什么是EN18031?
EN 18031是与RED无线电设备指令规定的网络安全要求相关的欧洲统一标准。 2022年1月, 委任条例(欧盟)2022/30 对某些类别的无线电设备启动了RED 第3(3)(d)、(e)和(f)条。 2025年1月,欧洲联盟委员会公布了18031-1:2024、EN 18031-2:2024的参考资料。 和EN 18031-3:2024,《官方公报》为制造商提供了一个统一的标准路线,以支持符合这些要求。 委派的条例自2025年8月1日起适用。
18031年EN 家庭包括三部分:
EN 18031-1,互联无线电设备的共同安全要求
EN 18031-2,处理个人、交通或位置数据的无线电设备的共同安全要求
EN 18031-3,处理虚拟货币或货币价值的无线电设备的共同安全要求
EN 18031 适用于谁?
EN 18031 对于属于 RED 网络安全要求 范围内的无线电设备制造商非常重要。这可能包括联网的消费设备、处理个人或位置信息的产品,以及与防欺诈相关的产品。
对于产品团队来说,这很重要,因为范围决定会影响技术文档、上市准备以及在产品投放市场之前所需的证据。
EN 18031 如何与RED Cybersecurity 要求相关?
RED是一个法律框架。 EN 18031 是标准层制造商可以用来支持符合 第3(3)(d)条规定的网络安全要求。 (e) 和 (f). 实际中:
RED规定了法律要求
EN 18031 帮助构建如何满足这些要求
技术文件和证据显示产品如何符合有关要求
如果你首先需要更广泛的监管背景, 请参阅<u><strong> RED 网络安全要求</strong></u> 和 <u><strong>无线电设备指令概述</strong></u><u><u></u>
EN 18031 无线电设备范围评估
范围是18031年EN 中最重要的部分之一,对许多相关产品而言,相关范围超出了实际设备。
对无线电设备实事求是的18031年范围评估可包括:
设备本身。
配对应用
云端或后端服务
账户和访问控制流程
更新机制
数据处理和储存
脆弱性处理过程
正因为如此,仅有设备的审查往往是不够的,对于许多已连接的产品,遵约图片会扩展到设备、 应用和后端。
要深入了解,请参阅《EN 18031 范围及适用性》。
EN 18031 Requirements, What they Mean in Practice
确切的要求取决于标准和产品类别的有关部分,但是小组通常需要通过如下主题开展工作:
访问控制
谁可以获得产品、服务或行政功能,以及如何控制这种获取。
安全配置
产品是否从安全状态开始并减少可避免的曝光量。
更新和更改管理
如何管理、验证和记录固件、软件和配置更改。
数据保护和隐私权
相关时如何保护个人、交通和位置数据。
欺诈保护
产品如何减少与滥用、未经授权的行动或货币滥用相关的风险。
易受伤害性处理
如何确定、评估、记录和处理长期存在的脆弱性。
EN 18031 Evidence Checklist
制造商通常需要的不仅仅是一句关于已考虑安全性的泛泛陈述。他们需要支持技术文件和符合性流程的结构化证据。 典型的证据可能包括:
产品范围和架构定义
设备映射、应用和后端边界
需要控制映射
安全决定和理由
身份验证和访问控制文档
更新和补丁方法
脆弱性处理过程
数据流量和数据保护文档
相关情况下审评、审定或测试记录
技术文件支持材料
通用差距团队运行到
团队斗争,因为工作分散在团队和工具中。
不明确的产品范围
缺少设备、 应用程序和后端之间的链接
无特定产品理由的一般性控制
证据分散在文件和所有人中间。
要求和文档之间映射较弱的
在发射前还需要准备的东西中可见性较低
这些差距减慢了内部审查的速度,使管理变得更加困难。
如何为EN 18031 遵约准备证据
对于大多数工作队,下一步工作如下:
确认 产品 是否属于 范围
标识18031EN 的哪一部分是 相关的
在不同的设备、 应用程序和后端定义范围
映射要求 到产品结构
准备技术文件所需的证据
在启动或评估前识别空白
这通常是各小组需要更明确的工作流程,而不是更分散的文件。
Cyberexpert 帮助
Cyberexpert 帮助团队从不确定转向更有条理的准备工作流程。
使用Cyberexper,团队可以:
评估EN 18031 是否与产品相关。
定义跨设备、 应用程序和后端的范围
生成特定产品要求地图
构建一个与产品结构挂钩的证据清单
以更明确的结构编写文件说明理由和辅助材料
为专家审评和下一步履约工作做准备工作
目的不是要取代法律审查或测试,目的是使范围更广、文件编制和准备工作更快、更易管理。