您當(dāng)前的位置:檢測(cè)資訊 > 法規(guī)標(biāo)準(zhǔn)
嘉峪檢測(cè)網(wǎng) 2025-03-21 11:11
法規(guī)更新背景:
隨著物聯(lián)網(wǎng)(IoT)設(shè)備在歐盟市場(chǎng)的普及,從智慧手表到嬰兒監(jiān)視器,數(shù)十億臺(tái)設(shè)備已成為日常生活的核心。然而,2014年《無(wú)線電設(shè)備指令》(RED)尚未預(yù)見此波浪式成長(zhǎng),當(dāng)時(shí)的法規(guī)框架未涵蓋網(wǎng)路安全防護(hù)。結(jié)果,DDoS 攻擊、個(gè)人數(shù)據(jù)外泄、金融詐騙等事件頻傳,成為歐盟數(shù)位單一市場(chǎng)的潛在破壞性風(fēng)險(xiǎn)。
歐盟委員會(huì)在2021年啟動(dòng)RED修訂,將網(wǎng)路安全納入核心合規(guī)要求。這項(xiàng)決策源于兩項(xiàng)關(guān)鍵認(rèn)知:
• 安全預(yù)設(shè)設(shè)計(jì)(Secure by Default):物聯(lián)網(wǎng)設(shè)備需在設(shè)計(jì)階段即內(nèi)建防護(hù)機(jī)制,而非事后補(bǔ)救。
• 分級(jí)管控:針對(duì)不同設(shè)備風(fēng)險(xiǎn)(如網(wǎng)路連接、數(shù)據(jù)處理、電子支付),分別制定3.3(d)(e)(f)條款,精準(zhǔn)針對(duì)各類威脅。
EN 18031系列標(biāo)準(zhǔn)是RED指令網(wǎng)路安全要求的技術(shù)規(guī)范與實(shí)施基準(zhǔn),分為三部分(EN 18031-1/2/3),對(duì)應(yīng)RED第3.3條款的不同安全層面(網(wǎng)路損害防護(hù)、隱私保護(hù)、防詐欺)。
法規(guī)執(zhí)行時(shí)間軸:
• 2025年1月30日,歐盟委員會(huì)正式將EN 18031系列標(biāo)準(zhǔn)列入《歐盟官方公報(bào)》(OJ)的《無(wú)線電設(shè)備指令》(RED)協(xié)調(diào)標(biāo)準(zhǔn)清單,標(biāo)志著該系列標(biāo)準(zhǔn)成為歐盟境內(nèi)無(wú)線電設(shè)備網(wǎng)絡(luò)安全合規(guī)的重要依據(jù)。
• 2025年8月1日起,RED指令中的網(wǎng)絡(luò)安全條款A(yù)rticle 3.3(d)、(e)和(f)將強(qiáng)制生效!
法規(guī)更新要點(diǎn):
RED指令第3.3條新增要求:
• 3.3(d):針對(duì)能自行連接網(wǎng)路的設(shè)備(如手機(jī)、智慧家電),要求防止設(shè)備危害網(wǎng)路運(yùn)作(如阻斷服務(wù)攻擊),并禁止濫用頻寬資源。
• 3.3(e):針對(duì)處理個(gè)人/位置數(shù)據(jù)的設(shè)備(如穿戴裝置、兒童玩具),強(qiáng)制實(shí)施端到端加密、存取控制,并對(duì)接 GDPR 第 4 條與《電子通訊隱私指令》。
• 3.3(f):針對(duì)支援電子支付的設(shè)備(如行動(dòng)支付終端、加密貨幣硬體錢包),強(qiáng)化交易驗(yàn)證機(jī)制(如多因素認(rèn)證),防范詐騙與虛擬貨幣盜用。
• 豁免范圍:(EU) 2017/745(醫(yī)療器械)、(EU) 2017/746(體外診斷醫(yī)療器械)、 (EU) 2018/1139(民用航空安全)、(EU) 2019/2144(車輛類型認(rèn)可)和指令 (EU) 2019/520(電子道路收費(fèi)系統(tǒng))涵蓋的無(wú)線電設(shè)備免于遵守第 3(3)(e) 和 (f) 條。
(EU) 2025/138 安全與合規(guī)重點(diǎn)要求:
• 默認(rèn)密碼問題:如果允許用戶不設(shè)置或使用密碼,則相關(guān)標(biāo)準(zhǔn)不被認(rèn)可為符合指令的基本要求。這意味著設(shè)備必須強(qiáng)制用戶設(shè)置密碼,以確保安全性。
• 玩具和兒童護(hù)理設(shè)備的訪問控制:如果未能確保家長(zhǎng)或監(jiān)護(hù)人的訪問控制,則不滿足指令的基本要求。這意味著這些設(shè)備必須具備讓家長(zhǎng)或監(jiān)護(hù)人能夠控制的機(jī)制。
• 金融資產(chǎn)的安全更新:安全更新評(píng)估標(biāo)準(zhǔn)規(guī)定了多種實(shí)施類別,單獨(dú)的任何一種方法都不足以處理金融資產(chǎn)的安全。這意味著需要綜合考慮多種安全措施來(lái)確保金融資產(chǎn)的安全。
來(lái)源:倍科看世界
