01 新规解读：RED指令网络安全要求全面升级

欧盟RED指令（Radio Equipment Directive）作为CE认证中针对无线产品的强制性指令，自2014年公布以来一直是无线电设备出口欧盟的技术法规-5。

2025年的重大更新在于——RED指令第3(3)条(d)、(e)、(f)款从自愿遵守变为强制实施-2。

这些条款主要涉及三大核心要求：

• 网络保护：设备不得损害网络或其功能，也不得滥用网络资源导致服务降级-1-9。

• 隐私保护：必须包含保护措施，确保用户的个人数据和隐私得到保障-2-9。

• 反欺诈机制：设备需支持特定功能，防止金融服务中的欺诈行为-2-9。

欧盟委员会已正式将EN 18031系列标准纳入RED指令的协调标准，该标准已于2025年8月1日强制生效-8-4。

02 适用产品范围：全面覆盖无线设备领域

EN 18031标准分为三部分，分别适用于不同类别的无线电设备：

EN 18031-1适用于所有具有互联网连接功能的无线电设备-9。涵盖产品包括：手机、平板电脑、Wi-Fi路由器、智能家电、联网汽车组件等-2-9。

这类设备需要评估网络资产安全性，包括抵御网络攻击、防止网络资源滥用和服务中断等-9。

EN 18031-2针对处理个人数据的设备，特别关注隐私保护-9。

涵盖产品包括：蓝牙耳机和音响、智能手表和可穿戴设备、婴儿监视器、智能传感器、GPS跟踪设备等-2-9。

EN 18031-3则针对处理虚拟货币或货币价值的设备-9。

适用产品包括：POS机、ATM机以及支持任何类型转账的设备-9。这类设备需具备防止欺诈的功能，如日志记录、软件完整性验证等-9。

03 限制与例外：新规实施的边界条件

值得注意的是，EN 18031标准在某些情况下并不具备“协调标准”的地位。

如果出现以下情况，制造商必须通过公告机构（NB）完成认证，而不能采用自我符合性声明：

• 对于EN 18031-1/-2/-3标准，如果允许用户不设置或不使用任何密码-8；

• 对于EN 18031-2标准，如果产品为儿童看护设备和玩具无线电设备，但未按标准要求保障家长访问控制-8；

• 对于EN 18031-3标准，如果仅使用单一方法（如数字签名或访问控制）实施安全更新，不足以满足金融安全需求-8。

新规也不适用于某些特定领域的产品，如医疗器械设备，以及航空或道路交通相关设备（已有其他法规规范）-9。

04 合规路径：企业应对策略全解析

面对这一新规，相关企业必须立即行动，才能确保在欧盟市场的持续准入。以下是五步高效的合规策略：

第一步：闪电自查与产品分类

立即识别需符合新规的产品线，并按照EN 18031-1/2/3的分类确定适用标准-1-9。建立产品优先合规清单，集中资源处理销量大、重要性高的产品。

第二步：深度解读标准与差距分析

全面理解EN 18031标准的具体条款及限制条件-9。对照标准要求，评估现有产品设计是否存在合规差距，特别关注密码强制设置、家长控制等功能-9。

第三步：进行测试与整改

将产品送至专业实验室进行测试，包括新规要求的渗透测试和固件安全审计-3。根据测试结果进行产品整改，确保满足所有技术要求。

第四步：选择合规路径

根据产品情况决定是否需公告机构（NB）介入——若产品完全符合EN 18031标准且无限制条件，可进行自我符合性声明；否则必须通过NB认证-8。

第五步：准备技术文档与符合性声明

编制包含网络安全合规证据的完整技术文档，并起草符合性声明（DoC）-3。技术文档必须在最后一批产品投放市场后保存至少10年-3。

05 未来展望：CRA法案将接棒网络安全监管

值得注意的是，欧盟对网络安全的监管将持续加强。2024年3月，欧盟议会已正式批准《欧盟网络弹性法案》（Cyber Resilience Act，CRA）-2。

这一法案将作为一项独立的网络安全CE指令，预计在2027年取代现有RED指令中的网络安全要求-2。

CRA同样确认采用EN 18031系列标准作为符合性评估标准，这意味着当前企业为RED指令所做的合规努力，将为未来应对CRA法案奠定坚实基础-2。

对于尚未行动的企业来说，时间已经非常紧迫。鲁邦通（Robustel）等前沿企业已率先完成全系产品的RED指令及EN 18031标准认证，通过使用已预先通过认证的核心通信模组，大幅简化了认证流程-4。