Vào tháng 5/2024, bản dự thảo cuối cùng của loạt tiêu chuẩn EN 18031 về an ninh mạng của EU đã được ban hành và gửi đến các quốc gia thành viên để bỏ phiếu, nghĩa là sẽ có một tiêu chuẩn EN chuyên dụng để chứng minh rằng các sản phẩm tuân thủ các yêu cầu về an ninh mạng theo chỉ thị RED.

Gần đây, loạt tiêu chuẩn EN 18031 đã được bình chọn thông qua và hiện đã sẵn sàng để chính thức áp dụng là tiêu chuẩn điều chỉnh theo Chỉ thị về Thiết bị Vô tuyến (RED). Phiên bản cuối cùng của tiêu chuẩn dự kiến ​​sẽ được ban hành chính thức vào ngày 30/8/2024.

Hệ tiêu chuẩn EN 1803 sau khi được ban hành và trước khi chính thức được xem là tiêu chuẩn điều chỉnh để chứng minh sự tuân thủ theo chỉ thị RED thì cần phải được Liên minh Châu Âu phê duyệt là tiêu chuẩn đáp ứng các yêu cầu cơ bản của chỉ thị và được liệt kê trên Tạp chí Chính thức của Liên minh Châu Âu (OJ). Hầu hết mọi người trong ngành đều lạc quan rằng ngay sau khi hệ tiêu chuẩn EN 18031 được chính thức ban hành không lâu sau sẽ nhận được sự chấp thuận cuối cùng từ EU và được đưa vào OJ.

Giới thiệu qua về Hệ tiêu chuẩn EN 18031

EN 18031 do 3 bộ phận hợp thành, bao gồm：

EN 18031-1 Yêu cầu an toàn chung đối với thiết bị vô tuyến - Phần 1: Thiết bị vô tuyến kết nối Internet;

EN 18031-2 Yêu cầu an toàn chung đối với thiết bị vô tuyến - Phần 2: Xử lý dữ liệu trong thiết bị vô tuyến, tức là thiết bị vô tuyến nối mạng, thiết bị vô tuyến dành cho trẻ em, thiết bị vô tuyến đồ chơi và thiết bị vô tuyến đeo được;

EN 18031-3 Yêu cầu an toàn chung đối với thiết bị vô tuyến - Phần 3: Thiết bị vô tuyến xử lý tiền ảo hoặc giá trị tiền tệ thông qua kết nối Internet.

Có thể xác định rằng Điều 3.3 (d)/(e)/(f) trong chỉ thị RED lần lượt được thể hiện trong các phần tương ứng của Hệ tiêu chuẩn EN 18031, đó là:

So sánh với ETSI thì EN 303 645 có những thay đổi gì？

● Thay đổi về yêu cầu điều khoản

Không phân biệt tất cả các điều khoản EN18031, ví dụ trong EN303645 phân loại các điều khoản theo các loại gồm có tính bắt buộc, có tính tư vấn, bắt buộc có điều kiện và từ vấn có điều kiện.  

EN 18031 không bao gồm EN 303 645 Provision 6 (quy định bảo vệ quyền riêng tư dữ liệu)，nhưng bao gồm các yêu cầu về bảo vệ quyền riêng tư của trẻ vị thành niên/trẻ em. Đồng thời, tiêu chuẩn này cũng tham khảo các yêu cầu cơ chế của IEC 62443-4-2 về kiểm soát truy cập mới, nhật ký theo dõi, giám sát mạng và các nội dung khác...

● Thay đổi về quy trình đánh giá

EN 18031 không công bố trực tiếp quy trình đánh giá của EN 303 645 có thể áp dụng trực tiếp:

Tuy nhiên, vẫn cần người nộp đơn (khách hàng) hợp tác để cung cấp tài liệu liên quan và sau đó TL (phòng thí nghiệm thử nghiệm) sẽ đánh giá tính tuân thủ, EN 18031 sẽ đưa ra các yêu cầu cụ thể đối với phạm vi quy định đánh giá.

● Thay đổi về góc độ đánh giá

EN 18031 chia đối tượng đánh giá thành bốn loại theo tài sản:

• Tài sản an toàn

• Tài sản Internet

• Tài sản riêng tư

• Tài sản tài chính

Trong đó, tài sản an toàn đều có trong yêu cầu của ba tiêu chuẩn, còn ba loại còn lại thì tương ứng với ba tiêu chuẩn EN18031-1/2/3, và có các điểm nhấn khác nhau tùy theo loại tài sản. EN 303 645 không phân biệt giữa các loại tài sản nên không thể trực tiếp sử dụng để thực hiện đánh giá tính tuân thủ của RED Article 3.3 (d)/(e)/(f) ĐỎ.  Góc độ đánh giá của EN 18031 thì rõ ràng hơn, chỉ ra các yêu cầu khác nhau tùy theo các loại tài sản khác nhau, từ đó có thể giúp cho các sản phẩm khác nhau đáp ứng yêu cầu an ninh mạng tốt hơn.

Tiêu chuẩn điều chỉnh áp dụng cho những thiết bị nào?

● EN 18031-1 

Thiết bị vô tuyến sẽ không có tác động có hại đến mạng hoặc hoạt động của mạng và sẽ không lạm dụng tài nguyên mạng khiến cho các dịch vụ bị ảnh hưởng nghiêm trọng. Áp dụng cho mọi thiết bị điện vô tuyến có thể kết nối qua Internet, dù trực tiếp hay thông qua bất kỳ thiết bị nào khác (thiết bị điện vô tuyến có kết nối Internet) để thực hiện kết nối. 

● EN 18031-2

 Thiết bị vô tuyến phải có các biện pháp bảo mật để đảm bảo rằng dữ liệu cá nhân và quyền riêng tư của người dùng và thuê bao được bảo vệ

Áp dụng cho các thiết bị có khả năng xử lý dữ liệu cá nhân hoặc dữ liệu lưu lượng và dữ liệu vị trí dưới đây:

a) Các thiết bị không dây kết nối Internet, ngoại trừ các thiết bị được đề cập ở b), c) và d) (tức vẫn cần làm thử nghiệm khi không kết nối được Internet); 

b) Các thiết bị vô tuyến được thiết kế để chăm sóc trẻ em; 

c) Các thiết bị vô tuyến tuân thủ theo quy định của Toys Directive (2009/48/EC)

 d) Thiết bị vô tuyến điện được thiết kế hoặc kế hoạch (bất luận có phải chuyên dụng) để đeo, buộc hay treo gài trên cơ thể người hoặc trên quần áo (Cơ thể người bao gồm đầu, cổ, thân, cánh tay, bàn tay, chân và bàn chân; quần áo bao gồm mũ nón, đồ trang sức và giày dép).

● EN 18031-3 

Thiết bị vô tuyến phải có các biện pháp bảo mật để đảm bảo rằng dữ liệu cá nhân và quyền riêng tư của người dùng và thuê bao được bảo vệ. Áp dụng cho các thiết bị vô tuyến có kết nối Internet cho phép chủ sở hữu hoặc người dùng chuyển dịch tiền tệ, giá trị tiền tệ hoặc tiền ảo.

Trường hợp không áp dụng;

Không áp dụng theo EN 18031-2，nhưng thiết bị có thể áp dụng theo EN 18031-1：

a) Thiết bị y tế theo phạm vi quản lý của Điều lệnh số (EU)2017/745（Quy định MDR về máy móc y tế）và Điều lệnh số (EU)2017/74（Quy định IVDR về máy móc chuẩn đoán bên ngoài）

b) Thiết bị vô tuyến điện trong phạm vi quản lý theo Điều lệnh số (EU)2018/1139（Quy định nền tảng của Cục An toàn hàng không châu Âu）（Thiết bị máy bay không người lái điều khiển từ xa và thiết bị vô tuyến điện không bay được có thể cài đặt trên máy bay）; 

c) Thiết bị vô tuyến điện (phương tiện cơ giới) trong phạm vị quản lý theo Điều lệnh số (EU) 2019/2144 (Luật an toàn chung về xe hơi mới của EU); 

d) Thiết bị vô tuyến điện (Hệ thống thu phí đường bộ) trong phạm vị quản lý theo Điều lệnh số (EU) 2019/520 ( Chỉ thị về Hệ thống thu phí đường bộ điện tử của EU);

Kỳ vọng trong tương lai：

 Nếu không có sự phản đối nào từ Hội đồng Nhà nước và Nghị viện Châu Âu, dự thảo sẽ có hiệu lực sau thời gian xem xét kéo dài hai tháng và ủy ban tiếp theo sẽ yêu cầu Tổ chức Tiêu chuẩn hóa Châu Âu (ETSI) xây dựng các tiêu chuẩn liên quan để hỗ trợ các nhà sản xuất tuân thủ theo dự luật mới, các nhà sản xuất cũng có thể chứng minh sự phù hợp của sản phẩm của mình thông qua đánh giá của các cơ quan được công bố liên quan. Dự luật này cũng sẽ được thi hành bắt buộc từ ngày 1 tháng 8 năm 2025.

BACL là tổ chức NB của RED. Chúng tôi hiểu rõ các yêu cầu của Hệ tiêu chuẩn EN 18031 và có kinh nghiệm thực chiến lâu năm, đồng thời cũng có kinh nghiệm lâu năm về ETSI EN 303 645. Chúng tôi luôn sẵn sàng tư vấn cho quý khách!. 

Các yêu cầu chính về an ninh mạng toàn cầu:

Ưu điểm dịch vụ chứng nhận kiểm định an ninh mạng của BACL :

Tiêu chuẩn thông dụng (CC)

Tức là ISO/IEC 15408, là tiêu chuẩn cấp cao được quốc tế công nhận về chứng nhận an ninh mạng, nhằm đảm bảo hiệu suất bảo mật của hệ thống thông tin, sản phẩm và dịch vụ đạt đến mức được quốc tế công nhận. BACL, với tư cách là đơn vị được ủy quyền đánh giá CC đã có hơn 10 năm kinh nghiệm phong phú.

Tiêu chuẩn bảo mật Internet of Things（loT）

● ETSI/EN 303 645

● Chứng nhận an ninh mạng (RED) article 3/3 d/e/f

● Chứng chỉ chứng nhận IECEE CB

● Chứng nhận đạo luật an ninh mạng PSTI của Vương Quốc Anh

● Chứng nhận đánh giá an ninh mạng NIST của Mỹ

● ISO 27001/27701/GDPR

Ưu điểm dịch vụ an toàn mạng của BACL

● Đánh giá và tư vấn về thông tin dữ liệu mạng trong giai đoạn nghiên cứu và phát triển

● Đánh giá và tư vấn đạo luật PSTI của Vương Quốc Anh

● Đánh giá và tư vấn an toàn mạng theo chỉ thị CE RED

● Tư vấn và đánh giá SB-327 tại California, Hoa Kỳ

● Tư vấn và đánh giá chứng nhận an ninh mạng tự nguyện của FCC tại Hoa Kỳ ● Tư vấn và đánh giá an ninh mạng tại Brazil, Singapore và các quốc gia khác trên thế giới