欧盟网络安全要求：RED和CRA指令解读

RED指令中的网络安全要求

欧盟对网络信息安全的监管，强制实施的第一步是把网络信息安全要求作为欧盟无线设备指令的必要要求条款。 RED指令中针对网络信息安全的要求条款Article 3.3 (d).(e).(f)将从2025年8月1日起强制。这意味着从2025年8月1日起，RED指令所管制的产品，证明其符合CE标识的必要要求，应同时涵盖:

1. Article 3.1 (a) 安全;
2. Article 3.1 (b) EMC;
3. Article 3.2 Radio;
4. Article 3.3  (d).(e).(f) 网络信息安全，
5. Article 3.4 通用充电接口

现在，欧盟网络信息安全的协调标准EN 18031已经正式发布。制造商可以从现在开始获取涵盖网络信息安全条款的RED证书。Nemko 是RED指令的公告机构。Nemko的RED授权资质涵盖上述所有条款。制造商可以根据自己的情况选择获证方式：

• 如果产品未持有任何RED证书，则需要同时提供上述1)-5)项证明符合各项必要要求的报告，获取一份涵盖全部条款的RED 证书。
• 如果产品已持有符合RED的3.1&3.2章节的RED证书，可以单独申请确认符合网路信息安全条款的RED 证书。

涉及的产品

RED 指令涵盖了可以通过互联网通信或通过其他设备进行通信的设备。可能暴露敏感个人资料的无线电设备也在RED规定范围之内。例如:

• 手机、平板电脑和笔记本电脑；
• 无线玩具和儿童安全设备，如婴儿监视器；
• 可穿戴设备，如智能手表和健康追踪器等
  
• 智能摄像头、电视、智能音箱、智能显示屏
• 智慧家电，烟雾探测器、智能门锁、窗户传感器等

EN 18031 系列标准应用: 

• EN 18031-1  适用于 Article 3.3(d): 与网络连接的设备。
• EN 18031-2  适用于 Article 3.3 (e): 涉及隐私数据的无线设备(有关"隐私数据“的详细定义，请参阅欧盟法规2016/679第4(1)条和4(2)条以及指令2002/58/EC第2(b)条和(c)条)。
• EN 18031-3 适用于 Article 3.3 (f): 涉及货币交易的无线设备。（有关”货币“的定义，请参考欧盟指令2019/713第2(d)条)。网络安全措施应考虑到电子支付行业新兴的犯罪趋势，如加密劫持、勒索软件、与近场通信相关的欺诈和生物识别认证篡改等。
  
  

2024年3月，欧盟议会通过投票正式批准了《欧盟网络弹性法案》(Cyber Resilience Act-CRA)。《欧盟网络弹性法案》将作为一项针对网络信息安全的CE 指令，一个法律框架。它描述了对进入欧盟市场的数字化产品的软件硬件方面的网络信息安全要求，制定了各方经济体的职责等。制造商有义务确保产品整个生命周期过程的网路信息安全。在经过欧盟议会投票批准后，CRA还将经过欧盟理事会的批准后方可正式发布， 预计CRA将在2027年取代现有RED指令中的网络信息安全要求。 可以确定的是，CRA也确认采用协调标准EN 18031 系列以及其它未来将制定的标准来确认其符合性。

Nemko 已经开始使用EN 18031 系列标准进行网络信息安全评估​。Nemko可以签发涵盖网络信息安全​条款的RED证书。 欢迎联系我们了解详情。19128450786