《无线电设备指令》(RED) 2014/53/EU 概述
RED 的主要条款
欧盟委员会 (EC) 颁布的《无线电设备指令》(RED) 2014/53/EU 制定了无线电设备监管框架,规定了关于安全与健康、电磁兼容性 (EMC) 和无线电频谱效率的基本要求。指令第 3.3 条涵盖了与特定类别的无线电设备相关的设备要求,涉及从通用接口到网络安全的各个方面。
合规时间表
2022年1月12日,欧盟官方公报发布了 2022/30/EU 授权法规,规定强制执行 RED 指令第 3.3(d)、(e) 和 (f) 条的合规要求。此项法规要求对欧盟市场上适用的无线设备提供网络安全、个人数据隐私和欺诈保护(见图)。该法规自2022年2月1日起生效,并将于2025年8月1日起强制实施。设备制造商将有 42 个月的过渡期来达到相关规定并获得 CE-RED 认证。
RED 第 3.3 条网络安全要求的详细分析
RED 第 3.3 条网络安全
第 3.3(d) 条规定的网络保护
第 3.3(d) 条加强了网络保护。设备制造商必须在其产品中集成相应功能,以防止对通信网络造成危害,并确保设备不会干扰网站或服务的正常运作。
第 3.3(e) 条规定的个人数据和隐私
第 3.3(e) 条加强了个人数据和隐私保护。例如,设备制造商必须采取措施,以防止未经授权的访问或传输消费者的个人数据。
第 3.3(f) 条规定的反欺诈措施
第 3.3(f) 条减少了欺诈风险。设备制造商必须引入更强大的用户身份验证控制等功能,以尽可能地减少电子支付和货币转账的欺诈行为。
RED 网络安全要求的覆盖范围及其影响
新法规所涉及的设备
新法规适用于可直接进行互联网通信或通过其他设备进行通信的设备。其中包括可能泄露敏感个人数据的无线电设备。例如:
- 手机、平板电脑和笔记本电脑
- 无线玩具和儿童安全设备,如婴儿监视器
- 智能手表和健身跟踪器等可穿戴设备
第 3.3(d) 条适用于与网络保护相关的设备。第 3.3(e) 条适用于处理个人数据、流量数据或位置数据的设备(有关详细数据定义,请参阅欧盟法规 2016/679 第 4(1) 和 4(2) 条以及指令 2002/58/EC 第 2(b) 和 (c) 条)。
第 3.3(f) 条适用于使持有者或使用者能够根据欧盟指令 2019/713 第 2(d) 条的规定转账货币、货币价值或虚拟货币的无线电设备。网络安全措施应考虑到电子支付行业新出现的犯罪趋势,如加密劫持、勒索软件、与近场通信相关的欺诈和生物识别认证篡改。
豁免与特别考量
适用于 EC 法规 2019/21446(车辆型式检验)、2018/11397(民航)或指令 2019/520(电子道路收费系统)并具有类似安全要求的设备,不受新的第 3.3 条法规的约束。
UL Solutions 在推动 RED 合规方面所扮演的角色
标准化前的支持
2022年8月,EC 向欧洲标准组织 (ESO) CEN 和 CENELEC 提出了一项标准化请求,启动了统一标准的制定工作。预计到2024年6月30日前,上述组织将发布三项标准,分别涵盖第 3.3(d)、(e) 和 (f) 条。UL Solutions 审查了拟议标准的初稿,并提交了若干意见,以协助完善该文件。
统一标准将支持第 3.3 条规定的基本要求,并将包含适用范围内无线电设备的技术规范。以上规范将涵盖网络流量监控、拒绝服务攻击缓解、身份验证和访问控制机制、安全更新机制以及减少攻击面等主题。此外,规范还将包括数据安全和隐私方面的内容,例如,旨在防止意外或未经授权的数据存储、处理、访问、披露、销毁或丢失。用户还可以在弃置设备前轻松删除存储在设备上的个人数据,以防止信息泄露。
为何选择 UL Solutions 助力 RED 网络安全合规
在网络安全及合规领域的专长
《RED 授权法案》(RED DA) 将对在欧盟市场销售无线电设备的制造商产生影响。制造商将负责设备整个生命周期的网络安全。虽然统一标准尚未公布,但我们现在就可以开始面向此类标准做准备。UL Solutions 可以通过网络安全咨询服务助力您逐步确认 RED DA 合规标准,提升竞争优势,并为您提供教育指导,加快推进相关工作。
从策略到实施的综合性支持
无论您的项目目前处于哪个发展阶段,UL Solutions 都能为您提供支持。对于早期阶段的项目,我们可以协助您加快实施安全设计,并将安全融入到您的治理体系和流程中。为此,我们将开展由我们的安全专家主持的培训和研讨会,以助力您的团队加速获取成功实施产品所需的知识。对于处于后期开发阶段的项目,我们可协助您进行差距分析,或针对 EN 303 645 和 IEC 62443-4-2 标准进行综合合规性评估,以助力提升您的产品的安全性。这两项标准的要求与 RED DA 统一标准的预期要求高度一致,将有效支持您为 RED 做好准备。
合规咨询与培训服务
RED DA 与欧盟监管框架研习会
该研习会提供了欧盟网络安全监管框架的概览,为参与者深入了解 RED DA 中第 3.3(d)、(e) 和 (f) 条及其在提升联网设备安全性和隐私性方面的重要性奠定了基础,并讨论了《网络安全弹性法案》将带来的未来影响。
咨询服务
我们为客户在迈向 RED 合规的每个阶段提供培训服务。
初级——第 1 级:启动
初级咨询服务专为初步接触 RED DA 的制造商设计,协助他们找到专家,识别出迈向未来合规需要弥合的主要差距。
中级——第 2 级:发展
针对已开始执行 RED DA 合规工作且有网络安全认证经验的制造商,我们可提供中级咨询服务。
高级——第 3 级:明确
为了支持在 RED DA 合规进程中表现出色,寻求专家评估其成果的制造商,我们提供高级咨询服务。
欢迎查阅我们的服务信息表,或者立即联系 UL Solutions,助力您应对 RED 网络安全的相关要求。
无线电设备指令中的网络安全要求
6.44 MB
