哪些产品需要进行欧盟网络信息安全认证？

随着欧盟《无线电设备指令》（RED）网络安全条款的**实施，以及《网络韧性法案》（CRA）的逐步推进，欧盟对网络信息安全认证的要求已覆盖从消费电子到工业设备的**领域。2025年8月1日起，所有具备无线通信功能且直接或间接连接互联网的设备，均需通过符合EN 18031系列标准的认证。本文将结合欧盟法规与实际案例，解析需认证的产品范围及**要求。

一、**认证范围：三大类设备全覆盖

根据EN 18031标准，需认证的产品可划分为以下三类：

1. 联网设备（EN 18031-1）

所有通过Wi-Fi、蓝牙、4G/5G等无线技术直接或间接连接互联网的设备均需认证，典型产品包括：

消费电子：智能手机、平板电脑、智能手表、蓝牙耳机；

智能家居：智能冰箱、扫地机器人、智能摄像头、联网门锁；

工业物联网：工业传感器、RFID标签、智能网关。

案例：支持Wi-Fi的智能灯泡需具备加密通信功能，防止被**控制；通过蓝牙连接的智能门锁需防止中间人攻击。

2. 数据处理设备（EN 18031-2）

涉及个人数据、位置数据或流量数据的设备需符合隐私保护要求，典型产品包括：

儿童设备：婴儿监视器、智能玩具（如带语音交互的玩偶）；

可穿戴设备：健身追踪器、医疗手环；

安防设备：家庭摄像头、GPS追踪器。

案例：儿童智能手表需内置家长控制权限，防止未经授权的摄像头访问；智能手环记录的健康数据需加密存储。

3. 金融交易设备（EN 18031-3）

涉及支付、虚拟货币或资金转移的设备需满足反**要求，典型产品包括：

支付终端：POS机、ATM机；

加密货币设备：硬件钱包、虚拟货币交易终端；

金融服务设备：支持转账的智能卡读卡器。

案例：硬件钱包需采用多重加密措施保护私钥，防止密钥泄露；支持NFC支付的手机需验证交易完整性。

二、豁免范围与特殊场景

1. 明确豁免的设备

以下设备不受RED网络安全条款约束：

医疗设备：如心脏起搏器、血糖仪（受MDR指令管控）；

工业设备：如大型机械控制器、工厂自动化系统（受ATEX指令管控）；

非联网设备：如普通吹风机、非无线功能的电动工具（*需符合基础安全标准）。

2. 争议性场景判定

蓝牙扬声器：若*作为外部扬声器播放音乐，未主动连接互联网，则无需认证；但若支持**下载更新，则需纳入认证范围。

车载设备：车载信息娱乐系统若直接联网，需认证；但纯本地功能（如蓝牙音乐播放）不受约束。

三、认证路径与合规要求

1. 认证路径选择

自我声明：适用于低风险设备，需满足以下条件：

设备无默认密码，**使用需强制用户设置密码或生物识别；

非儿童设备且不涉及儿童隐私数据；

非金融设备且不处理支付交易；

固件更新采用数字签名+防回滚机制。

公告机构（NB）认证：高风险设备需由第三方机构认证，典型场景包括：

设备允许“无密码解锁”功能；

儿童设备未内置远程禁用摄像头功能；

金融设备*依赖单一安全措施（如*用数字签名保护密钥）。

2. **合规要求

网络安全机制：设备需具备认证、安全更新、通信加密等功能，防止滥用网络资源；

隐私保护：日志记录、用户通知和数据删除机制需集成加密和访问控制；

金融安全：验证软件可信性，建立交易追踪机制。

欧盟网络信息安全认证体系已成为全球数字安全治理的**，其风险分级管理、全生命周期安全保障等理念正被多国借鉴。例如，英国、新加坡等国已参考EN 18031标准制定本地化法规。随着《网络韧性法案》的推进，5G网络设备、工业自动化系统、云服务等新兴领域将纳入认证范围，推动全球ICT产业链向更安全、更可控的方向发展。