本文基于2025年12月欧盟最新法规实践(核心依据:授权法案(EU)2022/30及修正案(EU)2023/2444/EU,标准版本EN 18031-1:2023+A1:2024)。认证流程与周期受产品复杂度、实验室产能影响较大,启动前务必通过欧盟官方公报(OJEU)及欧洲标准化委员会(ETSI)官网核对最新法规与标准版本,或咨询公告机构获取精准评估。
做欧盟无线设备出口的朋友,最关心的莫过于EN 18031-1认证“要走哪些步骤”“多久能拿证”。2025年标准强制实施后,不少企业踩了时间坑:有的没做预测试直接送样,测试失败返工多花1个月;有的文档准备不充分,审核阶段卡了3周;还有的低估了工厂审核的时间,错过产品上市窗口期。
需明确关键前提:本文拆解的12-20周全流程,针对的是需经公告机构(Notified Body)进行符合性评估的产品(如复杂工业设备、金融支付终端、带敏感功能的智能终端);对于低风险简单设备(如基础蓝牙音箱、普通无线鼠标),可采用“自我声明(DoC)”路径,流程仅需10-14周,核心围绕自我测试与文档备案,无需公告机构深度介入。本文聚焦公告机构认证路径,拆解步骤、时间分配及避坑要点。
EN 18031-1通用网络安全认证流程(12-20周):
1.前置评估阶段(1-2周)
这是最容易被忽略但最关键的一步,直接决定后续认证效率,核心是明确产品合规要求,避免盲目启动测试。
-产品合规画像:确认产品是否属于EN 18031-1覆盖范围(所有带无线联网功能的设备,含WiFi、蓝牙、蜂窝网络等),明确是否需组合其他子标准(如支付类设备加EN 18031-3,儿童设备加EN 18031-2)。可参考欧盟无线电设备委员会(RRC)《产品分类指南》,或联系公告机构做免费预评估,快速明确合规边界。
-标准差异分析:若产品曾做旧版EN 303645认证,需逐项对比EN 18031-1:2023+A1:2024的新增要求(如网络弹性、安全更新**),列出整改项。2025年某智能路由器厂商因未做差异分析,缺失“断网后数据加密存储”功能,测试失败后整改耗时3周。
-合作方选定:优先选择有“网络安全专项资质”且产能充足的公告机构和实验室,这类机构熟悉2025年最新测试流程,能提前预判问题;避免选择小机构,否则可能延长测试周期,影响证书认可度,导致后期清关受阻。
2.设计整改阶段(2-4周)
很多企业跳过此阶段直接测试,反而更费时间。EN 18031-1要求必须在设计端落地,整改围绕三大核心展开:
-访问控制整改:删除所有固定默认密码,设计“首次开机强制设置高强度密码”功能(8位以上+大小写+数字+特殊符号),划分管理员、操作员、访客**权限并在固件中硬限制(如操作员不可修改DNS设置)。某智能摄像头厂商仅做界面隐藏权限,未在固件限制,后期测试返工1周。
-安全更新机制搭建:集成固件**验证逻辑,采用RSA-2048或ECC-256等强加密算法,设计A/B双分区或备份镜像,避免更新中断导致设备变砖。2025年公告机构对此审核极严,某智能灯泡厂商因缺失防回滚机制,整改后重新测试耗时2周。
-网络弹性优化:添加防DDoS攻击模块识别异常流量;本地缓存数据采用AES-256加密,避免断网后数据泄露;设计自动恢复功能,确保设备崩溃后快速重启且不丢失关键数据。工业设备需额外添加“电压波动适应”功能,应对欧盟部分地区电网不稳定问题。
3.预测试阶段(2-3周)
预测试非必选项,但2025年多数顺利拿证企业均完成此环节,可提前发现问题,避免高额重测费(重测费通常为正式测试的80%)。
- 测试重点:选择有资质的第三方实验室,聚焦三大核心模块——访问控制(密码复杂度、权限分级)、安全更新(**验证、防回滚)、网络弹性(DDoS防御、断网数据保护),要求测试报告详细标注不合格项及整改建议。
- 实操案例:某工业传感器厂商预测试时发现“断网后缓存数据未加密”,经实验室建议将数据存入安全芯片,整改后正式测试一次通过,节省3周时间。
- 周期提醒:预测试常规周期2-3周,每年3-5月、9-11月为实验室旺季,可能延长1周,建议提前2周预约。
4.正式测试阶段(3-6周)
预测试整改完成后,向公告机构提交正式测试申请并送样,此阶段时间波动受3大因素影响:
-产品复杂度:简单设备(如基础蓝牙音箱)测试3-4周;复杂设备(如多协议工业**、5G智能终端)需5-6周,需额外测试协议兼容性和高负载下安全表现。
-测试通过率:一次通过则时间最短;若有不合格项需整改补测,每次补测至少增加1-2周。2025年某智能门锁厂商因WiFi连接采用TLS 1.1低版本加密协议,补测2次耗时3周。
-实验室排队情况:每年第二、四季度为认证旺季,公告机构实验室订单饱和,测试周期可能延长20%-30%,建议避开旺季或提前2-3个月预约。
-核心测试项目:含渗透测试(模拟黑客攻击)、固件安全审计(漏洞检查)、加密算法验证(强加密符合性)、网络弹性测试(断网/攻击场景模拟)等,需获取所有项目合格报告作为审核核心依据。
5.文档审核阶段(2-3周)
2025年公告机构不再“走过场”,重点核查“文档与产品实际表现一致”,需提前准备完整文档:
-必备文档:技术文件(电路图标注安全芯片位置、BOM清单附关键零部件合规证书、固件版本说明、安全设计文档);测试相关文件(预测试报告、正式测试报告、整改记录);合规声明初稿(明确引用EN 18031-1:2023+A1:2024及授权法案(EU)2022/30,标注公告机构代码)。
-常见问题:细节不一致是主要驳回原因,如某厂商安全设计文档标注“RSA-2048加密”,测试报告记录为RSA-1024,审核直接打回,整改文档耗时1周。
-审核周期:文档无问题则2周通过;若缺失或不一致,公告机构会发“补正通知”,需1周内补充,否则延长审核时间。
6.工厂审核阶段(1-2周)
仅高风险设备(工业控制设备、金融支付终端、医疗相关无线设备)需公告机构现场审核,审核1-2天+报告整理,总周期1-2周。
-审核重点:生产一致性,即工厂能否持续产出符合测试样品标准的产品。审核员核查生产线关键工序控制点(如固件烧录加密验证)、检测设备校准记录(有效期内)、供应商管理档案(关键零部件合规证明)、不合格品处理流程(明确整改机制)。
-反面案例:2025年某工业**厂商因检测设备未按时校准,工厂审核未通过,整改后重新审核耗时2周。
-建议:提前1个月内部自查,补齐所有记录,确保生产流程与文档描述一致。
7.符合性评估与声明阶段(1-2周)
所有报告通过后,公告机构完成最终符合性评估并出具《符合性评估报告》,企业需基于此报告自行签发《符合性声明(DoC)》——这是RED指令框架下合规核心凭证,需明确标注产品型号、适用标准、公告机构代码、声明日期等关键信息,不可遗漏。
-注意事项:《DoC》持有方可为企业本身或欧盟本地授权代表,需确保信息准确(如企业名称、产品型号与测试样品一致),否则视为无效声明影响清关。
-后续操作:拿到《符合性评估报告》和《DoC》后,需按欧盟《标志使用指南》(2025年修订版)在产品铭牌、包装标注CE标志、公告机构代码、产品型号,避免海关抽检扣留。
EN 18031-1通用网络安全认证后续维护阶段:
《DoC》无固定有效期,但公告机构会开展年度监督审核,此环节易被企业忽视,核心核查2项内容:
-持续安全更新:设备上市后需长期推送漏洞补丁,至少保障3年;
-漏洞响应机制:建立专人团队,定期监测CVE漏洞库,发现问题后1个月内推送修复补丁。
-警示案例:2025年某智能手表厂商上市6个月后停止安全更新,被公告机构要求限期整改,否则撤销《符合性评估报告》,暂停产品欧盟市场销售。
-建议:拿到合规凭证后,建立专门合规团队或委托咨询机构做年度维护,确保持续符合要求。
2025年EN 18031-1认证时间总览与行动建议:
1:时间总览
-公告机构认证路径(12-20周,约3-5个月):最快12-14周(简单设备+预测试通过+无工厂审核);常规15-17周(中等复杂度设备+1次小整改+无工厂审核);最慢18-20周(复杂设备+多次整改+工厂审核)。
-自我声明路径(低风险简单设备,10-14周):核心步骤为前置评估→设计整改→自我测试/委托第三方测试→文档准备→签发《DoC》,无需公告机构深度介入,时间更短、成本更低。
2:行动建议
1.提前规划:将认证周期纳入上市计划,公告机构路径至少预留4个月,自我声明路径预留3个月,避开3-5月、9-11月认证旺季;
2.优先预测试:不节省预测试成本与时间,一次通过可减少返工成本,复杂设备建议必做;
3.文档早准备:设计阶段同步整理技术文档,避免后期仓促补做导致细节出错;
4.选对合作方:优先选择有网络安全专项资质、产能充足的公告机构/实验室,提升沟通效率,减少时间损耗。
EN 18031-1认证时间把控的核心是“前置准备充分+避开关键坑点”,只要扎实做好设计整改、预测试和文档准备,就能在预期时间内完成合规。若不清楚产品适配路径及周期,可提供产品型号与功能,委托公告机构做精准评估。蓝亚技术:13632500972,将为您提供专业的认证咨询服务。
