联系方式
全国免费服务热线
400-7558988
固话:0769-85075888-6618
手机:13925591357
传真:0769-85075898
邮箱:net04@gtggroup.com
地址:广东省东莞市松山湖园区科技八路2号华灿产业园
EN18031认证怎么办理
EN18031认证是欧盟针对无线电设备的网络安全强制性认证标准,自2025年8月1日起正式纳入《无线电设备指令》(RED)协调标准体系。该标准涵盖网络攻击防护、隐私数据保护、金融交易安全三大核心领域,是产品进入欧盟市场的必备"技术护照"。
一、EN18031认证标准体系概览
EN18031系列标准由欧洲标准化委员会(CEN)与欧洲电工委员会(CENELEC)联合制定,经欧盟委员会(EU) 2025/138决议正式纳入无线电设备指令(RED)的协调标准体系。该标准是全球首个将网络安全纳入CE标志强制认证的法规,意味着出口欧盟市场的无线设备必须满足网络安全要求才能获得CE标志。
标准体系分为三个子标准,分别对应不同的安全维度:
- EN 18031-1:网络资产保护 适用于Wi-Fi路由器、智能摄像头、智能门锁、车载信息娱乐系统等具备互联网连接功能的无线电设备,核心要求包括抵御DDoS攻击能力、TLS 1.3及以上加密协议验证、禁用默认通用密码、提供至少2年的安全更新支持。
- EN 18031-2:个人隐私数据保护 适用于TWS耳机、智能手表、健康手环、GPS追踪器、儿童智能玩具等涉及个人数据处理的设备,重点要求敏感数据采用AES-256加密存储与传输、儿童设备必须具备不可绕过的家长控制功能、数据泄露后需72小时内通知用户、支持用户数据删除请求(响应时间≤30天)。
- EN 18031-3:金融交易安全 适用于智能手机、NFC设备、POS机、可穿戴支付设备等涉及金融交易的设备,需具备硬件加密芯片资质证明、交易日志不可篡改设计、交易追溯记录需满足7年留存要求,防范加密劫持与生物识别篡改风险。
二、EN18031认证核心测试项目
根据EN18031标准要求,认证测试主要围绕以下核心安全机制展开:
1. 访问控制机制(Access Control Mechanism, ACM)
验证设备是否实现分级访问控制,确保不同权限级别的用户只能获取与其角色相符的功能与数据。测试内容包括:权限分级是否清晰、游客权限是否受限、管理员账户是否独立、敏感操作是否需要二次验证。
2. 身份认证机制(Authentication Mechanism, AUM)
验证设备是否采用强身份认证策略,禁止使用"admin/admin"等通用默认密码。测试要求:首次使用时强制要求修改默认密码、密码复杂度需满足长度与字符类型要求、建议支持多因素认证(MFA)、登录失败锁定机制需有效运行。
3. 安全更新机制(Security Update Mechanism, SUM)
验证设备是否支持安全的固件更新机制。标准要求:更新包必须经过数字签名验证、防回滚设计(禁止降级到存在漏洞的旧版本)、更新过程需保持数据完整性、厂商需提供至少2年的安全更新支持承诺。
4. 安全存储机制(Secure Storage Mechanism, SSM)
验证敏感数据在设备存储环节的安全性。核心测试点包括:敏感数据(如位置信息、身份信息、支付信息)需采用AES-256加密存储、密钥管理需符合安全规范、敏感区域需具备防篡改物理保护、加密芯片需具备相应资质认证。
三、EN18031认证办理流程与周期
EN18031认证整体流程分为三个阶段,不同风险等级设备的认证路径存在差异:
- ①前期筹备阶段(1-2个月) 根据产品类型确定适用的子标准(EN 18031-1/2/3),准备网络安全风险评估报告、安全设计文档、漏洞管理计划等技术资料。建议此阶段同步进行摸底测试,可有效减少30%以上的返工时间。
- ②测试与审核阶段(2-12周) 低风险设备(如无数据存储的蓝牙音箱)可走自我声明流程,测试周期约2-4周;高风险设备(儿童智能玩具、POS机、金融终端等)需通过欧盟公告机构(NB)审核,还需额外完成工厂审核(含生产安全控制、供应链追溯),整体周期需2-12周。
- ③评估发证阶段(1-4周) 测试通过后,低风险设备直接出具符合性声明(DoC),高风险设备由公告机构颁发CE-RED证书。证书有效期统一为5年,但需每年接受监督审核。
周期影响因素:产品复杂度(联网设备需测试14项安全机制)、资料准备效率、测试轮次(首次测试失败整改需额外1-2个月)、是否涉及金融交易功能。建议企业提前6个月启动认证筹备工作。
四、EN18031认证技术资料准备要点
根据欧盟(EU) 2025/138决议要求,认证资料需严格匹配产品风险等级:
EN 18031-1适用设备 需准备网络安全风险评估报告、TLS 1.3加密协议实现说明、安全更新策略文档。
EN 18031-2适用设备 必须额外提交数据处理影响评估(DPIA)、家长控制功能说明、敏感数据AES-256加密存储证明。
EN 18031-3适用设备 需补充硬件加密芯片资质证明、交易日志不可篡改设计文档、交易追溯记录7年留存证明。
所有设备共性基础资料包括:产品技术说明书、软硬件物料清单(SBOM)、漏洞扫描记录。非欧盟企业还需提供欧盟授权代表(EC-REP)任命文件。
实操经验:高风险设备需走第三方合格评定路径,需额外提交工厂生产安全控制文件。建议选择同时具备CNAS和欧盟认可资质的实验室,可复用已有RF/EMC测试数据缩短整体周期。
五、常见问题与避坑指南
Q1 EN18031认证与CE-RED是什么关系?
EN18031是CE-RED(无线电设备指令)协调标准的一部分。企业获得EN18031测试报告后,需整合RF、EMC、SAR等其他测试报告,共同组成CE标志认证的技术文档。
Q2 蓝牙音箱需要做EN18031认证吗?
若蓝牙音箱不具备云连接功能、不存储用户数据、不涉及金融交易,可归类为低风险设备,走自我声明流程即可。但若具备语音助手、云同步等互联网连接功能,则需满足EN 18031-1要求。
Q3 认证失败的主要原因有哪些?
常见失败原因包括:未禁用默认密码或弱密码策略不足、安全更新机制缺少数字签名验证、敏感数据未采用AES-256加密存储、儿童设备家长控制功能可被绕过、金融设备缺少硬件加密芯片或资质不达标。建议在正式送检前进行预测试,提前发现并整改问题。
Q4 证书有效期和后续维护要求是什么?
CE-RED证书有效期统一为5年,但高风险设备需每年接受公告机构监督审核,提交安全更新实施记录。未完成年度审核将导致证书效力暂停,企业需持续确保产品符合标准要求。
六、总结与建议
EN18031认证作为欧盟首部强制性的无线电设备网络安全标准,标志着无线产品进入欧盟市场的合规门槛显著提升。该标准不仅要求产品具备基础的安全功能,更强调持续的安全更新能力与用户数据保护机制。
对于计划出口欧盟市场的无线设备企业,建议:尽早启动认证筹备工作,根据产品功能定位确定适用的子标准;提前进行安全设计审查,避免送检后因根本性设计缺陷导致大幅整改;选择具备CNAS和欧盟公告机构资质的专业实验室合作,可有效缩短认证周期;建立持续的安全更新机制,确保产品在5年证书有效期内始终符合标准要求。
EN18031认证是产品进入欧盟市场的"技术护照",虽然认证过程涉及技术资料准备、测试整改等环节,但通过专业机构的协助,企业完全能够顺利完成合规认证,在欧盟市场赢得更广阔的发展空间。