為了降低物聯網(IoT)應用普及可能帶來的資安風險,歐盟將於2025年執行無線電設備指令(Radio Equipment Directive, RED),強制規範物聯網產品的安全要求。對台灣製造業而言歐洲是重要市場,勢必得有所因應以免影響競爭力。
SGS旗下的Brightsight亞洲營運長張凱帆說明,RED原為歐盟CE標章規範的一部分,過去僅針對功能性要求。自2021年開始,RED焦點轉向安全性,要求聯網產品須滿足三大重點:防止濫用網路資源、保護個人隱私以及支付安全的保障。原計劃於2024年8月實施,現已延後至2025年8月,讓業界多了一些準備時間。
Brightsight身為全球測試、檢驗和驗證(TIC)服務供應商,自2021年加入SGS集團後,實驗室規模迅速擴展,如今在全球十個地區設有實驗室,包括西班牙、法國、新加坡以及美國等,具備執行多項國際安全驗證的能力,其中最具代表性的即是共同準則(Common Criteria)。
張凱帆觀察,在全球物聯網安全規範中,歐洲電信標準協會(ETSI)的EN 303 645和EN 18031可說最受矚目。EN 303 645提供針對基本物聯網安全問題的指引,例如避免使用預設密碼。而儘管EN 303 645是一項普遍通用的測試基準,但其範疇無法完全滿足RED的所有要求,因此業界逐漸轉向更全面的EN 18031標準。
Brightsight亞洲營運長張凱帆強調,SGS旗下的Brightsight提供一站式檢測與驗證服務,讓客戶能以更低的成本同時取得多項國際驗證
EN 18031更專注於滿足RED規範的資產識別與風險評估需求,其特點在於跨產業的資產保護方法,要求開發商辨識產品中需要保護的資產,並進行風險評估以確保適當的安全功能。例如,對於存放個人資料的資產,需考量加密技術的應用。這種方法雖然帶來更高的合規保障,但對於缺乏資產管理經驗的廠商而言,可能是一大負擔。
隨著歐盟資安韌性法案(Cyber Resilience Act, CRA)的推動,物聯網產品的安全性要求將不僅限於出廠階段,還包括產品生命週期中的持續更新與維護。這意味著,聯網裝置的安全性必須具備長期韌性,而非只要求一次性的合規。
張凱帆強調,提早準備是應對RED規範的關鍵。以過往的經驗,新規範實施前,實驗室通常會面臨檢測案件超量,而導致塞車。因此提前規劃才是上策,以免檢測時程延誤,影響產品的上市時機。