欧盟RED网络安全标准EN 18031-2

欧盟RED网络安全标准EN 18031-2

欧盟网络安全新规来了，2025年1月30日，欧盟委员会通过《欧盟公报》（OJEU）发布了编号为(EU) 2025/138的决策文件，正式将EN 18031-1、EN 18031-2及EN 18031-3这三项标准纳入《无线电设备指令》（RED）的协调标准名录之中。此新规定于2025年8月1日起生效并将强制执行，对于无线设备制造商来说，这是一个重大的变革与挑战。

EN 18031系列标准为无线电设备满足欧盟将在2025年8月1日强制执行的网络安全授权法案 (Radio Equipment Directive Delegated Act) 设定了严格规范。其中，EN 18031-2对应RED指令中的Article 3.3(e)，确保无线电设备具备相应的隐私保护功能，为了避免这些设备被滥用于未经授权的访问或防止个人信息泄露。

适用产品范围：

能够处理个人隐私数据的可联网无线电设备。

不具备联网能力的三类无线电设备：玩具、儿童护理类设备、可穿戴类设备。

主要测试与评估内容：

EN 18031-2涉及两类资产：安全资产与隐私资产，主要测试与评估内容如下：

通用评估条款：

访问控制机制：验证设备是否实现了适当的访问控制机制，确保只有授权人员能够访问和处理敏感数据。此外，对于儿童护理或玩具类设备，还要求实现不可绕过的家长/监护人权限管理，以保护儿童的隐私和安全。

安全更新机制：设备应至少具备一种可用于更新其资产相关软件的机制，如通过配套APP、Web管理界面或USB本地更新接口实现。确保设备的软件和固件能够安全、可靠的进行更新。

安全存储机制：设备应通过访问权限控制或数据加密等手段保护持久保存在本地的资产，保证其完整性与机密性。测试人员将确认相关加密措施是否有效，包括加密算法的强度、密钥管理的安全性等，以防止数据被未授权访问或篡改。

安全通信机制：设备在涉及到和网络资产和安全资产有关的通信时，应采用适当的手段保障通信的完整性、真实性和机密性。例如，采用TLS1.2及以上版本的安全通信协议，采用符合当下密码学实践的加密套件。