欧盟RED网络安全标准EN 18031-2将在2025年8月1日强制执行

EN 18031系列标准为无线电设备满足欧盟将在2025年8月1日强制执行的网络安全授权法案 (Radio Equipment Directive Delegated Act) 设定了严格规范。其中，EN 18031-2对应RED指令中的Article 3.3(e)，确保无线电设备具备相应的隐私保护功能，为了避免这些设备被滥用于未经授权的访问或防止个人信息泄露。

适用产品范围：

• 能够处理个人隐私数据的可联网无线电设备。

• 不具备联网能力的三类无线电设备：玩具、儿童护理类设备、可穿戴类设备。

主要测试与评估内容：

EN 18031-2涉及两类资产：安全资产与隐私资产，主要测试与评估内容如下：

通用评估条款：

访问控制机制：验证设备是否实现了适当的访问控制机制，确保只有授权人员能够访问和处理敏感数据。此外，对于儿童护理或玩具类设备，还要求实现不可绕过的家长/监护人权限管理，以保护儿童的隐私和安全。

安全更新机制：设备应至少具备一种可用于更新其资产相关软件的机制，如通过配套APP、Web管理界面或USB本地更新接口实现。确保设备的软件和固件能够安全、可靠的进行更新。

安全存储机制：设备应通过访问权限控制或数据加密等手段保护持久保存在本地的资产，保证其完整性与机密性。测试人员将确认相关加密措施是否有效，包括加密算法的强度、密钥管理的安全性等，以防止数据被未授权访问或篡改。

安全通信机制：设备在涉及到和网络资产和安全资产有关的通信时，应采用适当的手段保障通信的完整性、真实性和机密性。例如，采用TLS1.2及以上版本的安全通信协议，采用符合当下密码学最佳实践的加密套件。

隐私资产的特定评估条款：

日志记录机制：设备应具备有效的事件记录能力来记录与安全、隐私数据访问相关的关键事件。设备在运行过程中与安全、隐私数据访问等相关的重要行为或状态变化，这些行为或状态需要被记录在日志中以便于后续追踪、分析或审计。

删除机制：设备应具备删除机制，确保用户或授权实体可删除设备上存储的个人数据或敏感安全参数

用户通知机制：对于隐私资产保护方式的变更，设备应实施至少一种相应的用户通知机制。该机制应包含对于变更造成影响的描述。

转载链接：https://www.intertek.com.cn/listdata/1921825676030119936.html

关注“广东技术性贸易措施”，获取更多服务。