EN 18031:2024系列網路安全標準協調性解讀

核心結論：協調性標準有條件適用

EN 18031系列標準（包含-1、-2、-3三部分）現已被列為協調標準，但需注意：

若限制條款適用：產品必須透過指定公告機構（Notified Body）完成驗證，方可投放市場。  

若產品不涉及限制條款：原則上允許企業基於技術文件 ,例如測試報告等進行自我宣告滿足指令，但為了確保產品的合規性以及規避相關的市場風險，仍然建議企業透過公告機構的參與評估來完成。

三大限制條款詳解

1.密碼強度要求（所有標準均適用）

• 條款：EN 18031-1/2/3的6.2.5.1和6.2.5.2節。 
• 要求：必須強制使用者設定並使用密碼。若允許用戶不設密碼，標準將喪失協調性，需進行第三方驗證。  預期的使用環境是否需要存取控制，如果需要才進入存取控制方式的判定：指紋，識別卡，密碼學

2.家長/監護人門禁管制（僅EN 18031-2適用）

• 條款：第6.1.3、6.1.4、6.1.5和6.1.6節（涉及玩具、兒童監護設備等）。 
• 要求：必須實現家長或監護人的存取控制機制。若採用「自主存取控制」等不相容模式，需重新驗證。

3.安全更新評估標準（僅EN 18031-3適用）

• 條款：第6.3.2.4節（涉及處理虛擬貨幣的設備）。 
• 要求：僅依賴單一方法（如數位簽章或存取控制）不足以滿足金融安全需求，必須綜合多重機制。

企業合規關鍵行動

自我檢測清單：確認產品是否涉及上述限制條款，特別是密碼、家長監護及安全更新邏輯。 

文件審查：刪除標準中「理由」（rationale）和「指南」（guidance）

等非規範性內容，避免引用非歐盟標準文件。 

緊急計畫：若限制條款適用，立即聯絡指定驗證機構啟動合規驗證流程，避免上市延誤。

為何重要？

歐盟此次修訂旨在強化物聯網設備、兒童產品及金融相關設備的網路安全防護，防止預設密碼、權限漏洞等風險。未合規產品將面臨市場禁入風險！ 企業需結合自身產品類型，逐條對照EN 18031標準限制條款，必要時尋求專業法律與技術支持，以期無縫銜接新規要求。

🔗 官方文件網址：[OJ L 2025/138](http://data.europa.eu/eli/dec_impl/2025/138/oj)

🔍 延伸閱讀：歐盟指令2014/53/EU、授權法規(EU) 2022/30

SGS服務

若設備未能完全符合所有相關法規條款，製造商在將產品推向市場前務必與公告機構（NB）接洽。特別是涉及限制條款時，必須通過公告機構（NB）的評估，以確保產品合規性，從而有效避免產品被市場禁售或下架的風險，維護企業的良好商譽，並最大限度地降低經濟損失。 SGS憑藉RED指令第3(3)條款(d)、(e)、(f)的全面公告機構（NB）資質，能為製造商提供評估與驗證服務，助力企業提前規避法規強制測試高峰期。

相較於傳統標準，EN 18031標準驗證對製造商提出了更高要求，強調其在網路安全領域的深度參與及理解應用能力。為此，SGS不僅提供網路安全技術的專業解讀與培訓，也致力於增強製造商在網路安全設計與驗證方面的實力，為產品成功取得RED驗證奠定堅實基礎。在製造商自我評估能力尚未達標前，推薦借助第三方評估機構如SGS進行快速審核與評估，以確保評估的準確性和高效性。

針對各國與地區網路產品的網路安全與隱私資料保護需求，SGS為全球企業提供一站式評估、測試及驗證解決方案，涵蓋的標準包括IEC 62443系列、EN 18031系列及EN 303 645標準。

此外，SGS也提供英國產品安全與電信基礎設施法案(PSTI)、加州物聯網安全法案SB 327、美國NISTIR 8259A/NIST8425、新加坡網路安全標籤計畫等，協助產品合規、快速、順利進入全球市場。 

迅速行動，搶佔市場先機。 關注我們，取得全球合規動態第一手資訊！

如果您對於相關產品資安合規有任何問題，SGS 將非常樂意協助您做出正確的決定並提供必要的測試和驗證服務，歡迎聯絡我們：

📧 電子郵件 cyber.cdtl.tw@sgs.com