無線電設備指令 (RED) 2014/53/EU 概覽
RED 的主要規定
歐盟委員會 (EC) 的《無線電設備指令 2014/53/EU》(RED) 為無線電設備建立了一套監管框架,旨針對安全和健康、電磁相容性 (EMC) 及無線電頻譜效率規定基本要求。該指令第 3.3 條則納 入與無線電設備特定類別有關的裝置要求,範疇從公共介面及至網路安全等方面。
符合性認證時間表
在 2022 年 1 月 12 日,歐盟官方期刊《Office Journal》發布了通過授權的 2022/30/EU 字號法規,強制要求援用 RED 第 3.3 (d)、(e) 和 (f) 條文進行符合性認證。此法規意在為於歐盟市場中販售的適用無線設備,提供網路安全、個人資料保護、隱私和詐欺保護 (見圖)。這項要求在 2022 年 2 月 1 日生效,並於 2025 年 8 月 1 日強制執行 ── 此允以相關的設備製造商 42 個月過渡期。
RED 3.3 網路安全要求的詳述
RED 3.3 網路安全要求
3.3 (d) 條文下的網路保護
本條文目的在於改善網路保護 ── 設備製造商必須在產品中置入可避免損害通訊網路及可讓產品免於干擾的保護功能之設計。
3.3 (e) 條文下的個人資料和隱私要求
本條文目的在於加強個人資料和隱私的保護 ── 設備製造商,舉例來說,必須針對消費者個資免於遭受未經授權存取或傳輸,採取相應保護措施。
3.3 (f) 條文下的防詐騙措施
本條文目的在於降低詐騙風險 ── 設備製造商必須納入諸如強化使用者認證控制等功能,以最大程度減少電子支付和資金轉帳中的詐欺行為。
RED 網路安全要求的範圍與影響
新法規涵蓋的裝置
這次發布的新法規主要納入可透過連網通訊的設備,不管連線是直接或經由其他設備;而有洩漏個人敏感資料之虞的無線電設備也在監管範圍內。例如:
- 行動電話、平板電腦及筆記型電腦
- 無線玩具和兒童安全設備,如嬰兒監視器
- 穿戴裝置,如智慧手錶和健身追蹤器
簡而言之,3.3 (d) 條文適用於與網路保護有關的設備;3.3 (e) 條適用於處理個人、流量或位置等隱私資料的設備 (有關資料定義詳情,請參閱歐盟法規 2016/679 第 4 (1) 和 4 (2) 條文及指令 2002/58/EC) 第 2 (b) 和 (c) 條文)。
至於 3.3 (f) 條則適用於能讓持有人或使用者轉移資金、貨幣價值或歐盟指令 2019/713 第 2 (d) 條文定義之虛擬貨幣的無線電設備。其相應的網路安全措施應考量電子支付產業中的新興犯罪趨勢,例如騎劫挖礦、勒索軟體、近場通訊相關的詐騙和生物特徵認證篡改等。
豁免和特殊情況
已納入歐盟法規 2019/21446 (車輛型式檢驗)、2018/11397 (民用航空) 或指令 2019/520 (電子道路收費系統) 範圍內且具有類似安全要求的裝置,不適用新的 3.3 (e) 和 (f) 條,但須符合 3.3 (d) 條的要求。
EN 18031 系列標準概述及 UL Solutions 在促進 RED 認證上的角色
歐盟委員會在 2022 年 8 月向歐洲標準組織 (ESO) CEN/CENELEC 提出了標準化請求,後者隨即啟動了調和標準的工作。UL Solutions 居中審查了提議標準的初稿,並提出多項意見以協助該文件的完善。
後續,即是在 2024 年 8 月 14 日,列為候選的調和標準 ── EN 18031 系列標準正式發布。該標準在 2024 年 8 月正式問世。
EN 18031 包含了三大部分:EN 18031-1、EN 18031-2 和 EN 18031-3,分別涵蓋 3.3 (d)、(e) 和 (f) 條文。
- EN 18031-1:2024 ── 無線電設備的共同安全要求 ─ 第 1 部分:與網路連接的無線電設備
- EN 18031-2:2024 ── 無線電設備的共同安全要求 ─ 第 2 部分:資料處理無線電設備,主要包括網路連線無線電設備、兒童照護無線電設備、玩具無線電設備及穿戴式無線電設備
- EN 18031-3:2024 ── 無線電設備的共同安全要求─ 第 3 部分:處理虛擬貨幣或貨幣價值的與網路連接之無線電設備
EN 18031 系列標準已在 2025 年 1 月 28 日經由 執行決議 - 2025/138 - EN - EUR-Lex 成為調和標準,且帶有限制性要求。同時,DG Grow 亦發布了指導文件以支援調和工作。
製造商可採用 EN 18031 標準,而若完全符合該標準,即不再需要公告機構 (Notified Body, NB) 協助認證。不過,包括 PSA、EN 303 645、ISA/IEC 62443 等在內的其他任何標準仍需要透過 NB。
此外,假若產品適用限制要求,則製造商必須尋求 NB 的認證,除非製造商已完全符合相關 EN 18031 標準且未在「限制要求」之列,在這些種種情況下即可不需 NB。
EN 18031-1:2024 (與網路連接的無線電設備):限制性
- 「制定背景」(rationale) 和「實施指南」(guidance) 章節僅為參考,不能視為保證符合標準的依據*
- 允許使用者在未設置密碼的情況下使用產品
*針對第一點的補充,這些章節被賦予以下目的:
- 制定背景:主要是解釋特定要求的背後原由,以協助製造商和評估人員理解為何需要採取某些安全措施。
- 實施指南:針對如何實施或理解要求提供額外資訊,並為製造商提供實用建議。
需要注意的是,儘管這些章節對於理解和實施標準相當具有價值,但並不代表他們能成為符合 2014/53/EU 指令第 3 (3) 條文中所規定之必要要求的推定。也就是說,僅遵循實施指南或只了解制定背景不足以證明已符合 RED 網路安全要求。
EN 18031-2:2024 (處理資料的無線電設備):限制性
- 「制定背景」(rationale) 和「實施指南」(guidance) 章節僅為參考,不能視為保證符合標準的依據*
- 允許使用者在未設置密碼的情況下使用產品
- 針對特定設備類別的家長/監護人存取控制管理不足 (如對相關產品類別實施有效力的家長/監護人存取控制管理)
EN 18031-3:2024 (處理虛擬貨幣的設備):限制性
- 「制定背景」(rationale) 和「實施指南」(guidance) 章節僅為參考,不能視為保證符合標準的依據*
- 允許使用者在未設密碼的情況下使用產品
- 假使玩具未能確保由家長或監護人進行存取控制管理,即需要 NB。
- 在條款第 6.3.2.4 中所規定的標準評估要求不夠充足,在段落 [paragraph] (8) 主文闡述如下: EN 18031-3:2024 調和標準的 6.3.2.4 條款包含資安要求更新的評估要求。其中根據數位簽名、安全通訊機制、存取控制機制或其他因素,建立四種不同的實施類別。而單獨使用任一方法都不足以處理金融資產的資安議題。一般認為評估要求並未能合宜的因應相關使用者認證風險,因此無法確保符合 2014/53/EU 指令第 3 (3) 條文下的第一條附款第 (f) 點所規定之必要要求。
- 在「實施指南」中:調和標準 EN 18032-3:2024 範疇下的產品製造商,欲採用 6.3.2.4 條款,無論產品如何設計,一律不得享有符合規範的推定,意即必須透由第三方進行符合性評估。
調和標準 EN 18031 可支援 3.3 (d)、(e) 和 (f) 條文規範的基本要求,同時納入了對適用範圍內之無線電設備技術規格的評估 ── 涵蓋諸如網路流量監控、中斷服務攻擊的緩解、身分驗證和存取控制管理機制、安全更新機制及攻擊面減少等面向。除此之外,該規格另要能因應資料安全與隱私問題 ── 尤其是針對防止資料意外或未經授權儲存、處理、存取、洩露、毀損或遺失等問題。使用者亦可在丟棄裝置之前,輕鬆刪除產品所儲存的個人資料,以防止資訊外洩。
為什麼選擇 UL Solutions 進行 RED 網路安全符合性認證?
網路安全與認證的專業知識
RED 影響所有在歐盟市場銷售無線電設備的製造商。
在設備的整個生命週期内,製造商將對其網路安全負責。UL Solutions 可透過諮詢服務,協助您朝 RED 符合性認證的目標邁進,並點出其中差距及提供教育性指導,助您完成目標。
從策略到實施階段的全面支援
無論您現階段的開發為何,UL Solutions 皆能為您提供支援。針對仍處於早期階段的開發專案,我們可以協助您瞭解如何導入「設計內建資安」,並將安全置入您的治理和流程中。而為了達到這個目的,我們會由安全專家主導系列的教育訓練和工作坊,使您的團隊備有成功落實產品所需的知識。
對於進入後期開發階段的專案,我們則能協助您進行差距分析或全面的認證評估,以符合 EN 18031-1/EN 18031-2/EN 18031-3、EN 303 645 和 IEC 62443-4-2 標準,幫助您提升產品的安全性。前述的後兩項標準要求與 RED 的基本要求有所重疊,而此將格外有助於您為 RED 做好準備。
符合規範的諮詢和教育訓練服務
RED DA 和歐盟法規環境工作坊
這套工作坊方案旨在概述歐盟網路安全法規環境,能夠為深入理解 RED DA 第 3.3 (d)、(e) 和 (f) 條文及針對強化與網路連接之產品的安全與隱私方面等能力,並為《網路韌性法案》的未來影響奠定基礎。
諮詢服務
我們為客戶在邁向 RED 認證目標的整個旅程提供訓練服務。
- 基礎 ── 階段 1:開展
基礎性諮詢服務主要是設計用於為甫開啟 RED DA 旅程的製造商提供協助,有賴專家助其識別在邁向未來的符合性認證目標時的主要差距。
- 實質 ── 階段 2:發展
實質性諮詢服務主要設計用於為已開始著手 RED DA 符合性認證工作、且對網路安全認證有過經驗的製造商提供支援。
- 進階 ── 階段 3:定義
這部分的服務主要是設計用於為在邁向 RED DA 認證旅程中步入軌道、且試圖尋求專家予以評估的製造商提供援助。
符合性評估服務
在某些情況下,製造商必須透過 NB 的評估來證明其產品的符合性。身為 NB,UL Solutions 可提供以 RED 第 3.3 (d)、(e) 和 (f) 條文為本的評估服務 ── 此將允以製造商在 2025 年 8 月 1 日的強制執行日期前確定產品符合要求,亦有助於助製造商避開產品測試的高峰期。
另外,為幫助製造商順利進入全球市場,我們尚可根據以下法規提供評估、測試和認證服務:
- EN 303 645:消費性物聯網的網路安全
- 網路韌性法案 (CRA)
- ISA/IEC 62443:工業自動化與控制系統的安全性
- 英國產品安全與電信基礎設施法案 (PSTI)
- US NISTIR 8259A:物聯網裝置網路安全能力核心基準
- US NISTIR 8425:消費性物聯網產品物聯網核心基準簡介
- 加州物聯網安全法案 SB 327
- 新加坡網路安全標籤計畫 (CLS)
- UL 物聯網裝置安全評等檢測驗證 (MCV 1376)
- ISO 27001:資訊安全、網路安全及隱私保護 ── 資訊安全管理系統
- FIPS 140-3
- 安全評估共通準則 (CC)
RED 網路安全認證摘要
無線電設備指令 (RED) 2014/53/EU 針對連接網路的裝置和處理個人敏感資料的設備,訂出了關鍵的網路安全要求。而製造商可運用可行的解決方案和技術規格,努力滿足這些要求。根據規定,製造商必須在 2025 年 8 月 1 日前確定符合相關規範。我們 ── UL Solutions 能夠提供全面性的 RED 符合認證支援,包括諮詢服務、差距分析及符合性評估。我們的專業知識涵蓋產品開發工作的各階段需求,包括從早期的安全設計實踐,一直到後期的符合性評估,一應俱全。有鑑於新法規的複雜程度以及強制實施日期的步步逼近,我們鼓勵製造商即刻與我們聯絡,取得與 RED 認證計畫相關的指導與支援,以確保產品符合進入歐盟市場必要的網路安全標準要求。
X
與我們的業務團隊保持聯繫
感謝您對 UL Solutions 所提供的解決方案感到金趣。敬請填寫相關資訊,後續我們將為您安排相應的人員與您聯繫。
Please wait…