歐恩壹是一家純資安的實驗室，其中歐規的資安標準是我們重點發展跟專注的領域。
《無線電設備指令》 (RED) 的全新資安要求將於 2025 年 8 月正式實施，以下為大家介紹一下針對這份指令中的資安要求所發布的兩份標準。

ETSI EN 303 645

在 2019 年 ETSI TC CYBER 發佈第一個消費性 IoT 產品資安標準，在吸收多方意見後演變為 ETSI EN 303 645。ETSI EN 303 645 旨在透過為消費性 IoT 產品建立資安基礎要求。它提供了 13 項資安指引共 68 條條款來防止針對智慧型裝置的大規模攻擊，並為未來的物聯網認證計畫提供基礎。

ETSI EN 303 645 主要提供資安指引，另外 ETSI 也撰寫了 ETSI TS 103 701 為測試及評估的具體方法。ETSI EN 303 645 已經過多年實測證明其行之有效，而且廣泛的資安指引亦為其他類型電子產品的資安測試評估提供了方向。因此很多其他國家在撰寫資安標準也有高度參考 ETSI EN 303 645 ，例如英國的 PSTI 及新加坡的 Cybersecurity Labelling Scheme 等。

EN 18031 series

資安標準 EN 18031 系列完全是針對 RED 即將實施的新要求而撰寫，目標是成為滿足 RED 的資安統一標準 (harmonized standard)。未來的 Cyber Resilient Act (CRA) 也有可能採用 EN 18031 系列作為其基礎要求。

目前，EN 18031 系列已獲歐盟投票核准成為正式的 EN 標準。與僅適用於 IoT 產品的 ETSI EN 303 645 不同，EN 18031 系列涵蓋所有可連網的無線電設備，包括筆記型電腦、智能手機和路由器等，並提供更為明確的評估測試方法。

歐恩壹的能力

歐恩壹已經取得EN 303645的TAF認證，並且預計於2025年Q1取得EN18031的認證。我們有完整的能力及解決方法可以提供給不同IoT產品的客戶，因此歡迎您就您的產品向我們提出您的疑惑，以幫助您們及早規劃歐洲資安的市場。

在物聯網（IoT）市場迅速擴張的同時，資安風險也隨之增加。世界各國今年陸續開始為IoT產品制定嚴格的資安法規，其中包括：

l   英國的PSTI（2024年 4月29已執行）

l   歐洲的RED —— EN 303645、EN18031（2025年8月）

l   美國的CyberTrust Mark計劃（已在規劃）

l   印度的BIS中的網路安全要求（已推出CCTV、錄像機等等的要求）

這意味著，各IoT產品生產商將需要迅速應對這個重大的需求，以免在相關強制期因未能達到標準而影響市場銷售，甚至被罰。

我們的價值

歐恩壹資安實驗室正是為此而生，作為領先的IoT資安專家，我們致力於為您提供最前沿的安全解決方案，助您在新法規環境下輕鬆應對挑戰，保護您的產品和用戶免受網絡威脅。

歐恩壹資安實驗室的創立源於我們對數字安全日益增加的需求的深刻認識。隨著物聯網設備在全球範圍內的普及，這些設備也成為了網絡攻擊的主要目標。為了應對這一挑戰，我們匯集了一支由資深資安專家、工程師和研究人員組成的團隊，致力於開發和提供符合最高安全標準的解決方案。

我們的服務

我們的服務範圍涵蓋了廣泛的IoT產品資安需求，無論是家庭自動化設備、智能家電、聯網產品等等，歐恩壹資安實驗室都能提供專業的安全評估和解決方案。我們的工作基於嚴格的國際標準，並通過財團法人全國認證基金會（TAF）的認可（編號：4248），以確保我們的安全措施達到並超過業界最嚴格的要求。

在全球市場中，我們的服務範圍不僅限於歐洲，還涵蓋了東南亞、美國、印度等地。我們的團隊深入了解各地市場的特殊需求和安全挑戰，並為此制定了針對性的安全策略，確保我們的客戶在任何市場中都能保持領先地位。

我們誠摯地邀請您了解更多關於歐恩壹資安實驗室的信息，並期待有機會與您合作，共同推動IoT產品安全的未來。

如需更多資訊或合作洽談，請隨時與我們聯繫。歐恩壹團隊隨時為您服務。

CRA網路韌性法案概述

網路韌性法案（Cyber Resilience Act，CRA）旨在提升歐盟市場上數位產品的網路安全水準，確保這些產品能夠抵禦網路攻擊並保護用戶數據安全。該法案提出了一系列標準和要求，涵蓋了產品的設計、開發、生產、運營和棄置等生命周期的各個環節。

立法過程和現狀

Cyber Resilience Act 法案的立法過程已經取得顯著進展。2023年4月17日，CRA的第二版草案標準化請求已經發布，要求在未來幾年內完成41項交付成果。目前，相關工作組正在積極討論CRA的框架提案，並在不斷改進和完善標準體系。

立法時間表

根據目前的立法進程，CRA的主要時間節點包括：

水平流程標準、通用安全要求及垂直標準的介紹和解釋

1. 水平流程標準

   水平流程標準是指適用於所有類型數位產品的基礎安全標準。這些標準涵蓋了跨產品的通用安全流程和措施，例如身份驗證、訪問控制、數據加密以及漏洞管理等。這些標準旨在確保所有數位產品在基本安全層面上達到一致的要求。

2. 通用安全要求

   通用安全要求是針對所有數位產品所設定的共通安全規範，這些規範涵蓋了設備必須具備的基本安全功能，如安全通信協議、數據保護機制和系統完整性保護等。這些要求確保產品在市場上能夠提供基本的安全保障，防止常見的網路威脅和攻擊。

3. 垂直標準

   垂直標準則是針對特定類型或行業的數位產品制定的專門安全標準。這些標準考量了不同類型產品的特定需求和風險，例如醫療設備、工業控制系統和智慧家居裝置等，針對這些設備的獨特環境和使用情境制定專屬的安全規範，以確保其能夠在特定應用場景中安全運行。

CRA對資通訊類產品的影響

CRA法案對包括消費者物聯網設備、智慧家居虛擬助手、工業網路交換機等資通訊類產品在內的各種數位產品提出了具體的安全要求。這些要求涵蓋了從產品設計階段的安全考量，到產品運行期間的漏洞處理和安全更新機制，確保這些產品能夠在面對網路威脅時保持高水準的安全性。

—

歐恩壹的資安測試實驗室會持續關注最新法規的立法狀況，並按法規發展提供適切的資安測試服務，為客戶提供最新的資安測試及認證解決方案。

For further information, please contact:

Email: service@theonelab.co

發布日期：2024年5月30日

來源：REDCA（2024年5月17日更新報告）

歐盟RED

歐盟RED-無線電設備指令（RED）的資安要求於2025年8月生效

1. Article 3.3(d): 確保無線電設備不會損害網絡或其功能，也不會濫用網絡資源，防止服務降級。要求包括監控和控制網絡流量、減輕拒絕服務攻擊影響、實施身份驗證和訪問控制機制等。
2. Article 3.3(e): 保護個人數據和隱私。這適用於處理個人數據、流量數據或位置數據的設備。要求包括保護數據免於未授權處理、提供自動和安全的軟件或固件更新機制等。
3. Article 3.3(f): 防止欺詐。這適用於支持支付交易的設備。要求包括防止未經授權的交易和保護用戶免受欺詐行為。

為了建立符合ISO 17025要求的網絡安全實驗室，我們公司正積極購置各種實驗儀器，並調整實驗室環境條件等。請大家拭目以待。