歐盟網路安全要求：RED和CRA指令

RED指令中的網路安全要求

歐盟對網路資訊安全的監管，強制實施的第一步是把網路資訊安全要求作為歐盟無線設備指令的必要要求條款。RED指令中針對網路資訊安全的要求條款Article 3.3 (d).(e).(f)將從2025年8月1日起強制。這意味著從2025年8月1日起，RED指令所管制的產品，證明其符合CE標識的必要要求，應同時涵蓋：

1. Article 3.1 (a) 安全
2. Article 3.1 (b) EMC
3. Article 3.2 Radio
4. Article 3.3  (d).(e).(f) 網路資訊安全
5. Article 3.4 通用充電介面

現在，歐盟網路資訊安全的協調標準EN 18031已經正式發佈。製造商可以從現在開始獲取涵蓋網路資訊安全條款的RED證書。Nemko 是RED指令的公告機構。Nemko的RED授權資質涵蓋上述所有條款。製造商可以根據自己的情況選擇獲證方式：

• 如果產品未持有任何RED證書，則需要同時提供上述1~5項證明符合各項必要要求的報告，獲取一份涵蓋全部條款的RED證書。
• 如果產品已持有符合RED的3.1&3.2章節的RED證書，可以單獨申請確認符合網路資訊安全條款的RED證書。

涉及的產品

RED 指令涵蓋了可以通過互聯網通信或通過其他設備進行通信的設備。可能暴露敏感個人資料的無線電設備也在RED規定範圍之內。例如：

• 手機、平板電腦和筆記型電腦
• 無線玩具和兒童安全設備，如嬰兒監視器
• 可穿戴設備，如智慧手表和健康追踪器等
  
• 智慧攝影機、電視、智慧音箱、智慧螢幕
• 智慧家电，煙霧探測器、智慧門鎖、窗户感測器等

EN 18031 系列標準應用: 

• EN 18031-1 適用於 Article 3.3(d):與網路連接的設備。
• EN 18031-2 適用於 Article 3.3 (e):涉及隱私數據的設備(有關"隱私數據“的詳細定義，請參閱歐盟法規2016/679第4(1)條和4(2)條以及指令2002/58/EC第2(b)條和(c)條)。
• EN 18031-3 適用於 Article 3.3 (f):涉及貨幣交易的無線設備。（有關”貨幣“的定義，請參考歐盟指令2019/713第2(d)條)。網路資訊安全措施應考慮到電子支付行業新興的犯罪趨勢，如加密劫持、勒索軟體、與近場通信相關的欺詐和生物識别認證篡改等。
  
  

2024年3月，歐盟議會通過投票正式批准了《歐盟網路彈性法案》(Cyber Resilience Act-CRA)。《歐盟網路彈性法案》將作為一項針對網路資訊安全的CE 指令，一個法律框架。它描述了對進入歐盟市場的數位化產品的軟體硬體方面的網路資訊安全要求，制定了各方經濟體的職責等。製造商有義務確保產品整個生命週期過程的網路資訊安全。在經過歐盟議會投票批准後，CRA還將經過歐盟理事會的批准後方可正式發佈，預計CRA將在2027年取代現有RED指令中的網路資訊安全要求。可以確定的是，CRA也確認採用協調標準EN 18031系列以及其它未來將制定的標準來確認其符合性。

Nemko已經開始使用EN 18031系列標準進行網路資訊安全評估​。Nemko可以簽發涵蓋網路資訊安全​條款的RED證書。 歡迎聯繫我們瞭解詳情。marketing.tw@nemko.com