2025年8月1日起,欧盟正式强制执行EN18031系列网络安全标准,所有未通过合规测试的无线联网设备将无法进入欧盟市场。对于中国出口企业而言,提前掌握规则、完成合规整改,已经成为保住欧盟市场份额的核心前提。本文整理了EN18031认证的核心规则、适用范围、测试要求与合规流程,帮助企业快速理清思路,顺利拿到市场准入资格。
1. 什么是EN18031认证
EN18031是欧盟《无线电设备指令》(RED 2014/53/EU)框架下的强制性网络安全协调标准,法律依据为欧盟授权法案(EU)2022/30,核心目标是提升无线联网设备的网络防护能力、保护用户个人隐私、防范金融欺诈风险。
该标准于2024年8月正式发布,2025年1月列入欧盟官方公报协调标准清单,2025年8月1日起正式强制执行,没有过渡期。所有进入欧盟及欧洲经济区(EEA)市场的符合适用范围的无线设备,必须通过EN18031合规测试,否则无法获得CE-RED认证,面临市场禁入、产品召回、高额罚款等处罚。
2. EN18031对应的是什么
EN18031系列标准分为三个独立部分,分别对应RED指令第3.3条的(d)(e)(f)三项要求,覆盖不同类型的产品与安全方向:
标准模块 | 核心方向 | 对应RED条款 | 核心要求 | 适用产品 |
|---|---|---|---|---|
EN 18031-1 | 网络保护 | 3.3(d) | 禁用默认弱密码,强制设置≥12位高强度密码;固件支持带数字签名的安全更新,承诺提供至少2年安全补丁;通信必须采用TLS 1.2+版本,密钥长度不低于112位,禁用Telnet等明文弱协议;具备基础抗DDoS能力,10万次无效请求下吞吐量降幅不超过30% | 所有联网无线设备,包括蓝牙耳机、路由器、智能家电、物联网传感器等 |
EN 18031-2 | 隐私保护 | 3.3(e) | 个人数据采用AES-256加密存储,支持物理级彻底数据擦除;数据收集需获得用户明确授权,儿童相关设备必须设置不可绕过的家长控制;发生数据泄露需在72小时内通知用户,操作日志留存不少于90天 | 处理个人数据的无线设备,包括儿童手表、健康手环、婴儿监护器、可穿戴设备等 |
EN 18031-3 | 防欺诈保护 | 3.3(f) | 支持安全启动,50ms内阻断恶意固件注入;支持多因素身份认证,交易日志不可篡改且至少留存7年;采用硬件防篡改设计,保障交易流程完整性 | 处理金融交易的无线设备,包括POS机、支付终端、加密货币硬件钱包等 |
需要注意的是,如果产品不符合标准的协调性要求(例如允许用户不设置密码、儿童设备无强制家长控制),标准将丧失协调性推定,企业必须通过欧盟公告机构(NB)完成第三方认证方可准入。
3. 哪些产品必须做EN18031认证
EN18031的适用范围覆盖绝大多数带无线联网功能的无线电设备,只要满足以下任意一个条件,就需要完成认证:
可以直接或间接通过互联网连接通信的无线设备
需要处理用户个人数据、位置数据的无线设备,包括儿童看护设备、可穿戴设备、联网玩具等
支持货币、虚拟货币转账交易的联网无线设备
典型需要认证的产品包括:智能手机、平板电脑等消费电子;路由器、智能音箱、智能摄像头、智能门锁等智能家居设备;工业传感器、联网网关等物联网终端;儿童智能手表、儿童陪伴机器人等儿童相关产品;智能手表、健康手环等可穿戴设备;POS机、支付终端、加密硬件钱包等金融支付设备。
4. 哪些产品可以豁免
符合以下条件的产品可以部分或全部豁免EN18031认证要求:
全部豁免:受欧盟医疗器械法规(MDR)管辖的医疗器械,所有三项要求均可豁免
部分豁免:受欧盟航空安全法规管辖的航空设备、受汽车安全法规管辖的汽车电子设备、受道路收费系统指令管辖的设备,可豁免隐私保护和防欺诈相关要求;纯接收型无主动联网功能的无线设备(如无联网功能收音机)、仅做音频传输无数据收集的极简款无线设备,可提供书面举证豁免认证。
5. EN18031认证的具体流程是什么?
EN18031认证以「自我声明+第三方测试」为核心框架,非欧盟企业需要提前指定欧盟授权代表,完整流程分为四个阶段:
前期评估(1-2周):梳理产品功能,确定需要适用的标准模块;非欧盟企业指定欧盟授权代表,负责合规对接与文件留存。
技术文件与样品准备(2-3周):准备英文技术文档,包括产品说明书、电路原理图、BOM表、安全风险评估报告、固件更新机制说明、符合性声明草案;准备2-3台与量产版本一致的测试样机。
实验室测试(4-6周):选择欧盟认可的具备资质的实验室,完成对应标准模块的测试,同步完成RED指令下的RF/EMC/LVD基础测试;测试不合格需要整改后重新测试。
文件审核与声明(1-2周):普通低风险产品采用Module A自我声明,签署符合性声明后留存技术文件10年即可;高风险产品(金融交易类、儿童监护类)需要公告机构介入审核,审核通过后标注公告机构代码。 完成所有流程后,即可在产品和包装上加贴符合要求的CE标志,获得欧盟市场准入资格。
6.认证需要准备哪些技术资料
企业送测前需要提前准备好全套技术资料,避免因材料不全延长认证周期:
产品基础文档:产品规格书(含硬件配置、软件版本、通信参数)、电路原理图、PCB Layout图、BOM物料清单
安全设计文档:身份认证与访问控制机制说明、数据加密算法应用说明、固件安全更新机制说明、漏洞响应与修复流程文档
合规评估文档:网络安全风险评估报告、资产识别分类表、自测报告、隐私政策声明、安全补丁支持承诺函
基础合规文档:产品说明书(英文)、欧盟授权代表协议、CE标志设计稿、符合性声明(DoC)草案
7. EN18031认证要求是什么
对于国内出口企业而言,EN18031认证最容易卡壳的环节主要集中在三个方面:
资产识别模糊:标准要求以资产分类作为评估基础,但标准三个部分的术语定义存在不一致,很多企业无法准确分类安全资产、网络资产、隐私资产和金融资产,导致前期评估不通过
功能充分性测试不通过:模糊测试、抗DDoS测试等环节,很多中小厂商的产品没有做过针对性设计,容易出现崩溃、异常响应等问题,直接判定不通过
协调性条件不满足:不少企业为了用户体验保留了无密码登录选项,或者儿童设备允许绕过家长控制,直接导致标准丧失协调性,需要额外走公告机构审核,增加认证成本和周期。
建议企业在正式送测前,提前找有经验的机构做预测试,排查问题后再送测,可以有效降低整改成本、缩短认证周期。
8. 不符合EN18031要求会有什么处罚
2026年起欧盟市场监管持续收紧,未合规产品的处罚力度非常大:
市场禁入:未达标产品无法加贴CE标志,禁止进入欧盟市场销售,已经清关的产品会被扣押
产品召回:已经上市销售的不合规产品,会被要求全部召回,企业需要承担全部召回成本
高额罚款:罚款金额根据欧盟成员国不同有所区别,更高可达到企业全球年营业额的4%
品牌损失:不合规产品的信息会被欧盟监管机构公示,对企业品牌信誉造成长期负面影响
9. 出口企业应对新规的建议
对于计划继续深耕欧盟市场的出口企业,给出三点实操建议:
尽早启动合规评估:无论产品是否已经上市,都要尽快对照标准要求完成自查,已经上市的产品需要提前完成整改,避免监管抽查出现处罚
选对认证服务机构:优先选择有欧盟资质、有大量无线设备EN18031认证案例的机构,避免因为机构不专业导致测试不通过或者周期延长
建立长期合规机制:标准未来可能会随着网络威胁变化更新,企业需要建立漏洞响应和安全更新机制,确保产品在整个生命周期内符合合规要求
如果对产品判定、数据整理有疑问,可以联系专业合规CTB环测威检测机构直接沟通(4008-707-283)协助梳理,深圳CTB检测机构拥有自建实验室,为广大客户提供各行各业的检测认证服务,深受广大客户信赖。
