2025年1月30日，歐盟委員會在《歐盟官方公報》(OJEU) 上發(fā)布了編號為(EU) 2025/138的決定，將EN 18031-1/2/3三個標準納入《無線電設備指令》（RED）的協(xié)調標準清單。該對無線電設備的網(wǎng)絡安全、隱私保護和反欺詐等方面提出了明確要求，將于2025年8月1日正式實施，屆時無線電設備必須符合RED指令第3(3)條(d)、(e)和(f)點的網(wǎng)絡信息安全要求才能進入歐盟市場銷售。其中，EN 18031-3 對應 RED 第 3.3(f) 條，重點關注金融交易設備的網(wǎng)絡安全。

EN 18031-3適用產品范圍：

同時具備可聯(lián)網(wǎng)能力和本身能夠完成金融交易的設備將被納入法規(guī)的管控范圍。具體適用設備包括：支付終端：POS 機、自助支付終端、移動支付設備加密貨幣設備：硬件錢包、冷錢包、支持虛擬貨幣交易的智能設備金融物聯(lián)網(wǎng)設備：聯(lián)網(wǎng) ATM 機、智能保險柜、數(shù)字貨幣礦機特殊行業(yè)設備：支持虛擬貨幣交易的智能手表、可穿戴支付設備

EN 18031-3評估要點說明：

EN 18031系列標準將評估對象按資產分為安全資產、網(wǎng)絡資產、隱私資產和金融資產四類。

安全資產：關乎設備自身的安全防護機制，如設備的訪問控制、認證等功能；

網(wǎng)絡資產：側重于設備與網(wǎng)絡交互過程中的安全性，防止對網(wǎng)絡造成損害；

隱私資產：聚焦于保護用戶的個人數(shù)據(jù)和隱私，避免數(shù)據(jù)被非法獲取和使用；

金融資產：則主要針對涉及金融交易功能的設備，確保交易安全，防止欺詐。

EN 18031-3標準主要管制安全資產與金融資產兩個方面，旨在通過技術手段防范涉及虛擬貨幣或貨幣價值轉移的聯(lián)網(wǎng)設備的金融欺詐風險，確保交易數(shù)據(jù)的機密性、完整性與不可抵賴性

EN 18031-3重點測試內容：

與EN 18031-1/-2標準相比，其主要測試與評估內容有部分重合，也有特殊性。1.通用評估條款設備的安全資產和金融資產應當受到如下安全機制的保護：訪問控制機制：驗證設備是否實現(xiàn)了適當?shù)脑L問控制機制，確保只有授權實體可訪問設備的安全資產和金融資產。例如：設備存儲保護，物理接觸限制，用戶角色權限，加密通信，密碼保護，證書校驗；安全通信機制：設備在與其他設備及云服務進行通信時，應采用安全的傳輸方式保障通信的完整性、真實性和機密性。防止中間人攻擊、重放攻擊等安全威脅。例如：采用TLS1.2及以上版本的安全通信協(xié)議，采用符合當下密碼學最佳實踐的加密套件；安全更新機制：設備應至少具備一種可用于更新其資產相關軟件的機制，如通過配套APP、Web管理界面或USB本地更新接口實現(xiàn)。確保設備的軟件和固件能夠安全、可靠地進行更新。例如：通過數(shù)字簽名驗證固件包的完整性，禁用未加密的HTTP通道；安全存儲機制：設備應通過訪問權限控制或數(shù)據(jù)加密等手段保護持久保存在設備本地的資產，保證其完整性與機密性。測試人員將確認相關加密措施是否有效，包括加密算法的強度、密鑰管理的安全性等，以防止數(shù)據(jù)被未授權訪問或篡改。
2.獨有評估條款：針對具備金融功能的設備，制定了更具針對性的信息安全評估要求，旨在保護用戶的金融資產安全，防范欺詐等風險。主要評估內容包括：身份驗證機制：對于所有通過機器接口訪問的金融或安全功能，設備需要具備身份驗證機制。以確保僅有授權用戶或系統(tǒng)能夠執(zhí)行相關操作，從而有效防止未經(jīng)授權的讀取、修改或使用行為；日志記錄機制：設備需要具備有效的日志記錄能力來記錄與金融資產相關的關鍵事件。設備在運行過程中與金融數(shù)據(jù)訪問等相關的重要行為或狀態(tài)變更需要被記錄在日志中以便于后續(xù)追蹤、分析或審計；設備通用能力：設備中用于處理金融或安全資產的軟件，必須在啟動時通過硬件信任根進行完整性校驗，并基于不可變或經(jīng)過加密驗證的信任機制來確保其來源可信、防止被篡改。

EN 18031系列標準及適用范圍：

EN 18031系列標準包括以下三個部分，每部分針對不同類型的無線電設備及其安全要求，2022年歐盟委員會還根據(jù)第3（3）條引入了網(wǎng)絡安全要求：

① EN 18031-1:2024

適用范圍：互聯(lián)網(wǎng)連接的無線電設備。

支持要求：符合《無線電設備指令》第3(3)(d)條款的基本要求（引入了“防止網(wǎng)絡損害和服務退化”的網(wǎng)絡安全要求）

② EN 18031-2:2024

適用范圍：包括互聯(lián)網(wǎng)連接設備、兒童護理設備、玩具設備和可穿戴設備。

支持要求：符合《無線電設備指令》第3(3)(e)條款的基本要求（引入了“保護個人數(shù)據(jù)和用戶隱私”的網(wǎng)絡安全要求）

③ EN 18031-3:2024

適用范圍：處理虛擬貨幣或貨幣價值的無線電設備。

支持要求：符合《無線電設備指令》第3(3)(f)條款的基本要求（引入了“防止處理虛擬貨幣的無線設備欺詐的措施”的網(wǎng)絡安全要求）