在2024年5月,欧盟关于网络安全标准 EN 18031 系列标准的最终版草案发布并发给成员国征求投票,这意味着将有一个专用的EN标准来证明产品符合RED指令中的网络安全要求。
近期,EN 18031系列标准已获投票通过,现在它已准备好作为无线电设备指令(RED)下的协调标准正式采用,最终版标准预计将于2024年8月30日正式发布。
EN 18031系列标准发布后,在正式作为证明符合RED指令的协调标准之前,必须先经过欧盟批准成为符合指令基本要求的标准,并列在欧盟官方公报(OJ)中。行业多数人乐观预期,在EN 18031系列标准正式发布后不久,将获得EU最终批准而列入OJ。
EN 18031 系列标准简介
EN 18031 由三部分组成,分别是:
EN 18031-1无线电设备的共同安全要求-第1部分: 连接互联网的无线电设备;
EN 18031-2无线电设备的共同安全要求-第2部分: 无线电设备数据处理,即联网无线电设备、儿童无线电设备、玩具无线电设备和可穿戴无线电设备;
EN 18031-3无线电设备的共同安全要求-第3部分: 通过连接互联网处理虚拟货币或货币价值的无线电设备。
可以确定 RED 指令中的Article 3.3 (d)/(e)/(f),分别由 EN 18031 系列的对应部分进行阐述,分别是:
与 ETSI EN 303 645 对比有哪些变化?
● 条款要求的变化
EN 18031 所有条款不再做区分,如 EN 303 645 中将条款分为强制性、建议性、有条件的强制性、有条件的建议性。
EN 18031 不包含 EN 303 645 Provision 6 (数据隐私保护规定),但包含针对未成年/儿童隐私保护的要求,同时还参考 IEC 62443-4-2 新增访问控制、日志记录、网络监控等机制的要求。
● 评估流程的变化
EN 18031 没有声明直接套用 EN 303 645 的评估流程:
但还是要求申请方(客户)需配合提供相关资料,之后由 TL(测试实验室)评估符合性,EN 18031 有对评估规范做出具体要求。
● 评估角度的变化
EN 18031 将评估对象按资产分为四类:
• 安全资产
• 网络资产
• 隐私资产
• 金融资产
其中安全资产在三个标准中均有要求,而其他三种分别对应 EN18031-1/2/3 三个标准,根据资产类型有不同的侧重点。EN 303 645 没有针对资产类型做区分,导致无法直接用于实现 RED Article 3.3 (d)/(e)/(f)的符合性评估。EN 18031 评估角度更清晰,根据不同的资产类型指出不同的要求,能够更好的帮助不同产品满足网络安全的要求。
协调标准适用于哪些设备?
● EN 18031-1
无线电设备不会对网络或其运行产生有害影响,不会滥用网络资源而导致服务受到严重影响。
适用于任何可以通过互联网进行通信的无线电设备,无论是直接通信还是通过任何其它设备(互联网连接的无线电设备)进行通信。
● EN 18031-2
无线电设备应有安全措施,确保用户和订户的个人数据和隐私得到保护 。
适用于能够处理个人数据或流量数据和位置数据的以下设备:
a) 连接互联网的无线设备,但b)、c)、d) 所述设备除外(即不联网也需要测试);
b) 专为儿童看护设计的无线电设备;
c) 符合Toys Directive (2009/48/EC) 规定的无线电设备;
d) 设计或计划(无论是否专用于)佩戴、捆绑或悬挂在人体或衣服上的无线电设备。(人体包括头、颈、躯干、手臂、手、腿和脚;服装包括头饰、手饰和鞋履)
● EN 18031-3
无线电设备应有安全措施,确保用户和订户的个人数据和隐私得到保护。
适用于允许持有人或用户转移货币、货币价值或虚拟货币的联网无线电设备。
不适用的情况:
不适用 EN 18031-2,但适用于 EN 18031-1 的设备:
a) (EU)2017/745号条例(医疗器械法规MDR)和(EU)2017/746号条例(体外诊断器械法规IVDR)管辖的医疗设备;
b) (EU)2018/1139号条例(欧洲航空安全局基本法规)管辖的无线电设备(远程控制无人机的设备以及可能安装在飞机上的非机载特定无线电设备) ;
c) (EU)2019/2144号条例(欧盟新汽车一般安全法)管辖的无线电设备(机动车辆);
d) (EU)2019/520号指令(欧盟道路电子收费系统指令)管辖的无线电设备(道路收费系统);
未来预期:
如果欧洲州理事会和议会没有异议,该草案将在两个月的审查期后生效,后续委员会将通过要求欧洲标准化组织(ETSI)制定相关标准,以支持制造商遵守新法案,制造商还可以通过相关公告机构的评估来证明其产品的符合性,该法案也将于2025年8月1日强制实施。
BACL是RED的NB机构,我们熟悉EN 18031系列标准的要求并且具有实战经验,同时在ETSI EN 303 645 方面也已经有长期的经验,欢迎您咨询。
全球主要网络安全法规要求:
BACL 网络安全检测认证服务优势:
通用标准(CC)
即ISO/IEC 15408,是国际公认的网络安全认证中的高级别标准,旨在确保信息系统、产品与服务的安全性能达到国际认可的水平。BACL作为具备CC 评估授权的单位,已拥有超过10 年的丰富经验。
物联网安全标准(loT)
● ETSI/EN 303 645
● (RED) article 3/3 d/e/f 网络安全资质
● IECEE CB 发证资质
● PSTI 英国网络安全法案资质
● NIST 美国网络安全评估资质
● ISO 27001/27701/GDPR
BACL 网络安全服务优势
● 研发阶段的网络信息安全咨询与评估
● 英国PSTI 法案咨询与评估
● CE RED 指令网络安全咨询与评估
● 美国加州SB-327 咨询与评估
● 美国FCC 自愿性网络安全认证咨询与评估
● 巴西、新加坡及全球其他国家地区网络安全咨询与评估