IT/AV终端检测认证事业部

2025年8月1日，一个对出口欧盟的无线设备制造商影响深远的日期即将到来。这一天起，EN 18031系列标准将作为欧盟《无线电设备指令》（RED）的协调标准正式强制执行。对于生产ITAV产品、物联网设备、智能终端及无线充电设备的企业来说，理解并满足EN 18031的要求，已经成为进入欧洲市场不可回避的合规课题。

EN 18031从何而来 法规演进脉络

EN 18031的诞生，源于欧盟对物联网设备网络安全风险的深刻忧虑。2014年发布的《无线电设备指令》（2014/53/EU，简称RED）在制定时尚未充分预见IoT设备的爆发式增长，原有法规框架缺乏对联网设备网络安全的实质性约束。

2022年1月，欧盟委员会发布了授权法案(EU) 2022/30，对RED指令第3(3)条的(d)(e)(f)三项条款作出补充规定，明确了无线电设备在网络安全、个人数据隐私保护和防欺诈方面的基本要求。2023年，欧盟又通过(EU) 2023/2444对该授权法案进行了修订完善。

在此基础上，由CEN/CENELEC JTC 13技术委员会（网络安全与数据保护）牵头编制的EN 18031系列标准于2024年8月底正式发布，并刊登于欧盟官方公报，成为RED指令下网络安全条款的协调标准。自2025年8月1日起，该系列标准强制适用于所有落入适用范围的无线电设备。

标准架构 EN 18031系列的三大部分

EN 18031并非单一标准，而是由三个相互关联又各有侧重的分标准组成，分别对应RED指令第3(3)条的三个条款：

EN 18031-1 — 网络保护
对应RED Article 3(3)(d)，核心目标是防止联网设备对通信网络造成损害，或防止设备的网络功能导致不可接受的服务降级。该部分关注设备接入网络时的安全性，要求设备具备抵御网络攻击、防止恶意流量注入的能力。

EN 18031-2 — 个人数据与隐私保护
对应RED Article 3(3)(e)，核心目标是保护使用者的个人数据和隐私。该部分对设备的数据采集、存储、传输提出安全要求，涵盖默认密码策略、数据加密、访问控制等关键安全措施。

EN 18031-3 — 防欺诈保护
对应RED Article 3(3)(f)，核心目标是防止设备被用于金融欺诈。该部分针对涉及电子支付、虚拟货币交易等功能的无线电设备，要求具备防篡改、防克隆、安全交易等保护机制。

三个部分既可独立适用，也可组合适用，具体取决于目标产品是否同时落入多个条款的覆盖范围。认证工程师在项目启动前，需要逐一比对产品功能与各条款的适用条件，确定需要符合的全部要求。

适用范围 哪些产品必须满足EN 18031

EN 18031的适用范围聚焦于具备联网能力的无线电设备，具体包括但不限于以下类别：

EN 18031-1覆盖产品 — 可连接互联网的无线设备，如Wi-Fi路由器、智能家居网关、联网摄像头、智能音箱等

EN 18031-2覆盖产品 — 涉及个人数据处理的无线设备，如智能手表、智能手环、婴儿监视器、健康监测设备等

EN 18031-3覆盖产品 — 涉及金融交易功能的无线设备，如支持NFC支付的设备、数字支付终端等

对于GTG广测集团深耕的ITAV、电源、灯具、电池及物联网IoT产品领域，许多带有无线通信功能的产品均可能落入EN 18031的适用范围。例如，支持蓝牙或Wi-Fi的智能灯具、带联网功能的电源管理系统、IoT传感器节点等，都需要关注这一标准的合规要求。

企业在判断产品是否适用时，关键依据在于设备是否具备通过无线电连接互联网或其他网络的能力，以及是否涉及个人数据处理或金融交易功能。只要满足任一条件，就需要按照对应条款进行合规评估。

核心评估内容 企业需要关注什么

EN 18031系列标准对无线电设备的网络安全能力提出了系统性的评估要求，主要涵盖以下几个维度：

安全更新机制
设备必须支持安全固件/软件更新功能，能够及时修补已知安全漏洞。制造商需要为产品提供明确的安全更新支持周期承诺，并确保更新通道的传输安全性。

默认密码管理
严禁设备出厂时使用统一的默认密码。每台设备应具备唯一的初始密码，或在首次使用时强制用户设置新密码。这一要求直接打击了许多IoT设备长期存在的安全短板。

安全存储与加密
设备应具备对敏感数据（如密码、密钥、用户信息）的安全存储能力，传输过程中的数据加密同样是基本要求。

访问控制与认证
设备需要提供有效的访问控制机制，防止未经授权的访问和操作。对于管理接口，应要求身份认证并支持权限分级。

日志记录与审计
设备应具备记录安全相关事件的能力，便于事后追溯和安全审计。

安全配置能力
设备在出厂默认配置下应满足安全基线要求，同时允许用户根据需要进行安全参数调整。

这些评估维度覆盖了从设备硬件层到软件层再到通信层的全链条安全能力，要求企业在产品设计阶段就将网络安全纳入核心考量，而非在认证环节临时补救。

与现有CE认证体系的关系

需要特别注意的是，EN 18031并非取代现有的CE-RED认证体系，而是在原有无线电设备合规框架之上新增了网络安全评估维度。

此前，CE-RED认证主要覆盖射频性能（RF）、电磁兼容（EMC）、电气安全（LVD）、健康与安全（SAR/Human Exposure）等要求。EN 18031生效后，落入适用范围的产品在进行CE-RED认证时，还需要同步完成网络安全方面的符合性评估，将EN 18031纳入技术文档。

这意味着企业面对的合规工作量和测试复杂度均有所增加。特别是对于此前未将网络安全纳入产品设计规范的企业，可能需要对现有产品进行安全架构层面的改造。

时间窗口 企业应当如何应对

2025年8月1日的强制实施日期已经非常紧迫。对于计划持续深耕欧盟市场的企业，建议从以下几个方面着手：

产品梳理与分类
全面梳理现有出口欧盟的产品线，逐一判断是否落入EN 18031的适用范围，明确需要符合的条款（d/e/f中的哪几项）。

差距评估
对照EN 18031的核心评估维度，对现有产品的网络安全能力进行差距分析。重点关注默认密码策略、固件更新机制、数据加密能力等高风险领域。

产品安全加固
根据差距评估结果，在产品固件和硬件设计层面实施安全加固。对于正在开发中的新产品，应将EN 18031要求纳入设计输入规范。

测试与认证规划
合理安排测试周期，预留充足的技术文档准备时间。对于需要组合适用多个条款的产品，建议同步推进以提高效率。

写在最后

EN 18031的强制实施，标志着欧盟对无线电设备的监管从传统的电气安全和电磁兼容领域，正式延伸到了网络安全层面。这既是挑战，也是企业在产品安全能力上实现升级的契机。

对于认证工程师和企业管理者而言，准确理解EN 18031的法规背景、标准架构和核心评估要求，是制定合规策略的前提。面对即将到来的强制执行日期，尽早启动产品评估与安全加固工作，才能在时间节点到来时从容应对，确保产品在欧盟市场的合规销售不受影响。

GTG广测集团长期深耕ITAV、电源、灯具、电池及物联网IoT产品的全球认证领域，对欧盟CE-RED认证体系及EN 18031网络安全新要求保持持续跟踪，能够为企业提供从产品安全差距评估到认证测试执行的全流程技术支持。