.1 和 6.2.5.2)，則不符合《指令》第 3(3)(e) 條款的要求。
• 對於兒童設備等特定類型的設備，若未能確保父母或監護人對其的瀏覽權限控制 (如條款 6.1.3.4.2 等)，也不符合《指令》第 3(3)(e) 條款的要求。
• 標準中 “rationale” 和 “guidance” 的章節不提供符合《指令》第 3 (3)(e) 條款基本要求的推定。

EN 18031-3:2024

• 假設允許使用者不設置或使用任何密碼 (條款 6.2.5.1 和 6.2.5.2)，則不符合《指令》第 3(3)(f) 條款的要求。
• 協調標準 EN 18031-3:2024 的第 6.3.2.4 條包括安全更新的評估標準。而根據數位簽名、安全通訊機制、瀏覽權限機制或者其他條件，則列出了四種不同的實施類別。不過值得注意的是，目前尚未有單獨一種方法是能夠足以處理金融資產的安全評估。第 6.3.2.4 條適用的協調標準 EN 18031-3：2024 所涵蓋的產品之製造商，無論產品如何設計，都無法確保產品符合 RED 指令中第 3(3)(f) 條款中規定的基本要求，因此第三方機構執行符合性評估即成為強制性的規定。
• 標準中 “rationale” 和 “guidance” 的章節不提供符合《指令》第 3(3)(f) 條款基本要求的推定。

雖然 EN 18031 系列標準為無線電設備提供了網路安全框架，但在某些情况下，設備可能無法完全滿足《無線電設備指令》的基本要求，尤其是在以下方面：

• 使用者密碼的設置和使用。
• 兒童設備的家長或監護人之瀏覽權限控制。
• 與虛擬貨幣設備相關的安全評估。

依據《無線電設備指令》的基本要求，對於未完全應用 (有限制)、未應用或尚不存在協調標準的無線電設備，一致性評估過程必須由指定的公告機構 (Notified Body) 參與審查。

對製造商的影響

樂觀來看，EN 18031 系列標準的實施將能推動製造商加強設備的網路安全性，同時可以為使用者帶來更高的安全保障。不僅如此，系列標準的發布還將規範歐盟市場內無線電設備的安全標準，提升消費者對無線電設備的信任。

由於 RED 的網路安全要求將在 2025 年 8 月 1 日起就會強制執行，意即在這個強制日後打算進入歐盟市場的產品，皆需要符合要求。因此製造商必須迅速採取行動，使無線產品符合網路安全要求。

以下三個關鍵動作，是製造商必須在現階段完成：

1. 確認產品是否適用限制規範
2. 記錄附加安全措施
3. 選擇適當的認證方式

UL Solutions 的網路安全檢測認證服務

我們在廣泛的產業生態系統中擁有深厚的網路安全差距評估、測試和預防性諮詢專業知識。以下是我們可提供的服務項目：

• 測試和評估服務
• 程式碼審查
• 模糊測試
• 滲透測試
• 漏洞評估
• 靜態程式碼分析
• 結構安全性能評估
• 嵌入式系統分析和韌體評估
• 網路安全認證服務

相關服務探索

• Matter 測試和認證服務
• 物聯網 (IoT) 裝置的 Thread 認證測試
• 5G 測試與法規符合性

主題探索

• 捍衛穿戴式科技的安全
• 美國網路安全信任標誌

相關新聞

• UL Solutions 獲任命為美國第一個聯邦網路安全標籤計畫首席管理者