文章

第3.3条基本要求

08/05/22

2022年1月12日，欧盟委员会发布了授权法规(EU) 2022/30，涉及无线电设备指令(RED)第3.3(d)条、3.3(e)条和3.3(f)条。

RED条款涉及对网络的保护、对用户的保护和对欺诈的保护。

第3.3条(d)无线电设备不损害网络或其功能，也不滥用网络资源，从而造成不可接受的服务退化18bet手机
第3.3条(e)无线电设备设有保障措施，以确保用户和用户的个人资料和私隐受到保护
第3.3条(f)无线电设备支持某些功能，确保防止欺诈

这些新要求统称为网络安全．

互联技术-制造业 — 观看史蒂夫·海耶斯的视频，他解释了即将生效的新网络安全法规。

授权法规(EU) 2022/30告诉我们什么?

该规例概述了有关规定的一些理由、哪些类型的设备将在规定范围内，以及实施新的基本规定的时间表。
这个话题的历史包括通过互联网连接对设备进行黑客攻击、儿童及其福祉、获取无线电设备用户的位置或个人信息。玩具或卧室监视器上有儿童可以使用的麦克风和扬声器，无线电设备经常被用于连接互联网，可穿戴技术被用于跟踪我们的健康统计数据和位置，而银行和支付则经常使用无线电设备进行在线处理。

需要注意的是，拥有无线电功能是将设备置于RED范围内的原因，但RED涵盖了该设备的各个方面。因此，整个产品必须满足3.3条的适用部分，并演示网络安全，而不仅仅是无线电链路。

属于委托管理范围的产品

授权法规(EU) 2022/30适用于任何直接或间接连接到互联网的设备。这可能包括:

具有无线电功能的可穿戴技术或便携式设备，包括可由人穿戴或携带或装在衣服里的无线电设备。
用于转账或虚拟货币的设备。
带有无线电功能的儿童玩具，或用于儿童保育的其他设备，如儿童监视器这类设备即使没有互联网连接，也受该条例的保护。

本条例是指对网络或互联网本身的保护，以及对无线电设备用户的保护。因此，该要求适用于互联网连接两端的设备。

一些设备已经有网络安全要求，作为其他欧盟指令或法规的一部分，RED条款3.3方面将不适用于该设备。例如，医疗设备和体外诊断医疗设备、须经类型批准的车辆和车辆系统、民用航空设备和用于跨境交换的公路收费系统都受其他条例的网络安全要求的约束，因此不在第3.3(d)条、3.3(e)条和3.3(f)条的范围内。

时间轴

授权法规(EU) 2022/30于2022年1月发布，将从2024年8月1日起生效。

第一阶段是欧盟委员会与ETSI、CEN和CENELEC等国际标准组织就标准化要求达成一致。这将决定如果需要测试或计算，需要进行何种类型的评估，技术评估的范围是什么，以及可接受的网络安全水平是什么。在标准化要求达成一致之前，行业不知道如何开始进行评估。

预计标准化要求将在2022年6月底或7月左右达成一致。到那时，标准小组可以开始编写他们的标准，而行业将开始了解标准可能包含的内容。

随着标准的发展，评估要求将变得更加明确。在接近2022年底的时候，未来的网络安全要求将逐月得到更多关注，并为制造商、评估实验室和通知机构提供更清晰的图景。

当标准编写完成后，标准编写机构将对其进行投票和批准，然后将其提交欧盟委员会进行审查。如果这些标准符合标准化要求的范围，并被欧盟委员会接受，它们将被添加到RED的官方协调标准期刊中。

目前看来，该标准不太可能在2024年8月1日法规实施前被列入RED官方协调标准期刊。因此，从2024年8月1日起，很有可能要求欧盟通知机构为进入欧盟市场的产品颁发欧盟类型检验证书，直到标准被列出。

从2024年8月1日起，通知机构可以签发包含第3.3条网络安全要求的类型检查证书，即使标准仍处于草案格式。

没有过渡期。该规定将从2024年8月1日起适用于所有设备。这项要求在2024年8月1日前不会生效，而且是强制性的

评估要求

评估要求的范围和程度正在起草中，预计将在2022年年中前后得到澄清。希望到2022年7月，我们会对需要什么样的评估有一个想法。即使到那时，评估的细节还不清楚，但至少会知道评估的主题。

举个例子，目前没有人知道将应用哪些测试。从2022年7月起，我们希望知道是否有测试，以及这些测试是什么，尽管我们将不知道这些测试的限制或方法。

大多数参与RED项目的公司都一直在广播，EMC,安全R&TTE指令早期以来的要求。物理定律已经确定，RED的这些方面的测量技术也已经建立。今天的辐射排放测量应该与10年前和10年后的辐射排放测试相适应。如果您希望评估新的无线电服务的EMC或无线电性能，我们已经知道必须应用哪些测试。可能需要一些专家知识来确定测试方法、通过/不通过限制、性能级别或频谱共享技术，但是所有的信息都是为知道如何找到它的人而存在的。ETSI甚至有一个指导文档EG 203 336来说明哪些测试应该出现在新的EMC或无线电标准中。

然而，对于网络安全，有几个显著的区别。首先，业界不知道评估案例，我们也不知道欧盟委员会希望进行哪种类型的评估。我们当然可以猜测，但这只是猜测。其次，即使我们知道评估要求，参数也会迅速变化。一个现在被认为是网络安全的设备，在两年前或两年后就与网络安全无关了。这是任何公司计划2024年8月做什么的一个重要考虑因素。

我们知道，网络安全标准的第一版预计将概述基本要求，使所有适用的无线电设备达到合理的安全水平。据了解，一些设备没有现有的网络安全，第一阶段将使所有设备达到可接受的适当最低安全水平。

为监管做准备

尽管该法规直到2024年8月1日才适用，但准备工作将是满足要求的一个重要方面。制造商要做的第一件事就是看看他们的无线电设备，问问自己，网络安全吗?你已经做了什么来确保它不受攻击?如果答案是“没什么”，那么你可能还有一些工作要做。
已经有一些有用的标准在流通中，这些标准可以作为制造商工作的指导。ETSI EN 303 645是一个有用的指南标准，尽管它不打算被列入RED官方协调标准期刊。还有其他标准，如IEC 62443。

制造商可以关注他们产品的设计和安全性。制造商可以考虑他们的设备被黑客攻击的后果，以及黑客攻击设备的容易程度。制造商需要考虑的主题包括:

复杂的密码
用户报告漏洞的方法
更新软件版本以应对安全风险
在传输或接收敏感信息时使用安全协议
尽量减少对设备的网络攻击
减少敏感数据的存储
允许用户删除他们的敏感数据

此外，制造商需要更多地考虑设备在整个生命周期中的合规性。对于EMC、安全和无线电，评估通常是在产品投放市场时考虑的，只有少数制造商在设备的使用寿命期间对持续符合性进行了足够的考虑。例如，如果设备预计将投放市场，然后使用3年或4年，制造商应考虑在此期间是否保持合规。根据使用的类型和环境，即使在可能的极端条件下使用四年，设备是否仍能保持良好的安全性和性能?在网络安全方面，制造商的这一考虑变得更加重要，因为围绕其产品的网络环境可能会发生变化。