從 RED 指令到 EN 18031 標準:無線設備網路安全合規必讀指南



2024年11月11日 | 產品安全

 

《無線電設備指令》(以下簡稱 RED)中的第3條第3款 (article 3.3) 是歐盟針對無線電設備網路安全的首批監管要求之一。 RED 指令規範了無線電設備在健康安全、電磁相容性、射頻、通用充電器、以及網路安全等方面的基本要求。

 

歐盟委員會在2022年與2023年分別頒布了《無線電設備指令》的補充授權法案,即 (EU) 2022/30 和 (EU) 2023/2444,簡稱 RED-DA,明確要求品牌商與設備製造商遵循 RED 指令第3條第3款 (d)、(e) 和 (f) 中所列的三項網路安全基本要求。該指令將於2025年8月1日強制生效,對品牌商和設備製造商的產品合規帶來了新的挑戰。 (https://eur-lex.europa.eu/eli/reg_del/2023/2444/oj )

 

在 RED 指令的 Article 3.3 中,這三項網路安全基本要求適用於多種具備網路通訊功能的產品,範圍涵蓋手機、平板、筆記型電腦、無線玩具、智慧手錶、VR/AR 穿戴裝置、網路攝影機、智慧音響、工業物聯網(IIoT)、以及其他工業網路通訊設備。以下是 RED Article 3.3 中 (d)、(e)、(f) 條款的關鍵要求概述:

 

  • Article 3.3(d):要求設備具備功能以防止對通訊網路的破壞並避免網站或服務中斷,從而增強資安防護
  • Article 3.3(e):強化個人資料和隱私保護,並提供防止未經授權存取或傳輸消費者個人資料的措施
  • Article 3.3(f):要求改善使用者身份驗證等控制機制,以減少詐欺性電子支付與金融轉帳的風險
  • 品牌商與設備製造商需考量在開發流程中加入網路安全設計,包括資料保護與通訊協定完整性測試
  • 品牌商與設備製造商應開始進行風險評估自身設備對未經授權存取和潛在詐欺情況的復原能力

 

為了呼應 RED-DA 的網路安全要求,歐洲標準化委員會 (CEN) 和歐洲電工標準化委員會 (CENELEC) 於2024年8月發佈了 EN 18031-1、EN 18031-2、EN 18031-3 三項標準,為各類無線電設備提供通用的安全參考標準,並進一步鞏固歐盟市場的監管框架。這些標準的適用範圍如下:

 

  • EN 18031-1:2024:針對連網無線電設備的通用網路安全要求
  • EN 18031-2:2024:適用於處理隱私、流量或位置資訊的無線電設備,包括連網無線裝置、兒童無線監控設備、無線玩具和穿戴式無線裝置的通用安全要求
  • EN 18031-3:2024:針對處理虛擬貨幣或金融價值轉移的連網無線電設備的通用安全要求

 

製造商如何因應 RED Article 3.3 (d)(e)(f) 要求

面對 RED 指令第3條第3款 (d)、(e)、(f) 的網路安全要求,無線設備製造商應積極採取措施。台灣德國萊因 TUV 團隊深耕台灣市場多年,針對 EN 18031 系列標準已準備了完整服務方案,協助科技業合作夥伴滿足 RED 網路安全合規需求。  EN 18031 系列標準包含三項標準,其資安要求共分為14個主要類別,涵蓋以下安全機制:

 

  • 訪問控制機制 (Access Control Mechanism, ACM)
  • 身份認證機制 (Authentication Mechanism, AUM)
  • 安全更新機制 ( Secure Update Mechanism, SUM)
  • 安全儲存機制 (Secure Storage Mechanism, SSM)
  • 安全通訊機制 (Secure Communication Mechanism, SCM)
  • 日誌機制 (Logging Mechanism, LGM)
  • 刪除機制 (Deletion Mechanism, DLM)
  • 具韌性的復原機制 (Resilience Mechanism, RLM)
  • 網路監控機制 (Network Monitoring Mechanism, NMM)
  • 流量控制機制 (Traffic Control Mechanism, TCM)
  • 用戶通知機制 (User Notification Mechanism, UNM)
  • 加密金鑰機密性 (Confidential Cryptographic Keys, CCK)
  • 通用設備能力 (General Equipment Capabilities, GEC)
  • 密碼學 (Cryptography, CRY)

 

在合規驗證過程中,製造商需依據標準實施這些安全功能與產品特性,並提供設備已符合和實現這些安全措施的證據。以下為德國萊因EN 18031 的合規服務流程,將為廠商提供有力支援,協助企業穩健達成 RED 法規的網路安全要求,不僅能增強廠商產品在歐盟市場的消費者信任度,更能在全球日益重視資安的市場中突顯競爭優勢,達成多重效益。

 

 

應對 EN 18031 標準的最佳策略

在 EN 18031 系列標準尚未正式納入歐盟官方公報 (OJ) 成為 RED 第3.3條文的調和標準之前,製造商可以透過公告機構 (Notified Body, NB) 的評估,取得歐盟型式檢驗證書 (EU Type Examination Certificate) 來證明產品的合規性。待調和標準正式發佈後,製造商可依照調和標準進行風險評估並自我宣告。但因資安威脅不斷演變,德國萊因建議廠商選擇獨立公正的驗證機構進行第三方評估,以確保最新的資安標準均能有效應用。

 

EN 18031 標準的 14 項要求類別在 EN 18031-1、EN 18031-2 和 EN 18031-3 中皆有明確的判斷準則。因此,我們建議與客戶團隊進行深入溝通,了解產品的功能及實際使用情境,共同定義符合下圖資產類型的清單,並討論最適合的合規策略,確保企業產品在市場中滿足嚴格的網路安全需求。

 

若有相關問題,歡迎與台灣德國萊因鄭小姐聯繫 / IvyYC.Cheng@tuv.com  Tel : 886-2-21721600

 

延伸閱讀:

  1. 常見的認證標誌,你認識幾個? [CE Mark 篇]  
  2. 歐盟網路韌性法案 CRA 將於 2027 年強制執行
  3. 德國萊因無線設備合規服務一覽