歐盟無線電設備指令(RED)網路安全法令遵循 - EN 18031-1/2/3
歐盟最新無線電設備指令(RED)規定,所有具備無線連線功能的設備,必須具備高水準的安全性、隱私權保護能力和防詐欺機制,方可在歐盟市場銷售。 EN 18031 系列標準作為統一的法令框架,確保製造商在產品進入歐盟市場前全面滿足網路安全法規要求,並持續符合 CE 標誌的法令義務。
聯絡 GRL,開啟您的 RED EN 18031 合規之旅。
符合新 RED 要求的產品包括:
- 消費性電子產品:智慧型手機,平板電腦和穿戴設備
- 物聯網與智慧設備:連網家庭系統與工業設備
- 金融與支付設備:無線支付系統
- 數位與互聯消防設備:物聯網警報器與照明裝置
- 娛樂與教育產品:遊戲機與電子閱讀器
- 交通與安全設備:汽車遠端資訊與免鑰匙系統
特定非連網無線電設備:包括處理語音或臉部辨識個人資料的可穿戴設備,玩具和兒童照護用品。
請參閱下表以了解適用詳情:
|
設備類型 |
網路連接無線電設備/無線電設備 |
EN 18031-1 (網路功能) |
EN 18031-2 (資料保護) |
**EN 18031-3 (金融交易) ** |
說明 |
|
RED-基本要求參考 |
2014/53 |
第 3.3 d 條 |
第 3.3 e 條 |
第 3.3 f 條 |
|
|
授權法案參考 |
2022/30 |
第 1.1 條 |
第 1.2 條 |
第 1.3 條 |
|
|
平板電腦/筆記型電腦 |
連結網路 |
是 |
是 |
是* |
僅在支援金融交易的情況下 |
|
智慧型手機/家用設備和無線物聯網設備 |
連結網路 |
是 |
是 |
是* |
僅在支援金融交易的情況下 |
|
玩具與兒童保育 |
連結網路 |
是 |
是 |
是* |
僅在支援金融交易的情況下 |
|
玩具與兒童保育 |
無線電設備(無網路) |
否 |
是 |
否 |
|
|
身體穿戴/穿戴設備 |
連結網路 |
是 |
是 |
是* |
僅在支援金融交易的情況下 |
|
身體穿戴/穿戴設備 |
無線電設備(無網路) |
否 |
是 |
否 |
|
|
汽車 |
連結網路 |
是 |
否 |
否 |
|
|
航空(無人機) |
連結網路 |
是 |
否 |
否 |
|
|
公路收費系統 |
連結網路 |
是 |
否 |
否 |
|
|
醫療設備 |
連結網路 |
否 |
否 |
否 |
|
|
IVD 醫療設備 |
連結網路 |
否 |
否 |
否 |
|
強制法令截止日期 - 2025年 8月 1日
歐盟委員會已將 EN 18031 系列列為 RED 的協調標準,規定自 2025年 8月 1日起,所有投放歐盟市場的新無線電設備必須符合該系列標準。製造商必須在此截止日期前完成產品的測試與認證,以確保符合網路安全法規要求並獲得監管批准。
GRL 支援製造商、電信供應商和物聯網開發商滿足 EN 18031-1、EN 18031-2 和 EN 18031-3 的要求。
- 權威認證的網路安全測試
GRL 的 ISO/IEC 17025 認證實驗室為您提供全面的第三方測試和評估服務,助力產品符合歐盟 RED 網路安全指令且順利進入市場。 - 認證前測試
幫助製造商在預認證階段查出並解決漏洞,加速審批過程。 - 物聯網與無線設備安全測試
包括物聯網,智慧家庭和穿戴式裝置以及汽車系統和資訊基礎設施的專家。
EN 18031 標準詳情
EN 18031-1 – 網路保護
以下措施確保設備不會危害網路的完整性:
- 未經授權的存取與干擾
- 從連接裝置傳播的惡意軟體
- 過量頻寬消耗影響效能
EN 18031-2 – 用戶資料與隱私保護
以下措施確保個人資料安全:
- 敏感資料加密(傳輸和儲存)
- 防止未經授權的追蹤和隱私洩露
- 安全認證,存取控制
EN 18031-3 – 預防詐欺和安全交易
要求對無線電連接的金融設備實施反詐欺安全保護,確保:
- 防止未經授權的交易和身分盜用
- 保障無線支付流程的安全
- 防止設備複製,篡改和網路欺詐
ETSI EN 303 645 法令遵循
歐洲電信標準協會(ETSI)於2020年發布了 ETSI EN 303 645 標準,以因應物聯網(IoT)設備安全日益受到關注的問題。該標準為連網消費性物聯網設備的設計、開發和生命週期管理提供了安全要求,涵蓋了包括智慧家電、穿戴式裝置和家庭自動化系統等個人和家庭使用的設備。
需要指出的是,ETSI EN 303 645 標準僅適用於消費性產品,並未涵蓋所有物聯網設備。例如,醫療、製造或工業領域的物聯網設備通常具有不同的安全要求和監管規範,因此不受該標準的約束。
Granite River Labs (GRL) 提供全面的安全測試和法令遵循認證服務,協助製造商、開發者和物聯網供應商輕鬆實現ETSI EN 303 645的要求,確保順利進入全球市場。
了解如何符合 ETSI EN 303 645 標準
什麼是 ETSI EN 303 645?
作為歐洲消費物聯網網路安全標準,ETSI EN 303 645 定義了連網裝置的最佳安全實踐,並獲得以下機構認可:
- 歐盟網路安全彈性法案
- 英國產品安全與電信基礎設施法案(PTSI)
- 全球物聯網安全監理框架
GRL 的物聯網安全測試和 ETSI EN 303 645 法令遵循服務包括:
- 法令遵循與認證支援
- 預法令遵循評估:識別未達 ETSI EN 303 645 法令遵循要求的項目
- 技術文件與測試報告:為監理審批做好準備
- 認證支援:順利滿足歐盟監管要求
- 滲透測試與風險評估
- 復原力測試:評估物聯網設備針對網路威脅的防禦能力
- 漏洞評估:識別韌體、API 和網路協定中的弱點
- 廣泛的物聯網產品測試
- 智慧家庭與消費性物聯網:攝影機、門鈴、智慧音響和穿戴式設備
- 工業與企業物聯網:智慧電錶、工業自動化與連網醫療設備
- 網路通訊設備:路由器、網關和智慧中心
網路安全彈性法案 (CRA)
歐盟網路安全彈性法案為製造商和零售商提供的軟硬體產品設定了嚴格的網路安全要求。該法規將於 2027 年 12 月正式生效,旨在確保相關產品在進入歐盟市場之前已達到數位安全和生命週期管理的基本標準,從而增強歐盟整體數位生態的安全防護能力。
所有具備直接或間接連接其他設備或網路能力的產品均納入 CRA 的監管範圍,涵蓋從日常消費性電子產品至複雜的工業系統。開源軟體以及已受其他現行法規管轄的產品不在 CRA 的適用範圍內。
CRA 透過強制執行網路安全法令義務,旨在降低資料外洩、惡意軟體感染和未經授權存取等關鍵安全風險。符合 CRA 要求的產品將獲得 CE 標誌,表明其符合歐盟在安全、健康及環境保護等方面的法令遵循標準。
什麼是網路安全彈性法案 (CRA)?
CRA 的適用範圍包括:
- 消費和工業數位產品 - 連接到網路的任何設備或軟體
- 物聯網和智慧設備: 穿戴式和智慧家庭設備以及連網電器
- 企業與關鍵基礎設施系統: 雲端軟體、工業自動化與通訊設備
- 排除項:開源軟體及已受現行歐盟網路安全法律監管的產品。
GRL 所提供的 CRA 法令遵循和網路安全測試服務
- 網路安全風險與漏洞評估
- 識別網路威脅、軟體和網路風險
- 確保資料儲存、傳輸和系統完整性
- 滲透測試和安全驗證
- 測試針對網路攻擊、惡意軟體和未經授權存取的防禦能力
- 評估韌體、軟體和應用程式介面的安全性
- 法令遵循與 CE 標誌準備
- 預認證評估,以識別未達 CRA 法令要求的項目
- 提交監管文件的技術文件和測試報告
- 為 CE 標識審批提供支援
- 安全軟體開發與生命週期管理
- 確保定期軟體更新、安全性修補程式和事件回應計劃
- 實施嚴格身份驗證和存取控制機制
英國產品安全與電信基礎設施法案 2022 條(PSTIA)
英國產品安全與電信基礎設施法案 2022 條設定了強制密碼要求以及使用者安全資訊的揭露義務,旨在提升英國智慧消費生態系統的整體安全水準。儘管該規定目前僅適用於製造商,但業內普遍預期未來將擴展至進口商和分銷商。專家建議供應鏈相關方儘早落實 PSTIA 法令遵循策略,以規避潛在法令風險及違規行為帶來的高額成本。
自 2024年 4月 29日起,英國產品安全與電信基礎設施法案 2022 條正式生效。根據2023年產品安全與電信基礎設施條例(Security Requirements for Relevant Connectable Products Regulations 2023),面向英國市場的消費性可連接產品製造商必須履行該法案中的相關義務,其中包括一系列最低網路安全要求。
- 本規定可視為2023年產品安全與電信基礎設施(相關可連接產品安全要求)規定。
- 該規定從 2024年 4月 29日起生效,適用於英格蘭和威爾斯、蘇格蘭以及北愛爾蘭。
產品安全與標準辦公室(OPSS)負責監管法規的執行,並與數位、文化、媒體與體育部(DSIT)在諒解備忘錄框架下開展合作,確保嚴格遵守2022年產品安全與標準法案以及2023年相關法規的要求。
- 相關方包括:負責產品安全的相關可連結產品製造商、進口及分銷的企業。
- 「相關可連接產品」指能夠連接網路或其他網路的設備,旨在改善使用者生活品質。不包括被額外產品項目。
《2023年條例》附表1列出了相關可連接產品必須遵守的具體安全要求。
- 密碼:每個產品必須具有唯一密碼,或允許使用者自訂密碼。產品必須符合 ETSI EN 303 645 第 5.1-1 條的要求,並在適用情況下,符合 ETSI EN 303 645 第 5.1-2 條的相關規定。
- 安全問題報告資訊:製造商必須提供明確的產品安全問題報告管道,並符合 ETSI EN 303 645 第 5.2-1 條的要求。
- 安全更新周期:製造商必須告知使用者產品的最短安全更新周期,並確保資訊以清晰、易於存取的方式公開。產品還需符合 ETSI EN 303 645 第 5.3-13 條的要求。
國家通訊安全中心 (NCCS)
國家通訊安全中心(NCCS)隸屬於印度政府電信部(DoT),負責通過對電信設備的安全評估與認證,確保印度關鍵通訊基礎設施的網路安全。 NCCS 制定的《印度電信安全保障要求》(ITSAR)為電信網路設備定下安全性要求,適用於印度境內所有電信服務供應商及電信基礎設施進口企業。
ITSAR 歸於《電信設備強制測試與認證制度》(MTCTE)架構下,負責網路安全、資料隱私及合法監聽等關鍵領域。遵循 ITSAR 要求不僅有助於提升印度電信網路的整體防護能力,也為電信設備製造商在參與印度公私營專案招標時提供明顯的競爭優勢。作為 NCCS 指定的電信安全測試實驗室(TSTL),GRL 可依據 ITSAR 要求及其他國家/國際標準,為以下設備提供網路安全測試服務:
- IP 路由器(獨立式、雲端管理式、虛擬式)
- Wi-Fi 用戶端裝置 (CPE)
- 獨立式或雲端管理存取點 (AP)
- 光線路終端 (OLT) 和光網路終端 (ONT)
- 5G/LTE 核心與無線網路組件
獲得 NCCS 認證是電信設備取得 MTCTE 認證的必要條件,而 MTCTE 認證則是電信設備進入印度市場的強制性要求。
BIS CCTV 網路安全
印度電子與資訊科技部(MeitY)實施的強制註冊計畫(CRS)要求所有消費性電子產品製造商將產品註冊至印度標準局(BIS),並須通過 BIS 認可實驗室的測試以納入 BIS 註冊目錄。
自 2025年 4月 9日起,除符合電氣安全標準外,所有閉路電視攝影機(CCTV)還必須符合《基本要求》(ER01)中所規定的網路安全技術規範。該規範旨在防止敏感資訊洩露,並確保系統的可靠性與穩定性。
關鍵測試項目包括:開放的網路服務、設備通訊協定、對 UART、JTAG、SWD 等調試介面的實體存取權限、記憶體與韌體擷取能力、韌體更新機制的安全性,以及資料儲存與加密策略。
原始設備製造商(OEM)應重點關注以下最低安全要求:
- 存取控制: 為管理員、操作員和使用者實施基於角色的身份驗證。
- 網路安全:確保資料儲存和傳輸的端對端加密,以防止竊聽或資料外洩。
- 軟體安全:定期更新韌體和軟體,修復漏洞;停用未使用的功能,限制不必要的網路服務;執行強密碼策略,包括多因素認證(MFA)。
- 滲透測試與網路威脅抵禦:定期進行滲透測試,識別並修復漏洞;確保系統能抵禦網路攻擊、惡意軟體及未經授權的存取嘗試。
GRL India 已獲得英國工業安全局 (BIS) 授權,根據強制註冊計劃 (CRS) 為閉路電視攝影機提供網路安全測試,幫助製造商在認證前進行預符合性測試,並測試 ER01 中列出的基本安全要求所定義的以下安全參數:
- 硬體級安全參數
- 軟體/韌體
- 確保流程階段遵循安全法令
- 產品開發階段的保障安全法令遵循
漏洞評估與滲透測試 (VAPT)
VAPT 對於識別、分析和緩解連網設備(包括電信、物聯網和無人機)安全風險至關重要。美國國家標準與技術研究院(NIST)發布的 SP 800-115 提供了結構化的安全測試方法,確保系統的復原能力,並符合相關法規要求。
提供服務包括:
- 漏洞評估 (VA) – 找出安全漏洞
- 自動化和手動掃描硬體、韌體及軟體中的漏洞。
- 評估加密、身份驗證和存取控制機制。
- 根據風險度進行評估與優先排序。
- 滲透測試 (PT) – 模擬現實攻擊
- 黑盒、灰盒和白盒測試方法。
- 模擬網路攻擊、惡意軟體注入及非法存取行為
- 測試韌體完整性、API 安全性和網路復原力。
應用程式安全測試 (AST)
在網路、行動、物聯網、電信網路或嵌入式設備上運行的現代應用程式是網路攻擊的主要攻擊目標。弱身份驗證、無擔保的應用程式介面以及未修補的漏洞可能導致系統於資料外洩、服務中斷和安全漏洞的風險。確保頑強的應用程式安全性對維護用戶信任、法令遵循以及業務連續性至關重要。
- 網頁與行動應用程式安全測試
- 物聯網與嵌入式系統應用安全測試
- API 與雲端應用程式安全測試
- 滲透測試與漏洞利用模擬
- 安全軟體開發與 DevSecOps 實踐
Granite River Labs(GRL)作為經 NABL(ISO/IEC 17025)認證的實驗室,透過基於 OWASP Top 10 和 CWE 25 框架的嚴格安全測試,協助製造商、軟體開發人員和服務提供者強化應用程式的安全性。端到端安全評估確保應用程式在從開發到部署的每個階段都能抵禦網路威脅。
CIS 基準法令遵循測試
網路基礎設施常常成為網路攻擊的目標。因此,路由器、交換器、防火牆、VPN 閘道及其他設備的安全加固機關重要。網路安全中心(CIS)基準提供了業界認可的安全配置,旨在降低系統漏洞、防止未經授權的訪問,並提升系統的防禦能力。 GRL 的 CIS 基準符合性測試服務包括:
- 基礎安全設定驗證
- 網路加固與安全配置測試
- 自動化法令遵循稽核與報告生成
- 滲透測試與漏洞評估