top of page
搜尋

解讀歐盟 RED 指令的轉捩點:Article 3.3 (d/e/f) 網路安全法規的衝擊與合規實務

法規介紹與戰略影響


宏觀視角:從 RF 合規轉向「全生命週期」安全


歐盟的無線電設備指令 (RED, 2014/53/EU) 迎來了其歷史上最重大的轉變,透過 2022 年發布的授權法案 (Delegated Act (EU) 2022/30),RED 的合規範圍從傳統的 RF、EMC 和 LVD(安全),戲劇性地擴展到了網路安全、個人隱私和金融詐欺防護。


這項法規的核心,即 Article 3.3 (d), (e), (f),標誌著監管思維的根本性轉變,合規不再是產品出廠時的一次性測試,而是演變為對設備「全生命週期」的持續性安全責任,對於所有「可連接到網際網路」的無線電設備,製造商現在必須證明其產品在軟體設計、開發流程和上市後維護方面具備足夠的韌性。


戰略衝擊:合規即安全 (Security-by-Design)


此法規的戰略地位在於,它將「設計安全 (Security-by-Design)」從行業最佳實踐,強制轉變為進入歐盟市場的法律先決條件,它迫使企業的研發、法務和 GMA 團隊必須深度協同,確保產品從概念階段就開始導入安全評估。


授權法案 (Delegated Act) 的核心內容


此法規的強制實施日期為 2025 年 8 月 1 日,它啟動了 RED 指令中的三項條款:


  • Article 3.3 (d): 網路危害 (Network Harm)

    • 目標: 確保設備不會濫用網路資源,導致網路功能下降或被用於發起網路攻擊(如 DDoS 殭屍網路)。

    • 要求: 設備必須具備基本的存取控制(如禁止預設密碼)、軟體完整性驗證(如安全啟動)和資源管理機制。

  • Article 3.3 (e): 個人數據與隱私 (Personal Data & Privacy)

    • 目標: 保護儲存在設備上或經由設備傳輸的個人數據。

    • 要求: 設備必須具備保護數據機密性(如加密)、完整性和可用性的機制,例如安全儲存和加密通訊。

  • Article 3.3 (f): 金融詐欺防護 (Fraud Protection)

    • 目標: 降低涉及電子支付或金融交易的詐欺風險。

    • 要求: 設備(如 POS 機、智慧穿戴支付設備)必須具備強化的身份驗證和安全交易處理能力。


全球法規動態與「標準」挑戰


歐盟:協調標準 (Harmonised Standards) 的困境


GMA 合規路徑的核心依賴於「協調標準 (Harmonised Standards, HSt)」,一旦產品符合 HSt,即可獲得「符合性推定 (Presumption of Conformity)」,製造商可自行簽發 DoC(符合性聲明)以完成 CE 標誌。


然而,在 Article 3.3 (d/e/f) 領域,歐盟正遭遇嚴重的「標準滯後」挑戰:


  • 標準狀態: 歐洲標準化組織 (CEN/CENELEC/ETSI) 雖已發布一系列標準草案 (如 EN 18031, EN 18032) 和技術規範 (如 ETSI TS 103 645),但截至 2025 年底,這些標準仍未在歐盟官方公報 (OJ) 上獲得「協調」地位,或僅獲得「限制性協調」。

  • 關鍵影響: 「符合性推定」的路徑事實上已被關閉。


全球「迴聲」效應


雖然 RED 3.3 (d/e/f) 是歐盟法規,但其影響已外溢全球,形成了「法規迴聲」:


  • 英國 (UKCA): 英國推出了《產品安全和電信基礎設施法案》(PSTI Act 2022),其要求與 RED 3.3 (d) 高度重疊(例如,禁止通用預設密碼),這導致產品進入英國市場需要滿足一套獨立但相似的網路安全要求。

  • 美國 (FCC): FCC 推出了「網路安全標籤計畫」(Cyber Trust Mark),雖然目前是自願性計畫,但其基礎要求(源自 NIST IR 8425)與歐盟要求有異曲同工之處。

  • 亞太地區: 新加坡、澳洲等國也已實施各自的 IoT 安全標籤計畫。


這種「目標一致、方法各異」的局面,形成了新的全球網路安全法規碎片化。


受影響的終端裝置生態系


此法規的適用範圍極廣,幾乎涵蓋所有現代無線電產品。


  • 定義: 任何「自身能直接連接到網際網路」或「能透過其他設備間接連接到網際網路」的無線電設備。

  • 直接連接設備 (範例):

    • Wi-Fi 路由器、Mesh 節點、Wi-Fi 7 AP

    • 5G/LTE 智慧型手機、CPE、車載 T-Box

    • 智慧家庭中樞 (Hub)、智慧電視、智慧音箱

    • 物聯網 (IoT) 閘道器

  • 間接連接設備 (範例):

    • 藍牙智慧手錶、健身手環(需依賴手機 App 連網)

    • Zigbee/Thread 感測器(需依賴 Hub 連網)

    • 無線嬰兒監視器(若其 App 可遠程存取)

  • 主要豁免: 醫療設備 (MDR)、體外診斷設備 (IVDR)、車輛 (UN-R 155) 等,因其已受其他更嚴格的特定部門法規監管。


實務注意事項


合規路徑的根本轉變:Notified Body (NB) 的強制介入


在協調標準缺失的背景下,GMA 的合規路徑發生了根本性轉變。製造商無法再依賴 Module A (內部生產控制) 自我宣告。


  • 強制路徑: 必須尋求 Notified Body (NB) 的介入。

  • 合規模組: 唯一可行的路徑是 Module B (EU 型式檢驗) 加上 Module C (基於內部生產控制的型式符合性)。

  • GMA 挑戰: 這意味著 NB 將對產品的軟體設計、開發流程和風險評估文件進行全面、深入的審核,這不僅增加了認證成本和週期,更對 NB 的審核能力和資源造成了巨大壓力,導致嚴重的「NB 瓶頸」。


技術文件 (Technical File) 的徹底重構


傳統上以 RF/EMC 測試報告為核心的技術文件已不再足夠。


  • 新增必備文件:

    • 網路安全風險評估 (TARA): 證明已識別所有潛在的網路威脅和漏洞。

    • 安全開發生命週期 (SDLC) 證明: 證明在開發過程中已導入安全控制措施 (如程式碼審查、威脅建模)。

    • 軟體物料清單 (SBOM): 列出所有第三方和開源軟體組件及其版本,以利漏洞管理。

    • 漏洞評估 (VA) 與滲透測試 (PenTest) 報告: 證明產品已通過實際的攻擊測試。

    • 上市後維護計畫: 說明如何接收漏洞報告、如何開發及推送安全更新 (Patches)。


上市後監督 (Post-Market Surveillance) 的新責任


Article 3.3 (d) 隱含了對產品生命週期的安全承諾。


  • 持續合規: GMA 團隊的角色從「取得認證」擴展到「維持認證」。

  • 韌體更新的挑戰: 任何對安全功能有重大影響的韌體更新 (OTA),都可能被 NB 視為「重大變更」,可能需要重新進行型式檢驗或更新證書。這對產品的敏捷開發流程構成了新的法規限制。

bottom of page