EN 18031欧盟新网络安全标准如何办理?EN 18031是欧盟强制执行的网络安全新规,2025年8月起未合规联网设备将面临禁售。覆盖手机、可穿戴设备等产品,聚焦网络稳定性、隐私保护和金融安全三大风险,违规最高可致召回。
EN 18031系列标准是欧盟为落实《无线电设备指令》(RED 2014/53/EU)网络安全要求而制定的技术规范,旨在解决联网设备的网络稳定性、用户隐私和金融欺诈三大风险。该标准于2024年8月由欧洲标准化委员会(CEN)批准,2025年1月30日列入欧盟官方公报(OJEU),自2025年8月1日起强制执行,未合规产品将面临欧盟市场禁售及召回风险。
EN 18031是欧盟《无线电设备指令》(Radio Equipment Directive, RED)2014/53/EU网络安全要求的具体实施标准。
第3.3条网络安全要求规定:
第3.3(d)条 - 网络保护
"无线电设备应确保不会损害网络及其功能,不得滥用网络资源,从而导致不可接受的服务质量下降"
具体要求:设备不得对网络造成危害、禁止滥用网络资源、必须维护网络服务质量、实施访问控制和身份验证。
第3.3(e)条 - 隐私保护
"处理个人数据的无线电设备,特别是联网设备、儿童护理设备、玩具设备和可穿戴设备,应采取有效措施保护用户个人数据和隐私"
具体要求:个人数据加密存储和传输、实施数据最小化原则、用户同意机制、数据删除和可携带权利。
第3.3(f)条 - 防欺诈
"处理虚拟货币或货币价值的无线电设备应具备防止欺诈的相应功能"
具体要求:金融交易安全机制、防篡改硬件保护、交易完整性验证、欺诈检测和防护。
授权法规 2022/30/EU涵盖了可以通过互联网直接或通过其他设备进行通信(间接)的设备和可能暴露敏感个人数据的无线电设备。例如:
手机、平板电脑和笔记本电脑;
无线玩具和儿童安全设备,例如婴儿监视器;
可穿戴设备,例如智能手表和健身追踪器。
部分豁免产品(需满足其他专项法规):
医疗设备(遵循MDR)、航空设备(EASA认证)、机动车辆(ECE R10)
Article 3.3 (d):与网络保护相关的设备;
Article 3.3 (e):处理个人数据、交通数据或位置数据的设备;
Article 3.3 (f):使持有者或用户能够转移由 EU Directive 2019/713 Article 2 (d) 中定义的金钱、货币价值或虚拟货币的无线电设备;
第一步:设备类型判断
RED第2条适用范围:
是否为"无线电设备"
- 发射和/或接收无线电波用于无线电通信
- 包括WiFi、蓝牙、蜂窝网络等
是否在欧盟市场销售
- 计划在欧盟27国销售
- 包括直接出口和通过分销商销售
第二步:网络安全条款适用性
第3.3(d)条适用判断:
设备是否连接到网络
是否能够更新软件/固件
是否可能影响网络性能
第3.3(e)条适用判断:
是否处理个人数据
是否为儿童设计的产品
是否收集生物识别信息
第3.3(f)条适用判断:
是否处理支付功能
是否涉及虚拟货币
是否存储货币价值
EN 18031-1:2024:互联网连接的无线电设备
EN 18031-1:网络保护要求
适用设备范围:
所有具备网络连接功能的无线设备
能够自动更新软件/固件的设备
接入互联网或局域网的设备
核心要求:此部分标准聚焦于互联网连接的无线电设备,要求设备不会对网络或其运行产生有害影响,不会滥用网络资源而导致服务受到严重影响 。
具体措施:从技术实现角度,设备需具备合理的网络资源管理机制。在用户层面,要求用户必须设置和使用密码。若允许用户不设置密码,EN 18031-1 标准在这一关键安全设置方面将丧失协调性,无法确保设备接入网络的安全性。
EN 18031-2:2024:数据处理的无线电设备
EN 18031-2:隐私保护要求
适用设备类型:
儿童护理和玩具类无线设备
可穿戴设备和健康监测设备
处理生物识别数据的设备
核心要求:该标准适用于能够处理个人数据、交通数据和位置数据的设备,包括连接互联网的无线设备、专为儿童看护设计的无线电设备、符合玩具指令 (2009/48/EC) 规定的无线电设备以及设计或计划佩戴、捆绑或悬挂在人体或衣服上的无线电设备等 。其核心是侧重于保护用户和订户的个人数据和隐私。
具体措施:以儿童看护设备为例,必须确保父母或监护人的访问控制。若采用 “自主访问控制” 等不兼容模式,使得父母或监护人无法有效管理设备对儿童数据的访问与处理,EN 18031-2 标准将丧失协调性,无法达成保护儿童个人数据隐私的目标。
EN 18031-3:2024:处理虚拟货币或货币价值的互联网连接无线电设备
EN 18031-3:防欺诈要求
POS机和移动支付终端
加密货币硬件钱包
支持NFC支付的移动设备
核心安全机制:
交易安全保护
核心要求:针对允许持有人或用户转移货币、货币价值或虚拟货币的联网无线电设备,确保设备在处理金融相关操作时的安全性,防止欺诈行为的发生 。比如常见的支付终端、加密货币硬件钱包等设备,必须严格遵循此标准要求。
2025年8月1日起,欧盟将强制执行EN 18031网络安全标准,涵盖网络保护、隐私防护和防欺诈三大核心要求。现有CE认证产品需补充评估,新设备必须全面合规,否则面临市场禁入风险。制造商应尽快制定认证策略,确保产品安全通行欧盟市场。
重要时间节点:2025年8月1日强制执行
澄清:仅网络安全要求强制执行
8月1日起,RED指令第3.3(d)(e)(f)条网络安全要求强制执行
已有完整CE认证的产品无需重新认证。
仅适用EN 18031标准的产品需要补充网络安全认证。
随着2025年8月1日强制执行日期临近,EN 18031 系列标准已是所有联网无线设备进入欧盟市场的必备“安全通行证”。
如果你的产品希望进口欧盟。应尽快完成适用条款的自评或补充认证,确保不因网络安全缺失而被市场或监管拦截。
建议对照本文提供的评估清单和行动路线,与公告机构或专业实验室展开合作,落实网络保护、隐私防护与防欺诈功能,构建长期合规管理体系。
唯有未雨绸缪、主动践行,才能在激烈竞争中赢得信任,稳健驶入欧洲赛道。
