摘要：欧盟委员会在2022年发布了补充授权法案(EU)2022/30，明确了指令第3（3）条（d/e/f）等网络安全条款的详细要求。在2023年发布补充授权法案(EU)2023/2444,修改了2022/30/EU中强制时间，将其延迟到2025年8月1日。以此为背景

RED指令网络安全标准EN 18031

欧盟委员会在2022年发布了补充授权法案(EU)2022/30，明确了指令第3（3）条（d/e/f）等网络安全条款的详细要求。在2023年发布补充授权法案(EU)2023/2444,修改了2022/30/EU中强制时间，将其延迟到2025年8月1日。以此为背景，2024年5月，欧盟正式发布了网络安全标准FprEN 18031系列标准最终版草案，并于2024年8月正式公布。

EN 18031标准分为EN 18031-1/2/3三部分，分别对应RED指令中的要求。

2022/30/EU与EN 18031的关系

EN 18031-1：联网无线电设备（Internet connected radio equipment）

EN 18031-2：处理数据的无线电设备，即联网无线电设备、儿童无线电设备、玩具无线电设备和可穿戴无线电设备（radio equipment processing data, namely Internet connected radio equipment, childcare radio equipment,toys radio equipment and wearable radio equipment）

EN 18031-3：连接互联网的无线电设备处理虚拟货币或货币价值（Internet connected radio equipment processing virtual money or monetary value）

适用范围

法规条款对应的产品范围：

Article 3.3 (d)：能够直接连接到互联网（或间接）无线电设备

Article 3.3 (e)：不仅能够连接互联网，还具有个人数据处理和应用能力的无线电设备

Article 3.3 (f)：不仅能够连接互联网，并具备处理虚拟货币或货币价值功能的无线电设备

评估项目

EN 18031系列标准，为了保持标准的一致性，引入了资产（asset）作为主要评估目标，并分为安全资产（Security asset）、网络资产（Security asset）、隐私资产（Privacy asset）、金融资产（Financial asset）四种，并对应如下：

EN18031-1/2/3标准共性评估项目：

6.1 [ACM]访问控制机制

6.2 [AUM]认证机制

6.3 [SUM]安全更新机制

6.4 [SSM]安全存储机制

6.5 [SCM]安全通信机制

6.9 [CCK]机密加密密钥

6.10 [GEC]通用设备能力

6.11 [CRY]密码学

EN18031-1/2/3标准差异性评估项目：

EN18031-1：

6.6 [RLM]弹性机制

6.7 [NMM]网络监测机制

6.8 [TCM]流量控制机制

EN18031-2：

6.1 [ACM]儿童玩具的访问控制机制

6.6 [LGM]日志机制

6.7 [DLM]删除机制

6.8 [UNM]用户通知机制

6.10.7 [GEC-7]外部传感能力文档

EN18031-3：

6.6 [LGM]日志机制

6.8.8 [GEC-8]设备完整性

来源：微测检测