网络安全和RED第3条.3基本要求
专职专家
迈克尔德比迈克尔德比从事产品开发和审批业务超过35年. 他目前的专业领域是帮助制造商将无线电设备推向市场.
2022年1月12日, 欧盟委员会发布了与第3条相关的授权法规(EU) 2022/30.3(d), 3.3(e)和3.无线电设备指令(RED)第3(f)条.
RED授权法案条款与网络保护有关, 保护用户, 防止欺诈.
- 第三条.3(d) 无线电设备不损害网络或其功能,也不滥用网络资源, 从而导致无法接受的服务退化
- 第三条.3(e) 无线电设备设有保障措施,以确保用户和订户的个人资料和私隐受到保护
- 第三条.3(f) 无线电设备支持某些功能,确保防止欺诈
这些新需求统称为 网络安全.
授权法规(EU) 2022/30
该规例概述了有关规定的一些原因, 哪些类型的设备将在适用新的基本要求的范围和时间表内.
这个话题的历史包括通过互联网连接对设备进行黑客攻击, 儿童及其福祉, 获取无线电设备用户的位置或者个人信息. 玩具或卧室监视器有麦克风和扬声器,可以接触到孩子, 无线电设备通常用于连接到互联网, 可穿戴技术用于跟踪我们的健康统计数据和位置, 银行和支付通常通过无线电设备在线处理.
重要的是要注意,具有无线电功能是将设备置于 无线电设备指令(RED),但是RED涵盖了设备的各个方面. 因此,整个产品必须符合第3条的适用部分.3、展示网络安全,而不仅仅是无线电链路.
属于授权法规范围的产品
授权法规(EU) 2022/30适用于连接到互联网的任何设备, 直接或间接. 这可能包括:
- 可穿戴技术或具有无线电功能的便携式设备, 包括可穿戴或随身携带的或装在衣服里的无线电设备.
- 用于转移货币或虚拟货币的设备.
- 儿童玩具:具有无线电功能的儿童玩具,或其他用于儿童保育的设备,如儿童监视器. 这类设备受该条例的保护,即使它没有互联网连接.
本条例是指对网络或者互联网本身的保护,以及对无线电设备用户的保护. 因此,这些要求适用于互联网连接两端使用的设备.
一些设备已经有网络安全要求,作为其他欧盟指令或法规和RED第3条的一部分.3个方面将不适用于该设备. 例如, 医疗器械和体外诊断医疗器械, 须经型式认可的车辆及车辆系统, 民用航空设备, 以及跨境交易的公路收费系统, 是否均受其他法规的网络安全要求的约束,因此不属于第3条的范围.3(d), 3.3(e)和3.3(f).
某些类型的设备在RED要求的范围内,但已经受到一些欧盟成员国有关网络安全的国家法律的约束, 所以要小心不要改变这些要求, 但是要协调它们,使它们成为评估过程的一部分.
时间轴
首次出版时, 授权法规(EU) 2022/30包括2024年8月1日的开始日期,但现在已移至2025年8月1日.
第一阶段是在2022年1月发布授权法规(EU) 2022/30.
第二阶段是欧盟委员会与国际标准组织就标准化要求达成一致. 这一阶段是确定如果需要进行测试或计算,需要进行何种评估的阶段, 以及技术评估的范围是什么. 欧盟委员会决定向CEN/CENELEC提交他们的标准化请求, 该请求于2022年8月5日公布.
第三阶段是CEN/CENELEC接受标准化要求,并向欧盟委员会提交项目计划和时间表, 关于CEN/CENELEC建议如何满足标准化请求中详细的要求. 该标准目前正在进行中,时间表已经修改,以便协调标准计划于2024年6月可用.
技术专家和贡献者, 包括im体育APP的代表, 在CEN/CENELEC委员会已经开始起草的要求, 并计划制定可以在RED协调标准官方杂志上列出的标准. 预计将至少有三个标准,涵盖第3条.3(d), 3.3(e)和3.3(f).
因此, 在撰写本文档时, 我们知道哪些设备在范围内, 我们知道第3条每个部分所需的标准类型.我们知道评估标准正在制定中.
当标准已经由CEN/CENELEC编写和发布时, 他们将被投票和批准, 然后提交给欧盟委员会进行审查. 如果确定该标准符合标准化要求的范围并为欧盟委员会所接受, 它们将被添加到RED协调标准官方期刊中.
当标准出版完成后,im体育平台app下载将知道应用标准的最终评估或测试程序, 欧盟委员会已将其列入RED协调标准官方期刊.
随着这些CEN/CENELEC标准的发展,评估过程将变得更加清晰. 这不是等待数年才能看到最终评估过程的情况. 从现在开始, 几乎是按月计算的, 这些标准将成为焦点,并为制造商提供更清晰的图景, 评估实验室, 和公告机构将成为什么. 当这些标准最终被列在官方公报上时, 我们已经知道里面有什么了.
如果这些标准没有在2025年8月1日法规生效前及时列在RED官方协调标准公报上, 制造商可以通过与欧盟公告机构合作将其产品推向市场. 在这种情况下, 欧盟公告机构将被要求审查制造商的技术文件,并为2025年8月1日起进入欧盟市场的无线电设备颁发欧盟型式检验证书, 直到标准被列出来.
公告机构可以颁发涵盖第3条的欧盟型式检验证书(EU- tec).2025年8月1日起的3项网络安全要求, 即使这些标准还处于草案阶段. 公告机构有可能在2025年8月1日之前发布其EU-TEC, 以便欧盟-过渡时期行政委员会准备在2025年8月1日开始工作. 然而, 在标准变得稳定之前,制造商要求EU-TEC可能是不明智的,因为如果标准发生变化,EU-TEC就会过期. 例如,2023年或2024年针对第3条发布的EU-TEC.3(d), 3.3(e)或3.3(f)很可能在2025年8月1日成为有效文件之前就到期了.
不存在这样的过渡期. 该法规将从2025年8月1日起适用于所有设备. 该要求在2025年8月1日之前不适用,在2025年8月1日之后将是强制性的. 因此,2025年8月1日之前的时间更像是一个“准备时期”。.
评估要求
虽然我们可能还没有测试或评估的方法和程序, 我们现在确实知道标准化要求的内容,因此我们确实知道设备需要满足哪些要求, 由2025年8月1日起.
关于RED第3条的三个适用方面,我们了解如下.3:
- 第三条.3(d无线电设备不会损害网络或其功能,也不会滥用网络资源, 从而导致无法接受的服务退化
本条款适用于直接或间接连接到互联网的设备.
无线电设备应:
(a)包括监测和控制网络流量的要素, 包括传出数据的传输
(b)旨在减轻正在进行的拒绝服务攻击的影响
(c)执行适当的认证和进出控制机制
(d)提供, 在风险基础上, 在市场上投放的最新软件和硬件不包含公开已知的可利用漏洞,例如对网络的危害或其功能或滥用网络资源
(e)提供自动和安全的机制来更新软件或固件,以便, 在必要的时候, 减少漏洞,因为利用这些漏洞可能导致无线电设备损害网络或其功能,或滥用网络资源
(f)保护暴露的攻击面,尽量减少成功攻击的影响
- 第三条.3(e) 无线电设备设有保障措施,以确保用户和订户的个人资料和私隐受到保护
本条款适用于能够处理个人数据的设备, 交通数据, 或者位置数据. 也, 儿童专用设备, 可穿戴的设备, 绑在, 或是挂在头或身体的任何部位, 包括服装, 以及其他联网设备.
无线电设备应:
(a)保护储存, 传播, 或以其他方式处理个人资料,以防止意外或未经授权的处理, 包括存储, 访问, 信息披露, 破坏, 丢失、改变或缺乏可用性
(b)执行适当的认证和进出控制机制
(c)提供, 在风险基础上, 在投放市场时使用最新的软件和硬件,在数据保护和隐私方面不包含公开已知的可利用漏洞
(d)提供自动和安全的机制来更新软件或固件,以便, 在必要的时候, 缓解如果被利用可能导致未经授权处理的漏洞, 包括存储, 访问, 信息披露, 破坏, 遗失或变更, 或者缺乏个人数据的可用性
(e)包括通知用户可能影响数据保护和隐私的变化的功能
(f)记录可能对数据保护和隐私产生影响的内部活动
(g)方便使用者删除储存的个人资料, 能够在不暴露个人资料的风险下处置或更换设备
(h)保护暴露的攻击面,尽量减少成功攻击的影响
标准化要求明确了它对智能手机评估的重要性, 儿童保育设备, 无线电使玩具, 智能电表, 5G网络应考虑其他法规,不得破坏此类法规所涵盖的评估.
- 第三条.3(f)无线电设备支持某些功能,确保防止欺诈
本条款适用于直接或间接连接到互联网的设备 and allows the user to transfer money, 货币价值, 或者虚拟货币.
无线电设备应:
(a)保护储存, 传播, 或以其他方式处理财务或货币数据,以防止意外或未经授权的处理, 包括存储, 访问, 信息披露, 破坏, 丢失、改变或缺乏可用性
(b)执行适当的认证和进出控制机制
(c)提供, 在风险基础上, 在投放市场时使用最新的软件和硬件,不包含有关金融或货币数据的公开已知可利用漏洞
(d)提供自动和安全的机制来更新软件或固件,以便, 在必要的时候, 缓解如果被利用可能导致未经授权处理的漏洞, 包括存储, 访问, 信息披露, 破坏, 遗失或变更, 或者缺乏可用的金融或货币数据
(e)记录可能对财务或货币数据产生影响的内部活动
(f)保护暴露的攻击面,尽量减少成功攻击的影响
对于所有的RED条款3.三部分, 假设网络安全标准的第一版将为基本要求设定评估水平, 使所有无线电设备在要求范围内达到合理的安全水平. 一些设备可能没有现有的网络安全或弹性, 第一阶段将是使所有设备达到可接受的最低安全水平.
为法规做准备
尽管该条例直到2025年8月1日才适用, 准备将是准备好满足要求的一个重要方面. 制造商要做的第一件事就是看看他们的无线电设备,问问自己, 网络安全程度如何? 你已经采取了哪些措施来保护它不受攻击? 如果答案是“没有”,那么你可能有一些工作要做.
关于遵守RED, 制造商应该特别关注上面列出的要求,并考虑它们如何满足这些要求. 考核标准, 当完成, will provide clear and detailed ways to demonstrate compliance with the requirements; but there is nothing to stop a manufacturer from working on ensuring their equipment could achieve those goals in the meantime. 即使标准已经公布, 统一标准的应用并不是证明符合RED的唯一方法.
一些制造商已经知道如何评估他们的产品,以及如何证明他们符合标准化请求中列出的要求, 在这份文件中. 一些制造商可能已经有了这样的评估, 为自己的质量体系. 对于其他制造商,im体育APP等公司将提供帮助.
对于那些寻求帮助的人, 已经有一些有用的标准在流通,这些标准可以用来帮助制造商和测试实验室评估方法. ETSI EN 303 645包含与上述主题专门相关的部分, 比如更新软件, 监控数据流量, 并尽量减少暴露的攻击面.
en3030645是一个有用的标准,可以用作指导, 尽管它不打算被列入RED协调标准官方杂志, 它不包含满足RED所需的所有信息.
其他标准也存在,例如用于工业、自动化和控制的IEC 62443系列.
im体育APP的网络安全团队可以帮助解释标准,并指导制造商完成应用标准和执行网络评估的过程
在所有情况下, im体育APP的欧盟公告机构将可用来评估制造商的网络安全评估,并提供审查以确定是否符合RED. 欧盟公告机构将能够根据第3条颁发其型式检验证书.3(d), 3.3(e)和3.3(f),从2025年8月1日起将成为具有法律效力的文件.
制造商需要更多地考虑设备在整个生命周期中的合规性. 对于红色, 和大多数欧盟指令一样, 评估是在将产品投放市场时考虑的, 只有少数制造商在设备的使用寿命期间对持续的合规性进行了充分的考虑. 例如, 如果该设备预计投放市场,然后使用一段时间为三到四年, 制造商应该考虑在这段时间内它是否会保持合规. 根据产品类型和使用环境, 制造商应考虑设备是否在可能的极端条件下使用四年后仍能保持良好的性能和安全性. 质量差的组件或软件可能导致产品在其生命周期内变得不兼容. 这适用于RED的所有方面,如安全、EMC和无线电性能. 与网络安全, this consideration by the manufacturer becomes even more important because the cyber environment could be changing around their product; hence the requirements relating to software and firmware updates.
其他的考虑
2022年9月15日, 《im体育APP》(CRA)在欧洲发布, 加强网络安全规则,确保欧盟市场上有更多安全的软硬件产品.
CRA的重要考虑因素, 与RED相比, RED只包括无线电设备吗, 而CRA涵盖硬件和软件产品, 以及任何包含数字操作的产品.
CRA的主要目标是确保在欧盟市场上投放的数字产品具有更少的漏洞,并且制造商在产品的整个生命周期内仍然对网络安全负责, 提高硬件和软件产品的安全性, 并更好地保护数字设备的用户. 这将是一个横向法案, 涵盖无线电及非无线电设备, 而不仅仅是RED范围内的设备.
CRA旨在补充欧盟的监管要求.
英国无线电设备条例不包括网络安全要求, 但英国已经宣布了自己的网络安全法规, 被称为英国产品安全和电信基础设施. 它基于EN 303 645的评估,对于任何在该法规范围内销售设备的制造商来说都是强制性的, 在英国, 2024年4月29日起!
美国也在引入网络安全要求, 包括标签要求,以证明网络弹性.
im体育APP优势
im体育APP与无线设备制造商合作, 物联网, 和无线电设备在广泛的工业部门,包括消费者, 商业, IT, 医疗, 工业, 和汽车市场.
我们从最初的产品概念开始提供专家指导, 支持成功的产品发布并提供咨询, 培训, 测试, 认证服务.
我们的专家可以指导您完成法规遵从性流程, 考虑到销售时的法规和整个产品生命周期, 让你感觉可以控制你的产品快速进入市场, 顺利, 有效地.
im体育APP在欧洲、北美和亚洲拥有许多欧盟公告机构.
我们经验丰富的公告机构团队熟悉欧盟的复杂要求 无线电设备指令, 我们理解在官方公报中没有统一标准的情况下评估产品的过程.
我们力求准时交货,每一次,从 R&D创新适应市场现实. 今天就im体育APP的专家.
找到相关的 资源