电源|IT|AV检测事业部

 

关于EN 18031的文章在网络上已经铺天盖地的轰炸开了，不过基本都是你抄我、我抄你，千篇一律没什么新意，除了贩卖一下焦虑毫无亮点。作为一家以创新为使命的检测认证公司（GTG广测集团），我们力求朴实无华、开诚布公的讲客户想听但是在网络上很难听到的东西，接下来我们只讲干货。

 

 

关于标准的细节不再赘述了，大概就是今年8月1号开始欧盟有个网络安全方面的准入要求，入关的产品必须符合他们的标准（即EN 18031系列标准），接下来我们以问题的开讲了。

 

 

 问题1：

什么产品必须要遵循这个标准？

 

一句话总结：只要你的设备能联网、处理隐私数据或涉及金钱交易，十有八九要过EN 18031认证。

 

一、必须遵守EN 18031的3类产品

1.能联网的电子设备
例子：
- 你家路由器能连WiFi自动升级系统 → 要认证（EN 18031-1）；
- 智能冰箱能联网查菜谱、更新软件 → 要认证（EN 18031-1）；
- 带4G/5G的儿童手表 → 要认证（EN 18031-1）；
自查问题：设备能连WiFi、蓝牙、4G/5G吗？能自动更新软件吗？

 

2.会收集隐私数据的设备
例子：
- 智能手表记录心率、GPS轨迹 → 要认证（EN 18031-2）；
- 婴儿监视器有摄像头、录音功能 → 要认证（EN 18031-2）；
- 蓝牙耳机通过APP收集用户语音 → 要认证（EN 18031-2）；
自查问题：设备会记录用户身份、位置、健康数据吗？

 

3.涉及支付、虚拟货币的设备
例子：
- 超市POS机刷信用卡 → 要认证（EN 18031-3）；
- 硬件钱包存比特币 → 要认证（EN 18031-3）；
- 手机支持NFC支付（比如Apple Pay） → 要认证（EN 18031-3）；
自查问题：设备能转账、存钱、处理虚拟货币吗？

 

二、特殊场景：不用认证的例外

医疗设备：比如联网的心脏起搏器 → 不用管隐私和金融条款（EN 18031-2/3不管）；

 

车载设备：比如车机的导航系统 → 不用管隐私和反欺诈（EN 18031-2/3不管）；

 

纯玩具：比如不能联网的遥控车 → 完全不用认证；

 

三、快速自查表

一句话总结：能联网、会记隐私、能花钱的电子设备，都得过EN 18031认证。

 

举个极端例子：如果智能马桶能连WiFi记录用户如厕时间，甚至支持扫码付费冲水，那三个标准都得做！

 

 

 问题2：

自声明VS第三方，我该如何选择？

 

一句话总结：你也别纠结了，选第三方来做吧！你要真会自己做也不会网上到处搜方案搜答案，专业的事交给专业的人办。

 

反而，你应该更关心NB证书是不是必须的？

 

一、允许自声明的情况

只要产品不触发以下限制条款，制造商可通过自声明证明合规：

1.无默认密码漏洞

 

设备必须强制用户首次使用时设置密码（或生物识别等替代方案），不允许“无密码使用”模式。
 

示例：智能路由器要求用户首次联网必须修改默认密码 → 可自声明。

2.不涉及高风险场景

 

非儿童设备：

产品未涉及儿童隐私数据（如普通智能手环不收集儿童GPS数据）。

 

非金融设备：

设备不处理支付、虚拟货币交易（如普通蓝牙音箱）。

3.安全更新机制完善

 

固件更新需满足标准中的多重防护（如数字签名+防回滚），且不依赖单一措施。

 

示例：智能摄像头支持强制加密更新 → 可自声明。

关于自声明有两种方式：

 

· 方式一：DoC（Declaration of conformity）《符合性CE证书》，此CE证书属于自我声明书，不应由第三方机构（中介或测试认证机构）签发，因此，可以用欧盟格式的企业《符合性声明书》代替。

 

· 方式二：CoC（Certificate of compliance）《符合性CE证书》，此为第三方机构（中介或测试认证机构）颁发的符合性声明，必须附有测试报告等技术资料，同时企业也要签署《符合性声明书》。

 

二、必须第三方认证且需要NB证书的情况

若产品涉及以下任意一项，必须通过欧盟公告机构（Notified Body，简写为NB）认证：

1.允许用户不设密码

示例：手机允许“无密码解锁”功能 → 需第三方认证。

2.涉及儿童或隐私敏感设备

产品为儿童玩具、婴儿监视器或可穿戴设备，且未强制家长控制权限。

示例：儿童智能手表未内置远程禁用摄像头功能 → 需第三方认证。

3.金融交易相关设备

涉及支付、虚拟货币存储（如POS机、硬件钱包），且仅依赖单一安全措施。

示例：加密货币硬件钱包仅用数字签名保护密钥 → 需第三方认证。

一句话总结：最优方案找个第三方帮忙做测试编写报告并完成《符合性声明书》，如果存在三种特殊场景的，此时第三方选择就很有讲究，还必须是能颁发NB证书的机构。

 

 

 问题3：

之前做过CE认证的产品，还需要再重做吗？

 

一、是否需要重做认证的核心判断依据

1.原有认证覆盖的指令范围

若产品已通过CE-RED、CE-EMC、CE-LVD认证，且未涉及2025年新增的网络安全条款（RED Article3.3(d)(e)(f)），则无需重新认证。

若产品属于RED指令范围内且涉及联网功能、个人数据处理或电子支付（如智能手表、POS机等），则需补充EN 18031系列标准的测试，以符合网络安全新规。

2.认证标准和指令是否更新

CE-RED：2025年8月1日起强制执行网络安全条款（EN 18031-1/2/3），原有认证若未覆盖该部分需重新评估。

CE-EMC/LVD：若无新版指令或标准发布，且产品设计未变更，则无需重做。

 

二、具体场景与应对策略

（1）需重新认证的情况

·产品属于RED指令新增管控范围

例如：智能手机、智能家居设备、支付终端等需满足网络保护（3.3d）、隐私保护（3.3e）和反欺诈（3.3f）要求，必须通过EN 18031测试并更新CE-RED证书。

·原有CE-RED认证未覆盖网络安全条款

若证书未包含2022年补充的RED-DA要求（如设备默认密码防护、金融交易安全机制），需补充测试。

（2）无需重新认证的情况

·产品不属于RED指令新增范围

例如：仅需符合EMC（电磁兼容）或LVD（低电压指令）的普通电器（如电风扇、灯具），若标准未更新且设计无变更，原证书继续有效。

·认证仍在有效期内且标准未变更

CE证书默认有效期为5年，若产品未改动且指令未更新，无需重复认证。

 

三、法规豁免与过渡期安排

豁免范围：医疗器械、民航设备、汽车等受其他专项法规管控的产品，可免于RED网络安全条款（3.3e/f）。

 

过渡期：2025年8月1日前已投放欧盟市场的产品可继续销售至生命周期结束，但新生产或首次入市的产品必须符合新规。

 

四、企业应对建议

1.自查产品分类

确认产品是否属于RED指令新增的联网设备、数据处理设备或支付设备。

2.评估认证覆盖性

核对现有CE证书是否包含EN 18031标准要求。

3.技术文档更新

 

若需补充认证，需提交更新后的技术文件（含网络安全设计说明、漏洞修复记录等）。

 

总结

2025年8月1日前是否需要重做CE认证取决于产品类型和原有认证范围：

·RED指令产品涉及联网、数据或支付 → 必须补充EN 18031测试并更新认证；

·仅需EMC/LVD认证的普通产品 → 若标准未更新则无需重做。

建议企业优先排查高风险产品，避免因合规问题导致市场准入受阻。