欧盟新标 EN 18031网络安全认证

2025年8月1日起，欧盟网络安全标准（EN 18031-1/2/3）即将迎来强制实施，那么将有哪些类别的产品会涉及到这些标准呢？

一、涉及EN 18031的产品
（1）可联网的电子设备---EN 18031-1
如：带4G、5G功能的智能手表，家电联网的智能冰箱、智能扫地机器人、智能空调，路由器（WIFI/BT可自动升级系统）等，

（2）收集记录隐私数据的设备---EN 18031-2
如：联网监控摄像头（人脸管理，哭声提醒），智能手环/手表（健康数据，定位，运动轨迹）等，

（3）涉及支付场景、虚拟币的设备---EN 18031-3
如：有NFC支付的手机，POS机，硬件钱包（冷钱包）

二、特殊设备
（1）医疗器械，有联网功能的医械，EN 18031-2/3不管控；
（2）车载设备，EN 18031-2/3不管控；

（3）无联网功能的玩具，EN 18031-1/2/3均不管控；

简易参考：

三、要如何认证

1、自我声明

只要产品不触发以下限制条款，制造商可通过自声明证明合规：
a.无默认密码漏洞
- 设备必须强制用户首次使用时设置密码（或生物识别等替代方案），不允许“无密码使用”模式。
示例：智能路由器要求用户首次联网必须修改默认密码 → 可自声明。

b.不涉及高风险场景
- 非儿童设备：产品未涉及儿童隐私数据（如普通智能手环不收集儿童GPS数据）。
- 非金融设备：设备不处理支付、虚拟货币交易（如普通蓝牙音箱）。

c.安全更新机制完善
固件更新需满足标准中的多重防护（如数字签名+防回滚），且不依赖单一措施。
示例：智能摄像头支持强制加密更新 → 可自声明。

2、NB公告号认证
若产品涉及以下任意一项，必须通过欧盟公告机构（Notified Body，简写为NB）认证：
a.允许用户不设密码
示例：手机允许“无密码解锁”功能 → 需第三方认证。

b.涉及儿童或隐私敏感设备
产品为儿童玩具、婴儿监视器或可穿戴设备，且未强制家长控制权限。
示例：儿童智能手表未内置远程禁用摄像头功能 → 需第三方认证。

c.金融交易相关设备
涉及支付、虚拟货币存储（如POS机、硬件钱包），且仅依赖单一安全措施。
示例：加密货币硬件钱包仅用数字签名保护密钥 → 需第三方认证。

适用哪些场景，需匹配哪些方案，最好就是联系实验室根据实际产品具体评估。

四、之前做过CE认证的产品，还需要再重新做吗？
1.是否需要重做认证的核心判断依据
- 原有认证覆盖的指令范围
若产品已通过CE-RED、CE-EMC、CE-LVD认证，且未涉及2025年新增的网络安全条款（RED Article3.3(d)(e)(f)），则无需重新认证。

- 若产品属于RED指令范围内且涉及联网功能、个人数据处理或电子支付（如智能手表、POS机等），则需补充EN 18031系列标准的测试，以符合网络安全新规。

2.认证标准和指令是否更新
CE-RED：2025年8月1日起强制执行网络安全条款（EN 18031-1/2/3），原有认证若未覆盖该部分需重新评估。

CE-EMC/LVD：若无新版指令或标准发布，且产品设计未变更，则无需重做。

3.具体场景与应对策略
（1）需重新认证的情况
● 产品属于RED指令新增管控范围
例如：智能手机、智能家居设备、支付终端等需满足网络保护（3.3d）、隐私保护（3.3e）和反欺诈（3.3f）要求，必须通过EN 18031测试并更新CE-RED证书。

● 原有CE-RED认证未覆盖网络安全条款
若证书未包含2022年补充的RED-DA要求（如设备默认密码防护、金融交易安全机制），需补充测试。

（2）无需重新认证的情况
● 产品不属于RED指令新增范围
例如：仅需符合EMC（电磁兼容）或LVD（低电压指令）的普通电器（如电风扇、灯具），若标准未更新且设计无变更，原证书继续有效。

●认证仍在有效期内且标准未变更

CE证书默认有效期为5年，若产品未改动且指令未更新，无需重复认证。

4.法规豁免与过渡期安排
豁免范围：医疗器械、民航设备、汽车等受其他专项法规管控的产品，可免于RED网络安全条款（3.3e/f）。
过渡期：2025年8月1日前已投放欧盟市场的产品可继续销售至生命周期结束，但新生产或首次入市的产品必须符合新规。

五、企业应对建议
1.自查产品分类
确认产品是否属于RED指令新增的联网设备、数据处理设备或支付设备。

2.评估认证覆盖性
核对现有CE证书是否包含EN 18031标准要求。

3.技术文档更新
若需补充认证，需提交更新后的技术文件（含网络安全设计说明、漏洞修复记录等）。