2025年1月30日，欧盟委员会在《欧盟官方公报》(OJEU) 上发布了编号为(EU) 2025/138的决定，将EN 18031-1/2/3三个标准纳入《无线电设备指令》（RED）的协调标准清单。该对无线电设备的网络安全、隐私保护和反欺诈等方面提出了明确要求，将于2025年8月1日正式实施，届时无线电设备必须符合RED指令第3(3)条(d)、(e)和(f)点的网络信息安全要求才能进入欧盟市场销售。其中，EN 18031-3 对应 RED 第 3.3(f) 条，重点关注金融交易设备的网络安全。

EN 18031-3适用产品范围：

同时具备可联网能力和本身能够完成金融交易的设备将被纳入法规的管控范围。具体适用设备包括：支付终端：POS 机、自助支付终端、移动支付设备加密货币设备：硬件钱包、冷钱包、支持虚拟货币交易的智能设备金融物联网设备：联网 ATM 机、智能保险柜、数字货币矿机特殊行业设备：支持虚拟货币交易的智能手表、可穿戴支付设备

EN 18031-3评估要点说明：

EN 18031系列标准将评估对象按资产分为安全资产、网络资产、隐私资产和金融资产四类。

安全资产：关乎设备自身的安全防护机制，如设备的访问控制、认证等功能；

网络资产：侧重于设备与网络交互过程中的安全性，防止对网络造成损害；

隐私资产：聚焦于保护用户的个人数据和隐私，避免数据被非法获取和使用；

金融资产：则主要针对涉及金融交易功能的设备，确保交易安全，防止欺诈。

EN 18031-3标准主要管制安全资产与金融资产两个方面，旨在通过技术手段防范涉及虚拟货币或货币价值转移的联网设备的金融欺诈风险，确保交易数据的机密性、完整性与不可抵赖性

EN 18031-3重点测试内容：

与EN 18031-1/-2标准相比，其主要测试与评估内容有部分重合，也有特殊性。1.通用评估条款设备的安全资产和金融资产应当受到如下安全机制的保护：访问控制机制：验证设备是否实现了适当的访问控制机制，确保只有授权实体可访问设备的安全资产和金融资产。例如：设备存储保护，物理接触限制，用户角色权限，加密通信，密码保护，证书校验；安全通信机制：设备在与其他设备及云服务进行通信时，应采用安全的传输方式保障通信的完整性、真实性和机密性。防止中间人攻击、重放攻击等安全威胁。例如：采用TLS1.2及以上版本的安全通信协议，采用符合当下密码学最佳实践的加密套件；安全更新机制：设备应至少具备一种可用于更新其资产相关软件的机制，如通过配套APP、Web管理界面或USB本地更新接口实现。确保设备的软件和固件能够安全、可靠地进行更新。例如：通过数字签名验证固件包的完整性，禁用未加密的HTTP通道；安全存储机制：设备应通过访问权限控制或数据加密等手段保护持久保存在设备本地的资产，保证其完整性与机密性。测试人员将确认相关加密措施是否有效，包括加密算法的强度、密钥管理的安全性等，以防止数据被未授权访问或篡改。
2.独有评估条款：针对具备金融功能的设备，制定了更具针对性的信息安全评估要求，旨在保护用户的金融资产安全，防范欺诈等风险。主要评估内容包括：身份验证机制：对于所有通过机器接口访问的金融或安全功能，设备需要具备身份验证机制。以确保仅有授权用户或系统能够执行相关操作，从而有效防止未经授权的读取、修改或使用行为；日志记录机制：设备需要具备有效的日志记录能力来记录与金融资产相关的关键事件。设备在运行过程中与金融数据访问等相关的重要行为或状态变更需要被记录在日志中以便于后续追踪、分析或审计；设备通用能力：设备中用于处理金融或安全资产的软件，必须在启动时通过硬件信任根进行完整性校验，并基于不可变或经过加密验证的信任机制来确保其来源可信、防止被篡改。

EN 18031系列标准及适用范围：

EN 18031系列标准包括以下三个部分，每部分针对不同类型的无线电设备及其安全要求，2022年欧盟委员会还根据第3（3）条引入了网络安全要求：

① EN 18031-1:2024

适用范围：互联网连接的无线电设备。

支持要求：符合《无线电设备指令》第3(3)(d)条款的基本要求（引入了“防止网络损害和服务退化”的网络安全要求）

② EN 18031-2:2024

适用范围：包括互联网连接设备、儿童护理设备、玩具设备和可穿戴设备。

支持要求：符合《无线电设备指令》第3(3)(e)条款的基本要求（引入了“保护个人数据和用户隐私”的网络安全要求）

③ EN 18031-3:2024

适用范围：处理虚拟货币或货币价值的无线电设备。

支持要求：符合《无线电设备指令》第3(3)(f)条款的基本要求（引入了“防止处理虚拟货币的无线设备欺诈的措施”的网络安全要求）