根据欧盟《无线电设备指令》(2014/53/EU)授权法案(2022/30)正式规定,自2025年8月1日起,所有进入欧盟市场的无线电设备须符合强化网络安全标准,否则将无法保留 CE 认证。通过个人数据保护的加强,该监管措施确保网络系统完整性并预防欺诈活动,应对数字互联环境所带来的挑战。若制造商符合协调标准EN 18031-1、EN 18031-2及EN 18031-3所定义的技术要求,在适用情况下可享有特定合规性豁免。
该法规生效日期已从原定的2024年8月1日延后一年,以便各项标准协调一致,并加强实施规划。尽管如此,欧盟监管机构仍强烈建议制造商即着手合规准备。此举不仅能有效规避后期设计变更带来的高额成本,也能帮助产品更顺利地适应欧盟持续更新的监管要求。
EU RED 网络安全新规涵盖哪些设备?
要注意,并非所有无线电设备都受欧盟 RED 指令的约束。以下设备需强制遵守网络安全合规要求:
- 与互联网连接的消费电子产品。例如:手机、平板电脑、相机和智能电视。
- 物联网设备。例如:智能家居集线器、可穿戴设备和联网玩具。
- 玩具、儿童护理及安全设备。例如:婴儿监视器和 GPS 跟踪器。
- 与网络连接的工业无线电设备及无线汽车电子子组件
- 任何具备无线电通信和互联网连接性能的设备
根据行业特定法规管辖,下列设备可被完全排除或豁免适用欧盟 RED 部分条款。
- 完全排除: 医疗设备
- 豁免第3(3)(e)及(f)条适用:
- 航空设备、机动车辆及电子道路收费系统
- 纯离线无线电设备(如未联网的DAB收音机或雷达装置)
若制造商仍不确定其设备是否受欧盟 RED 网络安全要求约束,请参考欧盟委员会官方网站或咨询 GRL 网络安全专家。
针对现有设备的 EU RED 合规要求
已在欧盟市场销售的设备,若其技术规格不涉及潜在安全隐患,可继续使用直至生命周期终结。自8月1日起,所有进入欧盟市场的独立无线电产品,无论是否属于既有产品系列,均须符合最新合规要求。
欧盟 RED 指令更新如何应对网络安全威胁
随着智能手机、工业物联网模块乃至玩具等日常设备纳入无线电生态系统,网络安全风险已达到前所未有的程度。为此,欧盟委员会已启用无线电设备指令 RED 第 3.3(d),(e)及(f)条:
第 3.3 (d) 条 – 无线电设备不得对网络或其功能造成损害,亦不得滥用网络资源,以致引发不可接受的服务质量降级。
例: 在固件更新或错误恢复过程中实施数据速率限制及退避策略,以避免造成网络拥塞。需注意,满足EN 18031-1标准之要求即可视为符合本条规定。
第 3.3 (e) 条 – 无线电设备应当配置必要的保护措施,以确保用户及订阅者的个人数据与隐私权获得有效保障。
例: 通过加密云端通信、最小化非必要数据收集及保障存储数据安全等措施保护用户隐私。需注意,满足EN 18031-3标准之要求即可视为符合本条规定。
第 3.3 (f)条 – 无线电设备应当具备防范欺诈的功能特性。
例: 部署安全启动、固件加密签名及用户认证等反欺诈机制,可有效防止设备被用于恶意目的。需注意,满足EN 18031-3标准之要求即可视为符合本条规定。
联网设备 vs. 离线设备
根据是否具备互联网连接功能,无线电设备可能豁免适用欧盟 RED 特定条款:
- 具备互联网连接的设备必须支持加密传输、更新安全认证机制和安全软件功能,以防止欺诈和数据泄露。
- 非联网的无线电设备通常可豁免第3(3)(e)和(f)条要求。但若设备需与其他设备或系统进行数据交互,则基于维护网络完整性的要求,仍须符合第3(3)(d)条规定。
无密码设备合规要求
不具备用户可设置凭证的设备(如蓝牙信标或无源传感器)不得豁免欧盟 RED 所规定的网络安全要求。对此类设备,制造商必须实施替代性技术保障措施,以证明即使在没有传统密码的情况下,设备也无法被恶意利用或重新编程。此类设备的CE标志不得通过自我声明方式获取,而必须经由公告机构参与认证。
典型技术保障措施包括:
- 设备配对及固件控制专用唯一标识符
- 预设安全默认配置(具备防篡改特性)
- 安全启动机制与受控固件更新路径
把握安全产品开发先机,轻松满足欧盟RED高标准要求
随着 8月 1日欧盟RED新规实施进入最后倒计时,企业亟需采取行动。通过投资安全产品开发与早期测试,您将能够轻松满足更高的安全标准、隐私保护和网络弹性要求。Granite River Labs 提供全方位的网络安全测试解决方案,助您自信开拓欧盟市场,无后顾之忧。
