Bối cảnh cập nhật quy định:

Khi các thiết bị Internet vạn vật ( IoT ) lan rộng khắp thị trường EU, hàng tỷ thiết bị, từ đồng hồ thông minh đến máy theo dõi trẻ em, đã trở thành trung tâm trong cuộc sống hàng ngày. Tuy nhiên, Chỉ thị về thiết bị vô tuyến điện năm 2014 (RED) đã không lường trước được làn sóng tăng trưởng này và khuôn khổ quản lý tại thời điểm đó không bao gồm bảo vệ an ninh mạng. Do đó, các cuộc tấn công DDoS, vi phạm dữ liệu cá nhân, gian lận tài chính và các sự cố khác đã trở thành rủi ro phá hoại tiềm tàng đối với thị trường kỹ thuật số duy nhất của EU.

Ủy ban Châu Âu đã triển khai bản sửa đổi RED vào năm 2021 để đưa an ninh mạng vào làm yêu cầu tuân thủ cốt lõi . Quyết định này được đưa ra dựa trên hai nhận định quan trọng:

Bảo mật theo mặc định: Các thiết bị IoT cần có cơ chế bảo vệ tích hợp ngay từ giai đoạn thiết kế thay vì chỉ được nghĩ đến sau.

Kiểm soát theo từng cấp độ: Các điều khoản 3.3(d)(e)(f) được xây dựng cho các rủi ro thiết bị khác nhau (như kết nối mạng, xử lý dữ liệu và thanh toán điện tử) để nhắm mục tiêu chính xác vào các mối đe dọa khác nhau.

Bộ tiêu chuẩn EN 18031 là các thông số kỹ thuật và tiêu chuẩn triển khai cho các yêu cầu về an ninh mạng của chỉ thị RED. Chúng được chia thành ba phần (EN 18031-1/2/3), tương ứng với các cấp độ bảo mật khác nhau của Điều 3.3 của RED (bảo vệ khỏi thiệt hại mạng, bảo vệ quyền riêng tư và chống gian lận).

Ba loại trên (d/e/f) đều thuộc cái gọi là "tài sản an toàn" và được chia thành (tài sản mạng/riêng tư/ dòng tiền ) sau khi đánh giá chung .

Mốc thời gian thực thi các quy định:

Vào ngày 30 tháng 1 năm 2025, Ủy ban Châu Âu đã chính thức đưa bộ tiêu chuẩn EN 18031 vào danh sách tiêu chuẩn phối hợp của Chỉ thị thiết bị vô tuyến (RED) trong Công báo của Liên minh Châu Âu (OJ), đánh dấu rằng bộ tiêu chuẩn này đã trở thành cơ sở quan trọng để tuân thủ an ninh mạng của thiết bị vô tuyến trong EU. Từ ngày 1 tháng 8 năm 2025, Điều 3.3(d), (e) và (f) của Chỉ thị RED về an ninh mạng sẽ có hiệu lực!

Cập nhật quy định:

Yêu cầu mới trong Điều 3.3 của Chỉ thị RED:

• 3.3(d): Đối với các thiết bị có thể tự kết nối Internet (như điện thoại di động và thiết bị gia dụng thông minh), cần ngăn chặn các thiết bị này gây nguy hiểm cho hoạt động mạng (như tấn công từ chối dịch vụ) và cấm việc lạm dụng tài nguyên băng thông.

• 3.3(e): Đối với các thiết bị xử lý dữ liệu cá nhân/vị trí (như thiết bị đeo được và đồ chơi trẻ em), thực thi mã hóa đầu cuối, kiểm soát truy cập và tuân thủ Điều 4 của GDPR và Chỉ thị về quyền riêng tư truyền thông điện tử.

• 3.3(f): Đối với các thiết bị hỗ trợ thanh toán điện tử ( như thiết bị đầu cuối thanh toán di động và ví phần cứng tiền điện tử), hãy tăng cường cơ chế xác minh giao dịch (như xác thực đa yếu tố) để ngăn chặn gian lận và trộm cắp tiền ảo.

• Phạm vi miễn trừ: Thiết bị vô tuyến được bao gồm trong Chỉ thị (EU) 2017/745 (thiết bị y tế), (EU) 2017/746 (thiết bị y tế chẩn đoán trong ống nghiệm), (EU) 2018/1139 (an toàn hàng không dân dụng), (EU) 2019/2144 (phê duyệt loại phương tiện) và Chỉ thị (EU) 2019/520 (hệ thống thu phí đường bộ điện tử) được miễn theo Điều 3(3)(e) và (f).

(EU) 2025/138 Yêu cầu chính về an toàn và tuân thủ :

• Vấn đề về mật khẩu mặc định: Nếu thiết bị có chức năng cài đặt mật khẩu nhưng cho phép người dùng không cài đặt hoặc sử dụng mật khẩu thì các tiêu chuẩn có liên quan sẽ không được công nhận là đáp ứng các yêu cầu cơ bản của chỉ thị. Điều này có nghĩa là thiết bị phải buộc người dùng phải đặt mật khẩu để đảm bảo an toàn.

• Kiểm soát quyền ra vào đồ chơi và thiết bị chăm sóc trẻ em: Không đảm bảo kiểm soát quyền ra vào cho cha mẹ hoặc người giám hộ không đáp ứng các yêu cầu thiết yếu của Chỉ thị. Điều này có nghĩa là các thiết bị này phải có cơ chế cho phép cha mẹ hoặc người giám hộ kiểm soát chúng.

• Cập nhật bảo mật cho tài sản tài chính: Tiêu chí đánh giá cập nhật bảo mật chỉ định nhiều loại triển khai khác nhau và không có cách tiếp cận đơn lẻ nào là đủ để giải quyết vấn đề bảo mật của tài sản tài chính. Điều này có nghĩa là cần phải xem xét kết hợp nhiều biện pháp an ninh khác nhau để đảm bảo an toàn cho tài sản tài chính.

Nhận xét:

IoT không cần mật khẩu & thiết bị Bluetooth yêu cầu đăng nhập bằng danh tính và mật khẩu thông qua APP hoặc mạng Bluetooth & đồ chơi (đồng hồ trẻ em/búp bê ghi âm) & thiết bị theo dõi trẻ em & thiết bị thanh toán hoặc những thiết bị liên quan đến tiền điện tử.

Các chuyên gia kỹ thuật của BACL khuyến nghị:

Các nhà sản xuất phải đảm bảo sản phẩm của mình tuân thủ tiêu chuẩn EN 18031 và hoàn tất đánh giá sự phù hợp trước ngày 1 tháng 8 năm 2025 . BACL là tổ chức NB của RED. Chúng tôi nắm rõ các yêu cầu của tiêu chuẩn EN 18031 và có kinh nghiệm thực tế phong phú. Chúng tôi cũng có kinh nghiệm lâu năm về ETSI EN 303 645. Bạn luôn được chào đón tham khảo ý kiến của chúng tôi.

Liên kết trang web chính thức của EU :

https://eur-lex.europa.eu/eli/dec_impl/2025/138/oj/eng

Khả năng kiểm tra và chứng nhận bảo mật mạng BACL:

Tiêu chuẩn chung (CC)

Tức là ISO/IEC 15408, là tiêu chuẩn cấp cao được công nhận trên toàn thế giới về chứng nhận an ninh mạng, được thiết kế để đảm bảo hiệu suất bảo mật của hệ thống thông tin, sản phẩm và dịch vụ đạt đến mức được công nhận trên toàn thế giới. Là một tổ chức đánh giá CC được ủy quyền, BACL có hơn 10 năm kinh nghiệm phong phú.

Tiêu chuẩn bảo mật cho Internet vạn vật ( IoT )

• Tiêu chuẩn EN 303 645

• (RED) điều 3/3 d/e/f Tiêu chuẩn an ninh mạng

• Chứng nhận IECEE CB

• Chứng chỉ PSTI UK Cyber Security Act

• Chứng chỉ đánh giá an ninh mạng của NIST Hoa Kỳ

• ISO 27001/27701/GDPR

Ưu điểm của dịch vụ bảo mật mạng BACL

• Tư vấn và đánh giá an ninh thông tin mạng trong giai đoạn R&D

• Tham vấn và đánh giá Đạo luật PSTI của Anh

• Tư vấn và đánh giá an ninh mạng theo chỉ thị CE RED

• Tham vấn và Đánh giá SB-327 của California

• Tư vấn và đánh giá chứng nhận an ninh mạng tự nguyện của FCC Hoa Kỳ

• Tư vấn và đánh giá an ninh mạng tại Brazil, Singapore và các quốc gia khác trên thế giới