IT/AV终端检测认证事业部

EN18031系列标准是欧盟针对无线电设备指令（RED 2014/53/EU）Article 3.3（d）（e）（f）条款的网络安全协调标准，由CEN/CENELEC联合技术委员会JTC 13 WG8制定。该系列标准已于2025年1月30日被正式列入《欧盟官方公报》（OJEU），并将于2025年8月1日起强制执行。届时，所有在欧盟市场销售的联网无线电设备，如未能满足EN18031标准要求，将无法通过CE合规声明进入欧盟市场。

本文从标准背景、适用范围、评估流程、常见产品类别及企业应对策略等维度，对EN18031认证的核心要点进行系统梳理，帮助出口企业厘清合规路径。

EN18031标准的出台背景

欧盟无线电设备指令RED 2014/53/EU是欧洲市场无线产品准入的基础法规。在最初的指令框架中，Article 3.3（d）（e）（f）三条关于网络安全的条款虽已写入文本，但缺乏具体的协调标准来支撑合规评估。2022年，欧盟通过补充指令2022/30/EU，进一步明确了这三条网络安全要求的细节；随后2023年发布的2023/2444/EU将强制执行日期推迟至2025年8月1日，为行业留出准备时间。

2024年8月底，欧洲标准化委员会（CEN）和欧洲电工标准化委员会（CENELEC）联合技术委员会JTC 13 WG8正式发布了EN18031系列标准，填补了RED指令网络安全条款的协调标准空白。2025年1月30日，欧盟委员会通过（EU）2025/138决议，将EN18031-1、EN18031-2和EN18031-3正式列入《欧盟官方公报》，标志着这三项标准获得协调标准地位。

这意味着，自2025年8月1日起，凡属于Article 3.3（d）（e）（f）适用范围内的无线电设备，制造商在起草EU合格声明（EU Declaration of Conformity）时，若引用EN18031系列标准作为合规依据，则产品必须满足该系列标准的全部评估要求。

EN18031三个部分分别对应什么要求

EN18031系列标准由三个独立但互相关联的部分组成，分别对应RED指令Article 3.3中的三个条款。在实际认证过程中，产品可能需要符合其中一项、两项或全部三项标准，取决于产品的功能特性和使用场景。

EN18031-1：网络保护要求

对应RED指令Article 3.3（d），核心要求是：无线电设备不得损害网络或其运行，也不得滥用网络资源导致服务降级。适用范围为任何可以通过互联网进行通信的无线电设备，无论设备是直接联网还是通过其他设备间接联网。这一部分主要关注设备的网络接口安全性、通信协议的健壮性，以及设备对网络资源的合理使用。

EN18031-2：隐私与数据保护要求

对应RED指令Article 3.3（e），核心要求是：无线电设备须包含安全保障措施，确保用户和订户的个人数据及隐私受到保护。适用范围包括以下四类设备：

• 能够处理个人数据、流量数据或位置数据的联网无线电设备
• 专为儿童看护设计的无线电设备
• 符合玩具指令（2009/48/EC）规定的无线电设备
• 可穿戴设备（包括头饰、手饰、鞋履等佩戴或悬挂在人体或衣物上的设备）

需要注意的是，EN18031-2的适用范围不仅限于联网设备，儿童看护设备、玩具类无线电设备以及可穿戴设备即使不直接联网，也在该标准的管辖范围内。

EN18031-3：金融防欺诈要求

对应RED指令Article 3.3（f），核心要求是：无线电设备须支持防止欺诈的功能。适用范围为允许持有人或用户转移货币、货币价值或虚拟货币的联网无线电设备。典型的适用产品包括支持移动支付的智能手表、具备NFC支付功能的手环，以及加密货币硬件钱包等。

哪些产品需要关注EN18031认证

从产品维度来看，以下类别是EN18031合规的重点关注对象：

1. ①智能家居设备：智能音箱、智能摄像头、智能门锁、智能照明系统等通过Wi-Fi或蓝牙联网的产品
2. ②消费电子产品：智能手机、平板电脑、笔记本电脑、智能电视等具备联网功能的终端设备
3. ③可穿戴设备：智能手表、智能手环、健康监测设备等涉及个人数据采集的产品
4. ④网络通信设备：路由器、网关、调制解调器、Mesh组网设备等基础设施类产品
5. ⑤儿童相关产品：儿童智能手表、儿童陪伴机器人、联网玩具等
6. ⑥支付类设备：支持移动支付、虚拟货币交易的NFC设备和POS终端
7. ⑦物联网终端：工业传感器、车联网模组、远程监控设备等

EN18031评估流程的四个核心步骤

EN18031系列标准将评估内容划分为四类资产：安全资产、网络资产、隐私资产和金融资产。其中安全资产在三个标准中均有要求，其余三类分别对应EN18031-1、EN18031-2和EN18031-3的专项要求。整个评估流程分为以下四个步骤：

步骤一　资产识别　制造商需要根据产品功能和使用场景，系统识别出产品涉及的四类资产（网络资产、隐私资产、金融资产和安全资产），并形成资产识别表。这是整个评估的基础，资产识别的完整性直接影响后续测试的覆盖范围。

步骤二　安全机制评估　针对每个已识别的资产，按照标准中规定的安全机制要求逐项进行评估。安全机制涵盖访问控制、身份认证、数据加密、安全更新、日志审计等多个维度，具体要求因资产类型而异。

步骤三　决策树论证　制造商需要根据产品的安全设计细节和预期使用环境，参照标准中每个条款的决策树，提供相应的判断和充分的论证理由。这一环节要求提交的文件包括资产识别表、技术设计文档以及判决理由陈述等。

步骤四　测试机构评估　测试机构对制造商提交的安全机制进行三重评估：

• 概念评估——检查文件和实施理由是否提供了所需的证据，例如网络接口通信矩阵文档是否完整
• 功能完整性评估——检查并测试文档是否完整，例如使用网络扫描器验证所有外部接口是否已正确识别、记录和评估
• 功能充分性评估——检查和测试实现是否充分，例如在网络接口上运行模糊测试工具，验证设备能否抵御格式错误数据的攻击

EN18031的豁免范围

并非所有无线电设备都需要满足EN18031的全部要求。根据RED指令及其补充法规，以下类别享有豁免：

• Article 3.3（d）（e）（f）全部豁免：受（EU）2017/745和（EU）2017/746法规监管的医疗器械
• Article 3.3（e）和（f）豁免：受（EU）2018/1139法规监管的远程控制无人机及其非机载无线电设备
• Article 3.3（e）和（f）豁免：受（EU）2019/2144法规监管的机动车辆及相关系统部件
• Article 3.3（e）和（f）豁免：受（EU）2019/520指令监管的道路收费系统

企业应对EN18031认证的准备工作

面对即将到来的强制执行日期，建议企业从以下五个维度着手准备：

产品分类梳理　对照EN18031三个部分的适用范围，逐一确认企业现有产品线中哪些产品需要满足哪些部分的要求。特别是同时具备联网功能和个人数据处理功能的产品，可能需要同时满足EN18031-1和EN18031-2。

安全设计审查　对照标准中的安全机制要求，审查产品现有安全设计的覆盖情况。重点关注访问控制策略、数据加密方案、固件安全更新机制、安全日志功能等核心模块。对于存在差距的环节，应尽早启动设计修改。

技术文档准备　EN18031评估要求提交的技术文件比传统CE-RED测试更为复杂，包括资产识别表、网络接口通信矩阵、安全机制实施说明、决策树论证文档等。建议提前按照标准条款结构梳理文档体系。

供应链协同　网络安全评估涉及硬件、固件、云端服务等多个环节。对于使用第三方模组或云平台的产品，需要与供应商确认相关组件的安全能力是否满足标准要求，必要时要求供应商提供安全声明或测试报告。

预评估与摸底测试　建议在正式送测前，选择具备EN18031测试能力的实验室进行预评估。通过摸底测试提前发现不符合项，留出整改时间，避免因反复送测而延误产品上市进度。

EN18031认证常见问题解答

EN18031与全球网络安全法规趋势

EN18031的出台并非孤立事件，而是全球范围内物联网设备网络安全立法加速推进的一个缩影。美国方面，FCC在近期也加强了对无线设备网络安全的审查力度；英国的《产品安全与电信法案》（PSTI Act）已于2024年4月生效，对消费级联网产品设置了最低安全基线。各主要市场对联网设备安全性的监管正在从"鼓励采纳"转向"强制合规"。

对于中国出口企业而言，同时关注欧盟EN18031、美国FCC网络安全要求以及英国PSTI法案的合规要求，构建覆盖多市场的网络安全合规体系，是降低出口风险、提升产品竞争力的务实选择。

总结

EN18031系列标准的发布和即将强制执行，标志着欧盟对联网无线电设备的网络安全监管进入新阶段。对于计划在欧盟市场销售联网产品的企业来说，理解EN18031三个部分的适用范围、掌握评估流程的核心步骤、提前做好产品安全设计和技术文档准备，是确保产品顺利进入欧盟市场的关键。

建议企业在2025年8月强制日期前，尽早启动EN18031合规评估工作，特别是对于产品线较广、涉及多品类的企业，更需要制定分批推进的合规计划。如需了解EN18031认证的具体流程和技术要求，可联系GTG广测集团获取专业支持。

本文由AI辅助生成，内容仅供参考，不构成任何认证承诺或法律建议，具体以官方最新法规为准。

联系电话：13925591357