全面掌握 EN 18031！製造商如何迎戰歐盟 RED-DA 資安新規上路

分享：

隨著歐盟於 2025年1月28日正式公告 EN 18031 為 RED-DA（無線電設備指令授權法案）的調和標準，自 2025 年 8 月 1 日起，所有進入歐盟市場的無線設備都必須符合更嚴格的資訊安全要求。這不只是法規調整，更是全球產品在「安全、隱私、合規」三大面向上的重新洗牌。製造商若欲穩固歐盟市場地位，當務之急便是掌握 EN 18031核心精神，並及早展開資安設計與合規規劃。

RED Article 3.3(d)(e)(f)：從功能出發，強化設備資安能力

RED-DA 的實施，使歐盟無線電設備指令（RED）第 3.3 條款中的 (d)、(e)、(f) 三項資安要求正式生效。事實上，這三條早已是 RED 的基本要求，RED-DA 則是讓這些條文進入實際執行階段，將資安列為產品上市前必須滿足的合規條件之一。這三條條文分別針對設備所具備的功能與能力，提出相應的資安要求：

Article 3.3(d)：若產品具備連網功能，則需確保其具備防範未經授權存取與資料濫用的能力。
Article 3.3(e)：若產品涉及個人資料或隱私資訊的處理，則需強化資料保護與隱私設計。
Article 3.3(f)：若產品支援金流或交易功能（如刷卡、行動支付、POS 裝置等），則必須實作高度安全的加密與驗證機制。

這三條文的重點不是產品的類型或產業別，而是強調：「當設備具備這些能力時，就必須承擔相對應的資訊安全責任。」RED-DA 讓資安不再只是附加選項，而是產品設計的一部分。這代表製造商應從產品開發初期就考量合規需求，將安全性內建於設備架構中，才能有效因應日益嚴格的市場與法規要求。

合規兩大路線：自我評估 vs. 第三方驗證

在 EN 18031 被正式公告為 RED-DA 的調和標準後，多數產品已可依此標準進行測試，並採用自我聲明（Declaration of Conformity）的方式完成合規程序。這對製造商來說，大幅提升了測試與上市的靈活度與效率。不過，需要注意的是，並非所有產品都適用自我聲明的方式。若設備本身不支援密碼或使用者驗證機制、缺乏兒童使用時所需的家長監控功能、涉及金流或交易處理功能（如付款終端機、POS 等），這類產品即使參考 EN 18031 進行設計，也無法僅透過自我聲明來完成合規程序。根據 RED 的要求，這些情況需由具認證資格的第三方機構（Notified Body）進行測試與評估，並取得歐盟型式試驗證書（EU-Type Examination Certificate, EU-TEC），才能合法上市。

資安設計不是附加，是基本配備

為了有效因應 RED-DA 的資安要求，不少國際品牌選擇提早布局，他們早已意識到 RED-DA 等資安法規對產品上市的影響，因此在產品開發過程中，主動導入資安設計與合規測試機制。以 Google 為例，基本上其所有產品都會根據產業標準，在上市前經過第三方資安評估，並公布測試結果，藉此提升品牌信任與市場透明度。這種「先於法規要求完成準備」的策略，不僅有助於符合法規，更強化了產品的資安韌性與競爭力。

提早布局，打造資安韌性產品

製造商應從產品開發初期即導入「安全即設計」（Security by Design）理念，跨部門整合資安策略、並可採用已具備認證的模組（如 Wi-Fi、藍牙），可有效減少測試成本、提升產品合規一致性與升級靈活度。此外，資安相關文件如架構圖、通訊協議、加密流程、使用者驗證機制等，皆需詳實記錄，以備合規審查。