GMA

專業解讀 | 歐盟RED網路安全新動向:揭秘EN 18031標準核心要點

2024全球市場准入法規更新訊息

2024全球市場准入法規更新訊息

專業解讀 | 歐盟RED網路安全新動向:揭秘EN 18031標準核心要點

2024年5月,歐盟正式發佈了網路安全標準EN 18031系列標準最終版草案,並廣泛徵求各成員國的意見。經過充分討論與積極投票,該系列標準順利通過,並計畫於2024年8月底正式發佈。然而,EN 18031系列標準在發佈後仍需獲得歐盟的最終批准並納入歐盟官方公報(Official Journal of the European Union,簡稱OJ),方可正式成為符合RED指令要求的協調標準,進而助力相關產品滿足RED指令中的網路安全要求。

Part 1 RED網路安全要求

歐盟於2022年和2023年先後發佈了RED指令補充授權法案(EU) 2022/30和(EU) 2023/2444,規定製造商在設計和生產中必須考慮RED指令的三點網路安全要求,該要求從2025年8月1日起強制執行。

Article3.3(d):

Radio equipment does not harm the network or its functioning nor misuse network resources, thereby causing an unacceptable degradation of service;

無線電設備不損害網路或其功能,也不濫用網路資源,從而造成不可接受的服務降級。

Article 3.3(e):

Radio equipment incorporates safeguards to ensure that the personal data and privacy of the user and of the subscriber are protected;

無線電設備包含保障措施,確保使用者的個人資料和隱私得到保護。

Article 3.3(f):

Radio equipment supports certain features ensuring protection from fraud;

無線電設備支援某些功能確保防止欺詐。

Part 2 覆蓋範圍與豁免範圍

#1

覆蓋範圍

Article3.3(d)適用於:

任何可透過互聯網進行通信的無線電設備,無論其是直接通信還是通過任何其他聯網的無線電設備進行通信。

Article 3.3(e)適用於:

能夠處理個人資料或流量資料或位置資料的無線電設備,包括聯網的無線電設備,以及用於兒童護理,大部分無線電玩具(2009/48/EC指令中產品),人類可穿戴的無線電設備(即使不聯網)。

Article 3.3(f)適用於:

允許持有者或用戶轉移資金、金融價值或者虛擬貨幣的聯網無線電設備。

#2

豁免範圍

Article 3.3 (d)、(e)和(f)不適用(EU) 2017/745和(EU) 2017/746條例監管的醫療設備;

Article 3.3 (e)和(f)不適用於(EU) 2018/1139條例監管的遠端控制無人機設備以及可能安裝在飛機上的非機載特定無線電設備;(EU) 2019/2144條例監管的機動車輛及相關系統部件;以及(EU) 2019/520指令監管的道路收費系統。

Part 3 EN 18031

#1

主要介紹

EN 18031系列標準分為三個部分EN 18031-1/2/3,分別對應RED指令中的不同網路安全要求:

EN18031-1:

確保無線電設備不會對網路或其運行產生有害影響,避免濫用網路資源導致服務嚴重影響。適用於任何可以透過互聯網進行通信的無線電設備。

EN18031-2:

確保無線電設備具有安全措施,保護使用者和訂閱者的個人資料和隱私。適用於處理個人資料或流量資料的設備,包括互聯網連接設備、兒童看護設備、符合玩具指令規定的設備以及佩戴在人體或衣服上的設備。

EN18031-3:

確保無線電設備具有安全措施,保護使用者和訂閱者的個人資料和隱私。適用於允許用戶轉移貨幣或虛擬貨幣的聯網無線電設備。

EN 18031系列標準將評估內容分成了四類資產:安全資產、網路資產、隱私資產和金融資產。其中安全資產在三個標準中均有要求,而其他三種分別對應EN 18031-1/2/3三個標準,根據資產類型有不同的側重點。關於評估方式,EN 18031使用機制的概念來指導如何應用某些安全措施,對機制進行評估來解決適用性和適當性問題。

 Essential requirement  EN 18031-1 for 3.3(d)  EN 18031-2 for 3.3(e)  EN 18031-3 for 3.3(f)
 Security asset  ☑  ☑  ☑
 Network asset  ☑    
 Privacy asset    ☑  
 Financial asset      ☑

#2

與 ETSI EN 303 645 對比有哪些變化?

從上述的評估內容和評估機制來看,EN 18031與ETSI EN 303 645之間存在較大差異,後續會推出更多關於這兩者的差異變化分析以及EN 18031系列標準的詳細要求解讀。

Part 4 製造商應對措施

在協調標準正式發佈之前,製造商可通過公告機構的評估去證明產品的符合性。在協調標準正式發佈之後,廠商可以根據協調標準進行自我評估,也可選擇獨立檢測機構做第三方評估。

Part 5 我們如何幫助您?

TÜV SÜD 於2023年成功擴展了歐盟RED指令網路安全RED Article 3(3)(d)/(e)/(f)的公告機構資格。憑藉標準的深刻理解以及網路安全領域的專業能力,我們已為眾多廠商依據EN 18031系列標準提供了RED網路安全測試評估服務。

此外,針對已通過TÜV SÜD ESTI EN 303 645測試認證的產品,我們將根據標準差異提供差異測試和更新認證服務,助力廠商輕鬆應對多標準、多市場的合規挑戰。

更多

// 聯繫我們
// 訂閱
// 查看位置
Facebook LinkedIn Instagram Youtube

Select Your Location

Global

Americas

Asia

Europe

Middle East and Africa