2025年8月1日起，欧盟强制执行RED指令网络安全协调标准EN 18031系列，这意味着，无线电设备必须符合RED指令第3.3条(d)、(e)和(f)点的网络信息安全要求才能进入欧盟市场销售。

法规更新背景：

随着物联网（IoT）设备在欧盟市场的普及，从智慧手表到婴儿监视器，数十亿台设备已成为日常生活的核心。然而，2014年《无线电设备指令》（RED）尚未预见此波浪式成长，当时的法规框架未涵盖网络安全防护。结果，DDoS 攻击、个人数据外泄、金融诈骗等事件频传，成为欧盟数位单一市场的潜在破坏性风险。

欧盟委员会在2021年启动RED修订，将网络安全纳入核心合规要求。这项决策源于两项关键认知：• 安全预设设计（Secure by Default）：物联网设备需在设计阶段即内建防护机制，而非事后补救。• 分级管控：针对不同设备风险（如网络连接、数据处理、电子支付），分别制定3.3(d)(e)(f)条款，精准针对各类威胁。

EN 18031系列标准是RED指令网络安全要求的技术规范与实施基准，分为三部份（EN 18031-1/2/3），对应RED第3.3条款的不同安全层面（网络损害防 护、隐私保护、防诈欺）。

上述的(d/e/f)三大类均属于所谓的"安全资产"的通类评估后才分属于(网络/隐私/金流三大类资产) 。

法规执行时间轴：

• 2025年1月30日，欧盟委员会正式将EN 18031系列标准列入《欧盟官方公报》（OJ）的《无线电设备指令》（RED）协调标准清单，标志着该系列标准成为欧盟境内无线电设备网络安全合规的重要依据。

• 2025年8月1日起，RED指令中的网络安全条款Article 3.3(d)、(e)和(f)将强制生效！

法规更新要点：

RED指令第3.3条新增要求：

• 3.3(d)：针对能自行连接网络的设备（如手机、物联网家电产品），要求防止设备危害网络运作（如阻断服务攻击），并禁止滥用频宽资源。

• 3.3(e)：针对处理个人/位置数据的设备（如穿戴设备、儿童玩具），强制实施端到端加密、存取控制，并对接 GDPR 第 4 条与《电子通讯隐私指令》。

• 3.3(f)：针对支援电子支付的设备（如移动支付终端、加密货币硬体钱包），强化交易验证机制（如多因素认证），防范诈骗与虚拟货币盗用。

• 豁免范围：(EU) 2017/745（医疗器械）、(EU) 2017/746（体外诊断医疗器械）、 (EU) 2018/1139（民用航空安全）、(EU) 2019/2144（车辆类型认可）和指令 (EU) 2019/520（电子道路收费系统）涵盖的无线电设备免于遵守第 3(3)(e) 和 (f) 条。

(EU) 2025/138 安全与合规重点要求：

• 默认密码问题：设备如果有密码设置功能的前提条件下，如果允许用户不设置或使用密码，则相关标准不被认可为符合指令的基本要求。这意味着设备必须强制用户设置密码，以确保安全性。

• 玩具和儿童护理设备的访问控制：如果未能确保家长或监护人的访问控制，则不满足指令的基本要求。这意味着这些设备必须具备让家长或监护人能够控制的机制。

• 金融资产的安全更新：安全更新评估标准规定了多种实施类别，单独的任何一种方法都不足以处理金融资产的安全。这意味着需要综合考虑多种安全措施来确保金融资产的安全。

备注：

需要NB的类型: 没有密码的IoT装置& 蓝牙装置有透过APP登录身分与密码或者蓝牙联网者 &玩具类(儿童手表/录音玩偶) &婴儿监视器 &支付类或者有涉及加密货币者。