RED指令补充授权(EU)2022/30法案技术详解
022年1月12日,欧洲**正式发布了 (EU) 2022/30法案,规定相关产品制造商在设计和生产中必须考虑到RED指令的三点网络安全要求。规定的适用产品包括大多数可接入互联网的无线终端设备,如路由器,摄像头,智能门锁,智能家电,玩具和儿童看护设备等,但是不包含其他特定指令监管的设备如汽车、医疗器械和民航相关的系统。此法案将给制造商留出30个月的缓冲期,将于2024年8月1日正式生效,作为RED认证的一部份,强制执行。
标准演进的时间节点
· 2021/10/29:托管法案被欧盟**采纳;
· 2022/01/10:协调标准的标准化要求草案由欧盟**出版;
· 2022/01/12:托管法案由官方(Official Journal)发布;
· 2022/02/02:托管法案发布后20天正式生效(要求Notified Body参与);
· 2022/04:欧洲标准化组织官方标准化要求;
· 2023/10:欧盟**期望发布协调标准;
· 2024/08/01:该法案正式生效。
该法案与RED指令与*3(3)(d)、(e)和(f)三点要求有关:
*3(3)(d),以确保网络不受损害,不被误用
期望:
o 设备如预期工作;
o 设备不能妥协违背;
o 无线冒充设备不能干扰网络(安全)。
举例:
o 错误数据发送至网络接口不能进一步处理和限流是为了避免资源耗竭;
o 通信参数的系统配置仅能被授权用户修改;
o 凭证的充分保护是为了防止异常链路和进一步误用;
o 使用升级安全软件能保护设备完整性;
o 保护免拒绝服务攻击,不成为其中一部分。
安全目标:
o 获得控制(包括检测和阻断未经授权的取得);
o 输入验证;
o 软件完整;
o 安全软件上传。
*3(3)(e),以确保个人数据和隐私受到保护
期望:
o 防止未经授权进入和对个人数据的加工;
o 防止个人数据泄露。
举例:
o 在外部接口应该需要进行身份认证以防未经授权而获得数据;
o 初次使用时,强制将出厂默认凭证更改为一凭证;
o 确保仅是授权用户能执行一定的操作,比如添加新用户;
o 经授权或同意,坐标信息和其他隐私敏感数据是可访问的。
公告机构的欧盟类型检验
只要没有协调标准,制造商可以通过确保相关公告机构的评估来证明其产品的符合性。
根据RED合格评定程序,要求有附件III或附件IV,因此在实施协调标准之前应涉及公告机构(Notified Body);
立讯检测建议使用ETSI EN 303 645为RED DoC参考标准;
为什么是ETSI EN 303 645
1. 相似的范围:
RED DR=能在因特网上进行通讯的无线电设备;
ETSI = “...连接到网络基础设施 (如互联网或家庭网络) 的物联网设备;
2.良好的覆盖:ETSI EN 303 645 (规定) + ETSI TS 103 701 (合格评定),见标准要求草案
3. 欧盟认可:由ETSI定义和维护等同于欧洲标准化组织ESO。
lcslbl.cn.b2b168.com/m/