根據歐盟《無線電設備指令》(2014/53/EU)授權法案(2022/30)正式規定,自2025年8月1日起,所有進入歐盟市場的無線電設備須符合強化網路安全標準,否則將無法保留 CE 認證。透過個人資料保護的加強,此監管措施確保網路系統完整性並預防詐騙活動,應對數位互聯環境所帶來的挑戰。若製造商符合協調標準EN 18031-1、EN 18031-2及EN 18031-3所定義的技術要求,在適用情況下可享有特定合規性豁免。
該法規生效日期已從原定的2024年8月1日延後一年,以便各項標準協調一致,並加強實施計畫。儘管如此,歐盟監管機構仍強烈建議製造商即著手合規準備。此舉不僅能有效規避後製設計變更帶來的高額成本,也能幫助產品更順利地適應歐盟持續更新的監管要求。
EU RED 網路安全新規涵蓋哪些設備?
要注意,並非所有無線電設備都受歐盟 RED 指令的約束。以下設備需強制遵守網路安全合規要求:
- 與網路連結的消費性電子產品。例如:手機、平板電腦、相機和智慧型電視。
- 物聯網設備。例如:智慧家庭集線器、穿戴式裝置和連網玩具。
- 玩具、兒童照護及安全設備。例如:嬰兒監視器和 GPS 追蹤器。
- 與網路連接的工業無線電設備及無線汽車電子子組件
- 任何具備無線電通訊及網際網路連線性能的設備
根據行業特定法規管轄,下列設備可被完全排除或豁免適用歐盟 RED 部分條款。
- 完全排除: 醫療設備
- 豁免第3(3)(e)及(f)条适用:
- 航空設備、機動車輛及電子道路收費系統
- 純離線無線電設備(如未連網的DAB收音機或雷達裝置)
豁免第3(3)(e)及(f)條適用:
若製造商仍不確定其設備是否受歐盟 RED 網路安全要求約束,請參考歐盟委員會官方網站1或諮詢 GRL 網路安全專家。
針對現有設備的 EU RED 合規要求
已在歐盟市場銷售的設備,若其技術規格不涉及潛在安全隱患,可繼續使用至生命週期結束。自8月1日起,所有進入歐盟市場的獨立無線電產品,不論是否屬於既有產品系列,均須符合最新合規要求。
歐盟 RED 指令更新如何應對網路安全威脅
隨著智慧型手機、工業物聯網模組甚至玩具等日常設備納入無線電生態系統,網路安全風險已達到前所未有的程度。為此,歐盟委員會已啟用無線電設備指令 RED 第 3.3(d),(e)及(f)條:
第 3.3 (d) 條 – 無線電設備不得對網路或其功能造成損害,亦不得濫用網路資源,以致引發不可接受的服務品質降級。
例: 在韌體更新或錯誤復原過程中實施資料速率限制及退避策略,以避免造成網路擁塞。需注意,符合 EN 18031-1 標準之要求即可視為符合本條規定。
第 3.3 (e) 條 – 無線電設備應配置必要的保護措施,以確保使用者及訂閱者的個人資料與隱私權獲得有效保障。
例: 透過加密雲端通訊、最小化非必要資料收集及保障儲存資料安全等措施保護使用者隱私。需注意,符合 EN 18031-3 標準之要求即可視為符合本條規定。
第 3.3 (f) 條 – 無線電設備應具備防範詐欺的功能特性。
例: 部署安全啟動、韌體加密簽章及使用者認證等反詐騙機制,可有效防止裝置被用於惡意目的。需注意,符合 EN 18031-3 標準之要求即可視為符合本條規定。
連網設備 vs. 離線設備
根據是否具備網路連線功能,無線電設備可能豁免適用歐盟 RED 特定條款:
- 具備網路連線的裝置必須支援加密傳輸、更新安全認證機制和安全軟體功能,以防止詐欺和資料外洩。
- 非連網的無線電設備通常可豁免第3(3)(e)和(f)條要求。但若設備需與其他設備或系統進行資料交互,則基於維護網路完整性的要求,仍須符合第3(3)(d)條規定。
無密碼設備合規要求
不具備使用者可設定憑證的設備(如藍牙信標或被動感測器)不得豁免歐盟 RED 所規定的網路安全要求。對此類設備,製造商必須實施替代性技術保障措施,以證明即使在沒有傳統密碼的情況下,設備也無法被惡意利用或重新編程。此類設備的CE標誌不得透過自我聲明方式取得,而必須經由公告機構參與認證。
典型技術保障措施包括:
- 設備配對及韌體控制專用唯一識別符
- 預設安全預設配置(具備防篡改特性)
- 安全啟動機制與受控韌體更新路徑
掌握安全產品開發先機,輕鬆滿足歐盟 RED 高標準要求
隨著 8月 1日歐盟RED新規實施進入最後倒數計時,企業亟需採取行動。透過投資安全產品開發與早期測試,您將能夠輕鬆滿足更高的安全標準、隱私保護和網路彈性要求。 Granite River Labs 提供全方位的網路安全測試解決方案,協助您自信開拓歐盟市場,無後顧之憂。
參考
1. Radio Equipment Directive. European Commission.
