根據歐盟《無線電設備指令》(2014/53/EU)授權法案(2022/30)正式規定,自2025年8月1日起,所有進入歐盟市場的無線電設備須符合強化網路安全標準,否則將無法保留 CE 認證。透過個人資料保護的加強,此監管措施確保網路系統完整性並預防詐騙活動,應對數位互聯環境所帶來的挑戰。若製造商符合協調標準EN 18031-1、EN 18031-2及EN 18031-3所定義的技術要求,在適用情況下可享有特定合規性豁免。
該法規生效日期已從原定的2024年8月1日延後一年,以便各項標準協調一致,並加強實施計畫。儘管如此,歐盟監管機構仍強烈建議製造商即著手合規準備。此舉不僅能有效規避後製設計變更帶來的高額成本,也能幫助產品更順利地適應歐盟持續更新的監管要求。
要注意,並非所有無線電設備都受歐盟 RED 指令的約束。以下設備需強制遵守網路安全合規要求:
根據行業特定法規管轄,下列設備可被完全排除或豁免適用歐盟 RED 部分條款。
若製造商仍不確定其設備是否受歐盟 RED 網路安全要求約束,請參考歐盟委員會官方網站1或諮詢 GRL 網路安全專家。
已在歐盟市場銷售的設備,若其技術規格不涉及潛在安全隱患,可繼續使用至生命週期結束。自8月1日起,所有進入歐盟市場的獨立無線電產品,不論是否屬於既有產品系列,均須符合最新合規要求。
隨著智慧型手機、工業物聯網模組甚至玩具等日常設備納入無線電生態系統,網路安全風險已達到前所未有的程度。為此,歐盟委員會已啟用無線電設備指令 RED 第 3.3(d),(e)及(f)條:
第 3.3 (d) 條 – 無線電設備不得對網路或其功能造成損害,亦不得濫用網路資源,以致引發不可接受的服務品質降級。
例: 在韌體更新或錯誤復原過程中實施資料速率限制及退避策略,以避免造成網路擁塞。需注意,符合 EN 18031-1 標準之要求即可視為符合本條規定。
第 3.3 (e) 條 – 無線電設備應配置必要的保護措施,以確保使用者及訂閱者的個人資料與隱私權獲得有效保障。
例: 透過加密雲端通訊、最小化非必要資料收集及保障儲存資料安全等措施保護使用者隱私。需注意,符合 EN 18031-3 標準之要求即可視為符合本條規定。
第 3.3 (f) 條 – 無線電設備應具備防範詐欺的功能特性。
例: 部署安全啟動、韌體加密簽章及使用者認證等反詐騙機制,可有效防止裝置被用於惡意目的。需注意,符合 EN 18031-3 標準之要求即可視為符合本條規定。
根據是否具備網路連線功能,無線電設備可能豁免適用歐盟 RED 特定條款:
不具備使用者可設定憑證的設備(如藍牙信標或被動感測器)不得豁免歐盟 RED 所規定的網路安全要求。對此類設備,製造商必須實施替代性技術保障措施,以證明即使在沒有傳統密碼的情況下,設備也無法被惡意利用或重新編程。此類設備的CE標誌不得透過自我聲明方式取得,而必須經由公告機構參與認證。
典型技術保障措施包括:
隨著 8月 1日歐盟RED新規實施進入最後倒數計時,企業亟需採取行動。透過投資安全產品開發與早期測試,您將能夠輕鬆滿足更高的安全標準、隱私保護和網路彈性要求。 Granite River Labs 提供全方位的網路安全測試解決方案,協助您自信開拓歐盟市場,無後顧之憂。
1. Radio Equipment Directive. European Commission.