一文读懂 | 欧盟RED网络安全标准EN 18031-3

2025-06-20 阅读版式订阅 +

欧盟无线电设备指令授权法案（EU 2022/30 Radio Equipment Directive Delegated Act）将于 2025 年 8 月 1 日正式生效，届时将强制执行 RED 指令中第 3.3(d)、(e) 和 (f) 项的合规要求。为支持这一法规，欧盟于 2024 年 8 月发布了 EN 18031-1/-2/-3 系列测试标准，用于对应上述条款的具体合规要求。其中，EN 18031-3 对应 RED 第 3.3(f) 条，重点关注金融交易设备的网络安全。

EN 18031-3标准适用产品范围

同时具备可联网能力和本身能够完成金融交易的设备将被纳入法规的管控范围。如： POS机、自助支付终端、自动售货机、联网ATM机、支持数字货币交易的智能设备。

EN 18031-3重点测试内容

EN 18031-3标准主要管制安全资产与金融资产两个方面，旨在通过技术手段防范涉及虚拟货币或货币价值转移的联网设备的金融欺诈风险，确保交易数据的机密性、完整性与不可抵赖性。与EN 18031-1/-2标准相比，其主要测试与评估内容有部分重合，也有特殊性：

1. 通用评估条款：设备的安全资产和金融资产应当受到如下安全机制的保护：

访问控制机制：验证设备是否实现了适当的访问控制机制，确保只有授权实体可访问设备的安全资产和金融资产。例如：设备存储保护，物理接触限制，用户角色权限，加密通信，密码保护，证书校验；
安全通信机制：设备在与其他设备及云服务进行通信时，应采用安全的传输方式保障通信的完整性、真实性和机密性。防止中间人攻击、重放攻击等安全威胁。例如：采用TLS1.2及以上版本的安全通信协议，采用符合当下密码学最佳实践的加密套件。
安全更新机制：设备应至少具备一种可用于更新其资产相关软件的机制，如通过配套APP、Web管理界面或USB本地更新接口实现。确保设备的软件和固件能够安全、可靠地进行更新。例如：通过数字签名验证固件包的完整性，禁用未加密的HTTP通道；
安全存储机制：设备应通过访问权限控制或数据加密等手段保护持久保存在设备本地的资产，保证其完整性与机密性。测试人员将确认相关加密措施是否有效，包括加密算法的强度、密钥管理的安全性等，以防止数据被未授权访问或篡改。

2. 独有评估条款：针对具备金融功能的设备，制定了更具针对性的信息安全评估要求，旨在保护用户的金融资产安全，防范欺诈等风险。主要评估内容包括：

身份验证机制：对于所有通过机器接口访问的金融或安全功能，设备需要具备身份验证机制。以确保仅有授权用户或系统能够执行相关操作，从而有效防止未经授权的读取、修改或使用行为。
日志记录机制：设备需要具备有效的日志记录能力来记录与金融资产相关的关键事件。设备在运行过程中与金融数据访问等相关的重要行为或状态变更需要被记录在日志中以便于后续追踪、分析或审计。
设备通用能力：设备中用于处理金融或安全资产的软件，必须在启动时通过硬件信任根进行完整性校验，并基于不可变或经过加密验证的信任机制来确保其来源可信、防止被篡改。

第三方评估的必要性：

2025年1月28日，EN 18031-1/-2/-3正式被列入欧盟官方公报（OJEU），成为可协调标准。但公报也同时附加了若干限制条件。其中，针对EN 18031-3这一标准。其条款 6.3.2.4 规定了安全更新的评估标准（如数字签名、安全通信、访问控制等），但由于单一方法并不能满足处理金融资产时的安全性要求，无法有效应对认证风险，因此不具备合规性推定效力。

所以对于所有适用于 18031-3 （RED 3.3.f）的金融类产品，无论产品设计如何，都必须进行第三方合规性评估。

Intertek一站式EN 18031-3测试与评估服务：

标准解读：由经验丰富的专家团队提供一对一咨询服务，深度解读EN 18031-3标准，帮助企业理解每一项要求的细节，包括访问控制与数据加密、日志记录与用户通知等方面的具体规定。
合规性评估：协助制造商识别并梳理设备中的安全资产与金融资产，完成相关技术文档的编写工作，确保产品满足标准中关于概念性评估、功能完整性评估与功能充分性评估的要求。
测试服务：覆盖EN 18031-3标准针对处理个人数据的无线电设备的专业测试，从安全、网络、金融三方面全面评估设备的网络安全特性。严格遵循测试流程，执行包括功能完整性测试、文档审核及安全机制验证等，确保每项测试结果的准确可靠。
报告与认证支持：出具权威测试报告，加速认证进程。并指导企业遵循RED认证流程，协助准备技术文档，确保文件齐全并符合RED标准。

在中国大陆地区，Intertek分别在深圳、上海和广州建立了网络安全实验室，并获得CNAS和A2LA等多项资质授权，凭借经验丰富的专家团队和全球的网络资源，为联网无线电设备提供EN 18031系列标准的咨询、顾问、测试及评估等全面服务。

欢迎联系Intertek专属销售或400 886 9926了解更多EN 18031系列标准详细要求。

关于Intertek天祥集团

Intertek是全球领先的全面质量保障服务机构，始终以专业、精准、快速、热情的全面质量保障服务，为客户制胜市场保驾护航。凭借在全球100多个国家的1,000多家实验室和分支机构，Intertek致力于以创新和定制的保障、测试、检验和认证解决方案，为客户的运营和供应链带来全方位的安心保障。

详情请登录：www.intertek.com.cn