EN 18031 解讀：歐恩壹為您解說重點

EN 18031 解讀：歐恩壹為您解說重點

RED 網路安全要求

歐盟於2022年及2023年分別發佈了RED指令的補充授權法案 (EU) 2022/30 和 (EU) 2023/2444，要求製造商在產品設計及生產中遵循三項網路安全要求。該規定自2025年8月1日起強制執行。

• Article 3.3(d):
  無線電設備不得損害網路或其功能，也不得濫用網路資源，以免造成不可接受的服務降級。
• Article 3.3(e):
  無線電設備需內建保障措施，以保護用戶和訂閱者的個人資料與隱私。
• Article 3.3(f):
  無線電設備需支援特定功能，確保防範欺詐行為。

覆蓋範圍與豁免範圍

覆蓋範圍

• Article 3.3(d) 適用於任何可透過互聯網進行通信的無線電設備，包括直接或透過其他聯網設備進行通信的裝置。
• Article 3.3(e) 適用於能處理個人資料、流量資料或位置資料的無線電設備，包括互聯網連接的設備、兒童看護設備、大多數無線玩具（根據2009/48/EC指令）、以及佩戴在人體或衣服上的無線裝置。
• Article 3.3(f) 適用於允許用戶轉移貨幣、金融價值或虛擬貨幣的聯網無線電設備。

豁免範圍

• Article 3.3 (d)、(e)、(f) 不適用於 (EU) 2017/745 和 (EU) 2017/746 條例所監管的醫療設備。
• Article 3.3 (e) 和 (f) 不適用於以下設備：
  • (EU) 2018/1139 條例監管的遠端控制無人機設備及非機載特定無線電設備；
  • (EU) 2019/2144 條例監管的機動車輛及相關系統部件；
  • (EU) 2019/520 指令監管的道路收費系統。

 

EN 18031

EN 18031 系列標準包含三部分（EN 18031-1、EN 18031-2 和 EN 18031-3），分別對應 RED 指令的不同網路安全要求：

• EN 18031-1: 確保無線電設備不會對網路或其運作造成不利影響，並防止濫用網路資源導致服務嚴重受損。適用於任何可透過互聯網進行通信的無線電設備。
• EN 18031-2: 確保設備具有保護用戶及訂閱者個人資料和隱私的安全措施。適用於處理個人資料的設備，例如互聯網連接設備、兒童護理設備、無線玩具及可穿戴設備。
• EN 18031-3: 確保允許用戶轉移貨幣或虛擬貨幣的聯網無線電設備具有防範欺詐的功能。

資產類型與評估
EN 18031 以資產為基礎，劃分為四類：安全資產、網路資產、隱私資產和金融資產。安全資產在三個標準中均需考量，其餘三類資產則分別對應各標準，根據類型側重不同。評估方式採用機制概念指導安全措施的應用，並通過機制評估解決適用性與適當性問題。

接下來，我們將逐一深入解析 EN 18031-1、-2 和 -3 的重點內容，請密切關注我們的更新！

 

如有任何跟資安有關的查詢，歡迎與我們的專員 Charles 聯繫 charles.liao@theonelab.co