EN 18031 是欧盟针对无线电设备发布的网络安全标准,于 2024 年 8 月正式发布,2025 年 1 月 30 日被列入《无线电设备指令》(RED)协调标准清单,并于 2025 年 8 月 1 日起强制执行。以下是对无人机 EN 18031 欧盟网络安全认证的详细解读:
适用范围
EN 18031 标准分为三部分,其中 EN 18031-1 适用于互联网连接的无线电设备,无人机通常会涉及无线通信和网络连接功能,因此适用该部分标准。不过,(EU) 2018/1139 号条例(欧洲航空安全局基本法规)管辖的无线电设备(远程控制无人机的设备以及可能安装在飞机上的非机载特定无线电设备)可豁免 EN 18031-2 的要求。
核心要求
- EN 18031-1 网络保护要求 :
- 防网络攻击:无人机需具备防护如 DDoS 攻击等网络攻击的能力,保障通信安全,通常采用通信加密技术,防止数据在传输过程中被窃取或篡改。
- 安全更新机制:支持固件 / 软件漏洞修复,确保设备能及时更新以应对新出现的安全威胁,且要明确最低支持周期,通过数字签名等方式验证更新包的真实性和完整性。
- 密钥管理:对加密密钥进行安全存储与更新,保证密钥的安全性,防止密钥泄露导致数据加密失效。
- EN 18031-2 数据隐私要求(部分无人机适用) :若无人机涉及处理个人数据和隐私,如配备摄像头用于拍摄个人活动或收集位置数据等,则需满足以下要求。
- 访问控制与数据加密:进行用户权限管理,对敏感数据加密,确保只有授权用户能访问和处理相关数据。
- 日志记录与用户通知:记录操作行为,当存在数据泄露风险时及时告知用户,使用户了解自己的数据安全状况。
- EN 18031-3 金融安全要求(通常不适用无人机):该部分主要针对涉及虚拟货币或货币价值的无线电设备,一般情况下,无人机很少涉及此类功能,所以通常无需满足此部分要求。
限制条款
- 密码设置方面:如果无人机采用鉴别密码的方式进行用户身份认证,且允许用户不设置或使用任何密码(包含 PIN 码)的情况下使用产品,则不能采用自评估声明的形式宣称合规,须采用第三方合格评定方式。
- 儿童相关设备:若无人机被设计为儿童玩具或监护设备,采用基于角色、自主或强制访问控制,但不支持家长 / 监护人控制管理权限,则不能采用自评估声明宣称合规,须采用第三方合格评定方式。
合规性评估路径
- 自我声明:适用于完全符合标准且不涉及限制条款的无人机产品。制造商可依据 EN 18031 标准进行自我评估,完成符合性声明(DoC)并加贴 CE 标志,无需第三方机构介入,可加快产品进入市场的速度。
- 第三方认证:当无人机产品涉及限制条款,如允许无密码使用、是儿童玩具但无家长控制功能等情况,或采用了标准外的替代技术方案时,必须通过公告机构(NB)进行评估,由其签发 EU Type Examination 认证证书,以证明产品符合 EN 18031 标准。
认证准备要点
- 文档准备:制造商需准备技术设计说明书、风险评估报告、测试记录等相关文档,以便在认证过程中向评估机构展示产品的设计原理、安全措施以及测试结果等信息。
- 实验室选择:优先选择具备 EN 18031 资质的第三方机构进行产品测试和认证,确保认证结果的权威性和有效性。
- 参考其他标准:已通过 ETSI EN 303 645 认证的企业,可补充 EN 18031 与 ETSI EN 303 645 的差异测试,以缩短认证周期,降低认证成本。
未通过 EN 18031 认证的无人机产品将无法获得 CE - RED 认证进入欧盟市场,面临产品召回、市场禁入、罚款(最高为年营业额 4%)等风险。同时,若无人机存在技术漏洞,如未实施安全更新机制,可能导致设备遭攻击,进而引发法律诉讼。