2025年8月1日，欧盟无线电设备指令（Radio Equipment Directive, RED）网络安全附加要求正式进入强制实施阶段。这意味着所有销往欧盟市场、具备互联网通信功能的无线设备，从蓝牙耳机到智能手表、从Wi-Fi路由器到物联网传感器，都必须通过新的网络安全符合性评估。截至2026年6月，这项法规已强制执行近一年，但仍有大量中国无线设备制造商尚未完成合规升级。

这不是可做可不做的"加分项"。根据欧盟委员会授权法案（Delegated Regulation (EU) 2022/30），RED指令原有的三大核心要求——无线电性能、安全性和电磁兼容性（EMC）——已被新增的网络安全条款所扩展。CE标志上如果没有满足RED网络安全要求，产品在欧盟海关将面临被扣、下架乃至召回的风险。

一、哪些产品在管控范围内？远比你想的宽

RED网络安全新规的适用范围是所有能够通过互联网进行通信的无线电设备。这个定义覆盖了市场上绝大多数消费电子产品和工业无线设备：

二、三大核心安全要求：不是贴个标签那么简单

RED网络安全条款要求制造商从产品设计和制造阶段就将安全措施内嵌进去，而非事后打补丁。具体来说，产品必须满足以下三大保护目标：

要求一：保护用户个人数据和隐私

设备必须具备防止未经授权访问或传输个人数据的能力。落实到技术层面，这意味着设备需要具备安全启动（secure boot）、加密存储、安全的用户认证机制、以及防止未授权数据外传的防护措施。对于采集和传输用户健康数据、位置信息、支付信息等敏感数据的设备，这项要求尤为严格。

要求二：防止设备对通信网络造成干扰中断

设备不得对通信网络的稳定性和功能造成破坏。这意味着设备必须能够抵御被劫持加入僵尸网络（botnet）发动DDoS攻击的风险，网络协议栈需要经过安全加固，固件更新机制必须安全可靠，不能被利用为网络攻击的跳板。

要求三：降低金融欺诈和网络威胁风险

产品需具备降低金融诈骗及其他网络威胁风险的能力。对于涉及电子支付功能、或可能被用于社交工程攻击的设备，制造商需要在产品安全设计中纳入反欺诈保护机制。

三、协调标准EN 18031：合规落地的技术路径

2025年1月，欧盟委员会通过实施决定(EU) 2025/138，正式将EN 18031系列标准列为RED网络安全要求的协调标准。这意味着制造商如果按照EN 18031进行产品设计和测试，即可推定其产品符合RED网络安全条款的基本要求——这也是目前最务实、最可操作的合规路径。

EN 18031-1:2024——互联网连接无线电设备的通用安全要求，涵盖安全启动、安全更新、访问控制、安全通信、数据保护等。

EN 18031-2:2024——处理个人数据、流量数据和位置数据的无线电设备的附加安全要求。

EN 18031-3:2024——涉及虚拟货币或货币价值处理的无线电设备的网络安全要求。

四、制造商合规行动指南

第一步：产品分类自查——逐一对标产品线，确认哪些产品属于"能通过互联网通信的无线电设备"范畴，划分优先整改等级。

第二步：安全差距分析——依据EN 18031系列标准对产品进行技术差距分析，识别固件、硬件、通信协议层面的合规缺口。

第三步：产品整改与重新设计——根据差距分析结果，进行固件升级、硬件改造或产品重新设计，嵌入必要的安全防护措施。

第四步：更新技术文件与符合性声明——将RED网络安全合规证据纳入技术文档（TCF），更新EU符合性声明（DoC）。

第五步：选择第三方公告机构（Notified Body）评估——对于高风险类别产品，需由欧盟公告机构进行符合性评估并出具证书。

第六步：持续维护——RED网络安全不是一锤子买卖，产品上市后需要持续的安全漏洞监控、固件更新和合规维护。

五、费用参考

RED网络安全合规的费用构成主要包括：安全技术差距分析、产品整改（固件开发/硬件改造，成本因产品复杂度差异很大）、EN 18031标准测试、以及公告机构符合性评估。对于简单的蓝牙产品，整改加测试的总费用通常在数万元区间；对于复杂的物联网设备和智能手机，因涉及多模块测试和更复杂的整改，费用可能达到数十万元。此报价仅参考历史案例，具体以了解企业情况后报价为准。