La norme EN 18031 est officiellement entrée en vigueur! Ces produits doivent être certifiés par l'UE pour la cybersécurité?

La Commission européenne a adopté la loi sur l'autorisation supplémentaire (UE) 2022/30 en 2022, qui exige clairement que les équipements radio répondent aux exigences de sécurité du réseau, de protection de la vie privée et de lutte contre la fraude.

Nouvelle chronologie du règlement

• Août 2024: Publication des normes à l'appui EN 18031 pour affiner les clauses de cybersécurité dans la directive RED;

• 30 janvier 2025: EN 18031 est officiellement inclus dans la liste des normes de coordination de la directive RED (Bulletin officiel JO de l'UE);

• À partir du 1er août 2025: tous les équipements radio exportés vers l'UE doivent être conformes aux exigences de cybersécurité de l'article 3, paragraphe 3, point d) e) f) de la directive RED, sinon, il est interdit d'entrer sur le marché.

Contenu du noyau

Mises à niveau réglementaires: des factures aux normes, formez un cadre de conformité complet;

Nœud de temps: le 2025 août est la date limite d'exécution obligatoire;

Conditions d'accès: Répondre à trois exigences principales: la sécurité du réseau (anti-attaque), la protection de la vie privée (cryptage des données) et la lutte contre la fraude (vérification à double facteur).

Analyse des normes de base: analyse comparative précise de trois clauses principales

Les normes de la série EN 18031 sont divisées en trois parties, qui correspondent directement aux trois exigences clés de l'article 3, paragraphe 3, de la directive RED:

Liste complète du champ d'application (avec exemptions)

1. EN 18031 (exigences de sécurité de la fonction de mise en réseau)

Pour les équipements radio connectés à Internet, la principale évaluation de la sécurité des actifs du réseau est de résister aux attaques de réseau, de prévenir l'abus des ressources réseau et l'interruption de service.

Produits applicables:

• Téléphones portables, tablettes;

• Routeurs Wi-Fi, passerelles, climatiseurs connectés, réfrigérateurs et autres appareils ménagers;

• Smart TV/TV box et équipement 3G/4G/5G;

• Tous les appareils avec des capacités de communication Wi-Fi;

• Composants de mise en réseau de véhicules; convertisseur de puissance dans les systèmes énergétiques.

2. EN 18031 (Exigences en matière de sécurité des données)

Pour les équipements radio qui traitent les données personnelles, se concentrer sur la protection de la vie privée et l'équipement nécessite un contrôle d'accès, un cryptage des données et des mécanismes de protection de la vie privée.

Produits applicables:

• Appareils Bluetooth (écouteurs TWS, audio), appareils portables (montres intelligentes)

• Moniteur bébé, capteur intelligent, GPS embarqué

• Purificateurs d'air, aspirateurs et autres équipements ménagers

3. EN 18031 (Exigences financières en matière de sécurité fonctionnelle)

Pour les appareils qui gèrent la monnaie virtuelle ou la valeur de la monnaie, il est nécessaire de disposer de fonctions pour prévenir la fraude, telles que la journalisation, la vérification de l'intégrité du logiciel, etc.

Produits applicables:

• Machine POS, machine ATM

• Tout appareil qui prend en charge la monnaie virtuelle ou les fonctions de transfert

⚠Portée de l'exemption:

• Dispositifs médicaux: régis par les règlements MDR

• Équipement d'aviation: Applicable au Règlement (UE) 2018/1139

• Système d'urgence du véhicule: applicable au règlement (UE) 2019/2144

• Terminal de paiement: applicable aux 2019/520 de la directive (UE)

Approche en quatre étapes de l'action d'urgence des fabricants

Étape 1: Dépistage de la classification des produits

Match catégories standard selon les fonctions de l'appareil:

• Fonction de mise en réseau → EN 18031-1

• Traitement des données personnelles → EN 18031-2

• Liés aux transactions financières → EN 18031-3

Déterminer s'il est soumis à la nouvelle réglementation

Étape 2: Interprétation approfondie des termes techniques

• Réglage de la force de mot de passe (EN 18031-1): les utilisateurs doivent définir les mots de passe pour la première fois et désactiver le mot de passe par défaut

• Contrôle parental (EN 18031): mise en œuvre au niveau du matériel des droits des gardiens (tels que la biométrie physique des boutons)

• Mises à jour multiples de sécurité (en 18031): le contrôle d'accès de signature numérique doit être utilisé en même temps (exemple: mot de passe dynamique du micrologiciel de signature)

Étape 3: Diagnostic d'écart de conformité

Vérification clé:

• Le mot de passe par défaut est-il forcé d'être désactivé?

• Le cryptage des données répond-il à la norme AES-256?

• Si les mises à jour de sécurité adoptent un mécanisme de vérification à deux facteurs

Étape 4: Sélection du chemin d'authentification

1. auto-déclaration: Disponible lorsque vous vous conformez pleinement aux normes de coordination (les documents techniques doivent être conservés pendant 10 ans)

2. La certification de l'organisation NB est obligatoire si les situations suivantes existent:

• Autoriser les utilisateurs à sauter les paramètres de mot de passe

• Adoptez le mode de contrôle d'accès autonome

• N'utilisez qu'une seule méthode de mise à jour de sécurité