法規更新背景：

隨著物聯網（IoT）設備在歐盟市場的普及，從智慧手表到嬰兒監視器，數十億臺設備已成為日常生活的核心。然而，2014年《無線電設備指令》（RED）尚未預見此波浪式成長，當時的法規框架未涵蓋網路安全防護。結果，DDoS 攻擊、個人數據外泄、金融詐騙等事件頻傳，成為歐盟數位單一市場的潛在破壞性風險。

歐盟委員會在2021年啟動RED修訂，將網路安全納入核心合規要求。這項決策源于兩項關鍵認知：

• 安全預設設計（Secure by Default）：物聯網設備需在設計階段即內建防護機制，而非事后補救。

• 分級管控：針對不同設備風險（如網路連接、數據處理、電子支付），分別制定3.3(d)(e)(f)條款，精準針對各類威脅。

EN 18031系列標準是RED指令網路安全要求的技術規范與實施基準，分為三部分（EN 18031-1/2/3），對應RED第3.3條款的不同安全層面（網路損害防護、隱私保護、防詐欺）。

法規執行時間軸：

• 2025年1月30日，歐盟委員會正式將EN 18031系列標準列入《歐盟官方公報》（OJ）的《無線電設備指令》（RED）協調標準清單，標志著該系列標準成為歐盟境內無線電設備網絡安全合規的重要依據。

• 2025年8月1日起，RED指令中的網絡安全條款Article 3.3(d)、(e)和(f)將強制生效！

法規更新要點：

RED指令第3.3條新增要求：

• 3.3(d)：針對能自行連接網路的設備（如手機、智慧家電），要求防止設備危害網路運作（如阻斷服務攻擊），并禁止濫用頻寬資源。

• 3.3(e)：針對處理個人/位置數據的設備（如穿戴裝置、兒童玩具），強制實施端到端加密、存取控制，并對接 GDPR 第 4 條與《電子通訊隱私指令》。

• 3.3(f)：針對支援電子支付的設備（如行動支付終端、加密貨幣硬體錢包），強化交易驗證機制（如多因素認證），防范詐騙與虛擬貨幣盜用。

• 豁免范圍：(EU) 2017/745（醫療器械）、(EU) 2017/746（體外診斷醫療器械）、 (EU) 2018/1139（民用航空安全）、(EU) 2019/2144（車輛類型認可）和指令 (EU) 2019/520（電子道路收費系統）涵蓋的無線電設備免于遵守第 3(3)(e) 和 (f) 條。

(EU) 2025/138 安全與合規重點要求：

• 默認密碼問題：如果允許用戶不設置或使用密碼，則相關標準不被認可為符合指令的基本要求。這意味著設備必須強制用戶設置密碼，以確保安全性。

• 玩具和兒童護理設備的訪問控制：如果未能確保家長或監護人的訪問控制，則不滿足指令的基本要求。這意味著這些設備必須具備讓家長或監護人能夠控制的機制。

• 金融資產的安全更新：安全更新評估標準規定了多種實施類別，單獨的任何一種方法都不足以處理金融資產的安全。這意味著需要綜合考慮多種安全措施來確保金融資產的安全。