以下是关于欧盟EN 18031网络安全认证的资料要求及有效期规则的详细说明,依据2025年最新政策(截至2025年8月强制执行)及实操指南整理:
根据欧盟授权法规(EU) 2022/30及EN 18031标准,需提交以下核心文件:
1.技术文件(核心):
-产品规格书:硬件架构图、软件组件清单、通信协议(如Wi-Fi/蓝牙频段)。
-安全设计文档:
威胁建模报告(如DDoS攻击防护设计);
加密机制说明(如AES-256算法、TLS 1.3协议);
访问控制策略(管理员/用户权限分级、生物识别防伪测试)。
数据流程图:标注个人数据采集、存储及传输路径(需符合GDPR)。
-风险评估报告:量化漏洞风险等级(威胁可能性×影响程度),提出缓解措施(如固件篡改、数据泄露)。
2.测试样机要求:
-数量:4–6台整机(含出厂状态样机 + 开放调试接口的样机)。
-调试权限:需开放Root权限、ADB shell等,便于渗透测试。
-云端依赖:若产品依赖云端服务(如智能手表后台),需提交服务器配置文档。
3.质量管理与生产文件:
-ISO 9001证书:证明工厂具备质量管理体系。
-生产一致性控制(COP):
关键零部件变更流程(如更换芯片需重新测试);
量产抽样检测计划(每批次抽检安全功能)。
-供应链安全协议:固件供应商需提供安全审计报告(如OTA更新机制)。
4.高风险产品附加材料:
产品类型 附加要求
支付终端(EN 18031-3) 交易日志审计设计、多因素认证方案(如生物识别+PIN)
儿童设备(EN 18031-2) 家长控制功能说明、数据匿名化处理记录
二、EN 18031证书有效期与维护要求:
1.有效期规则:
-常规期限:3–5年(自颁发日起),但无固定有效期,需通过年度监督审核维持有效性。
-特殊说明:金融类设备证书可能缩短至3年(因安全风险更高)。
2.维持有效性的要求:
-年度监督审核:
提交漏洞修复记录、安全更新日志(补丁开发周期≤180天);
工厂复查生产一致性(抽查零部件与认证样品匹配度)。
-标准更新响应:
若EN 18031修订(如新增AI安全条款),需在12个月内完成复审;
未更新证书的产品将丧失市场准入资格。
3.失效与续期:
-失效场景:
未通过年度审核;
产品设计变更未重新认证(如支付终端新增指纹支付功能)。
-续期流程:提前6个月提交复审申请,可复用30%原测试数据,周期缩短40%。
三、关键注意事项:
1.设计变更风险:硬件/软件调整(如加密算法升级、新增传感器)需重新测试或补充认证,否则证书失效。
2.违规后果:
-未认证产品:2025年8月1日起禁止在欧盟销售,已售设备面临召回及最高年营业额4%罚款。
-证书失效后销售:产品扣留销毁、列入欧盟“安全门”黑名单。
3.地区差异:土耳其:同步强制要求EN 18031,需额外指定本土授权代表并标注土耳其语警告。
欧盟EN 18031网络安全认证建议企业优先选择授权机构(如蓝亚检测:13632500972)合作,确保测试报告全球可信度。
