关键时间节点：

法规生效：欧盟授权法规2022/30/EU于2022年2月1日生效，为RED指令引入网络安全要求。

标准发布：EN 18031系列标准于2024年8月正式发布，并于2025年1月30日被列入RED协调标准清单。

强制执行日期：2025年8月1日起，所有适用设备必须符合EN 18031要求，否则无法获得CE-RED认证进入欧盟市场。

企业行动建议：制造商需在2025年8月前完成产品合规性评估及整改，建议提前6-12个月启动摸底测试，避免因整改延误认证周期。

  二、标准分类与核心要求：

EN 18031分为三部分，分别对应RED指令第3.3(d)、(e)、(f)条，覆盖不同设备类型的安全要求：

EN 18031-1：网络保护要求：

适用范围：互联网连接的无线电设备，如手机、平板、Wi-Fi路由器、车载组件等。

核心要求：防网络攻击（如DDoS防护、通信加密）、安全更新机制（需支持固件/软件漏洞修复）、密钥管理（加密密钥安全存储与更新）。

限制条款：允许用户不设置密码，但可能导致合规风险。

EN 18031-2：数据隐私要求：

适用范围：处理个人数据和隐私的无线电设备，如可穿戴设备、儿童监护设备、智能传感器等。

核心要求：访问控制与数据加密（如用户权限管理、敏感数据加密）、日志记录与用户通知（需记录操作并告知数据泄露风险）。

限制条款：未实施家长控制机制的儿童设备可能无法合规。

EN 18031-3：金融安全要求：

适用范围：涉及虚拟货币或货币价值的无线电设备，如POS机、ATM、虚拟货币终端。

核心要求：设备完整性验证（防篡改与日志审计）、交易追踪机制（记录金融操作并支持追溯）。

限制条款：无论设计如何，均需通过第三方合格评定。

  三、产品认证计划执行要点：

1.确认适用范围：根据设备功能匹配EN 18031-1/2/3的类别。

例如，联网家电适用EN 18031-1；

智能手表适用EN 18031-1、EN 18031-2；

支付终端适用EN 18031-1、EN 18031-2、EN 18031-3。

2.不适用的情况：

不适用 EN 18031-2，但适用于 EN 18031-1 的设备：

a)(EU)2017/745号条例（医疗器械法规MDR）和(EU)2017/746号条例（体外诊断器械法规IVDR）管辖的医疗设备；

b)(EU)2018/1139号条例（欧洲航空安全局基本法规）管辖的无线电设备（远程控制无人机的设备以及可能安装在飞机上的非机载特定无线电设备）；

c)(EU)2019/2144号条例（欧盟新汽车一般安全法）管辖的无线电设备（机动车辆）；

d)(EU)2019/520号指令（欧盟道路电子收费系统指令）管辖的无线电设备（道路收费系统）；

3.合规性评估路径：自我声明适用于完全符合标准且不涉及限制条款的产品；第三方认证涉及限制条款（如金融设备、未实施家长控制）或替代技术方案时，必须通过公告机构（NB）评估。

4.技术整改重点：密码策略取消通用默认密码，支持用户自定义（EN 18031-1/2）；安全更新明确最低支持周期，并通过数字**验证更新包（EN 18031-3）；加密强度密钥长度需≥112位，且采用符合标准的加密算法（如AES-256）。

5.认证流程优化：

文档准备：技术设计说明书、风险评估报告、测试记录等；

实验室选择：优先选择具备EN 18031资质的第三方机构；

联合认证已通过ETSI EN 303 645认证的企业，可补充差异测试以缩短周期。

6.RED与EN 18031的关系：

RED指令的Article 3.3提出了网络安全的三个基本要求，这些要求旨在保护网络不受损害、个人数据和隐私得到保护，以及防止欺诈。为了满足RED指令中提出的网络安全要求，欧盟的标准组织正在起草和审核EN 18031系列标准。EN 18031系列标准预计将对应RED指令Article 3.3中提出的三个网络安全要求，即RED 3(3)(d)、RED 3(3)(e)和RED 3(3)(f)。

  四、风险与应对建议：

合规风险：未通过认证将面临产品召回、市场禁入、罚款（最高为年营业额4%）；技术漏洞如未实施安全更新机制，可能导致设备遭攻击并引发法律诉讼。

成本控制策略：早期介入在研发阶段导入EN 18031要求，减少后期整改成本；多标准覆盖通过ETSI EN 303 645认证，复用部分测试结果降低重复成本。

  五、行业影响与未来趋势：

市场准入门槛提升：中小型企业需加大安全投入，头部厂商可凭借技术积累抢占市场。

技术融合：EN 18031与欧盟网络弹性法案（CRA）将形成互补，2027年后或进一步整合安全要求。

  六、EN 18031认证周期与费用评估要点表：

如果您刚好需要，而我刚好专业，请联系我