在产品出口欧盟的过程中,网络安全相关标准是企业必须跨越的重要门槛。ETSI 303645 和 EN 18031 便是其中两个关键标准,它们虽有相似之处,但也存在诸多差异,深刻理解这些差异对产品顺利进入欧盟市场意义重大。

一、标准背景及适用范围

ETSI 303645 由欧洲电信标准化协会(ETSI)制定,是首个面向消费类物联网产品的全球网络安全标准。它旨在为消费类物联网产品设定基本安全要求,涵盖了诸如智能儿童玩具、物联网网关等多种设备,通过 13 条安全准则和 68 项条款来防范对智能设备的大规模攻击。

EN 18031 系列则是为满足无线电设备指令(RED)的新要求而专门设计,目标是成为 RED 法规的协调标准,且未来的《网络弹性法案》(CRA)也有望将其作为基线要求。该标准覆盖范围更广,不仅包含 ETSI 303645 所涉及的物联网产品,还囊括了所有联网无线电设备,如笔记本电脑、智能手机、路由器等。

二、具体要求差异

条款性质

ETSI 303645 对条款做了区分,包括强制性、建议性、有条件的强制性、有条件的建议性等不同类别。而 EN 18031 则不再做此类区分,所有条款一视同仁,这意味着企业在应对 EN 18031 标准时,需要对所有要求给予同等重视,不能像对待 ETSI 303645 那样根据条款性质有所侧重。

数据隐私保护

ETSI 303645 有专门的数据隐私保护规定(provision 6)。EN 18031 虽不包含这一特定条款,但它加入了针对未成年 / 儿童隐私保护的要求,紧跟当下对未成年人数据保护的社会关注热点。并且,EN 18031 参考 IEC 62443 - 4 - 2 新增了访问控制、日志记录、网络监控等机制的要求,在数据隐私保护方面从不同角度进行了强化。

评估流程

ETSI 303645 在评估流程上没有针对资产类型做区分,这使得它难以直接用于实现 RED 指令中 Article 3.3 (d)/(e)/(f) 的符合性评估。EN 18031 在评估角度上则更为清晰,它根据不同的资产类型指出不同的要求,能够更好地帮助不同产品满足网络安全要求,企业可以依据产品所属资产类型,更有针对性地准备评估资料和应对评估流程。

三、对产品出口企业的影响及建议

从上述差异可以看出,EN 18031 相较于 ETSI 303645,对产品的网络安全要求更为全面和细化。对于产品出口企业而言,若目标市场是欧盟,且产品属于 EN 18031 覆盖范围内的无线电设备,仅仅满足 ETSI 303645 标准是不够的。

企业需要深入研究 EN 18031 标准的各项要求,尤其是新增加的针对不同资产类型的要求以及未成年 / 儿童隐私保护等内容。在产品设计、开发和测试阶段,就将这些要求融入其中,确保产品从源头符合标准。同时,由于 EN 18031 对所有条款要求一致,企业需要建立更为严谨的质量管控体系,对产品的各个方面进行严格把关,避免因忽视某些条款而导致认证失败。