Delegovaný akt RED (EÚ 2022/30) — Požiadavky kybernetickej bezpečnosti pre rádiové zariadenia
Delegovaný akt RED (Delegované nariadenie Komisie EÚ 2022/30) je právny nástroj, ktorý aktivoval latentné doložky kybernetickej bezpečnosti Smernice o rádiovom zariadení (2014/53/EÚ). Články 3(3)(d), (e) a (f) boli v smernici zakotvené od roku 2014, ale nikdy neboli vymáhané. Delegovaný akt to zmenil — urobil súlad s kybernetickou bezpečnosťou povinným pre internetovo pripojené rádiové zariadenia uvádzané na trh EÚ od 1. augusta 2025.
Kľúčové fakty
| Detail | Informácia |
|---|---|
| Celá citácia | Delegované nariadenie Komisie (EÚ) 2022/30 |
| Uverejnené | 29. októbra 2021 (nadobudlo účinnosť 12. januára 2022) |
| Zhoda povinná | 1. august 2025 |
| Právny základ | Článok 3(3)(d)(e)(f) Smernice o rádiovom zariadení 2014/53/EÚ |
| Uplatniteľné výrobky | Internetovo pripojené rádiové zariadenia (Wi-Fi, Bluetooth, LTE, NB-IoT, Zigbee, LoRa a akékoľvek rádiové rozhranie s konektivitou k internetu) |
| Dôsledok pre CE označenie | Výrobky nespĺňajúce článok 3(3)(d/e/f) nemôžu po auguste 2025 získať CE označenie podľa RED |
| Harmonizované normy | EN 18031-1 (sieť), EN 18031-2 (súkromie), EN 18031-3 (ochrana pred podvodom) |
Tri aktivované bezpečnostné články
| Článok | Povinnosť | Na koho sa vzťahuje |
|---|---|---|
| 3(3)(d) | Ochrana siete — zariadenia nesmú poškodzovať siete ani zneužívať sieťové zdroje | Akékoľvek zariadenie pripájajúce sa k internetu cez akékoľvek rádiové rozhranie |
| 3(3)(e) | Ochrana súkromia a osobných dát — zariadenia musia obsahovať záruky proti neoprávnenému prístupu k osobným a lokalizačným dátam | Zariadenia spracúvajúce, ukladajúce alebo prenášajúce osobné dáta alebo lokalizačné dáta |
| 3(3)(f) | Ochrana pred podvodom — zariadenia musia mať funkcie chrániace pred podvodnými finančnými transakciami | Zariadenia schopné iniciovať, spracúvať alebo autorizovať finančné transakcie |
Takmer každý internetovo prepojený rádiový produkt musí dodržiavať minimálne článok 3(3)(d) — to zahŕňa Wi-Fi senzory, Bluetooth wearables, LTE trackery, smart home zariadenia, NB-IoT priemyselné brány a akýkoľvek iný produkt pripájajúci sa k sieti cez rádio.
Harmonizované normy: Séria EN 18031
| Norma | Článok | Rozsah |
|---|---|---|
| EN 18031-1 | 3(3)(d) — Ochrana siete | Secure boot, unikátne prihlasovacie údaje, minimálna plocha útoku, bezpečné aktualizácie, odolnosť siete |
| EN 18031-2 | 3(3)(e) — Súkromie | Minimalizácia dát, šifrovanie v pokoji, súhlas používateľa, bezpečné vymazanie dát |
| EN 18031-3 | 3(3)(f) — Ochrana pred podvodom | Autentifikácia transakcií, dôkaz o manipulácii, hardvérové ukladanie kľúčov, auditovateľný záznam |
Výrobcovia neaplikujúci harmonizované normy EN 18031 musia absolvovať EÚ typový prieskum notifikovaným orgánom podľa prílohy IV RED — výrazne nákladnejšia a časovo náročnejšia cesta.
Vzťah k CRA
| Aspekt | Delegovaný akt RED | CRA (EÚ 2024/2847) |
|---|---|---|
| Právny základ | Smernica o rádiovom zariadení | Samostatné nariadenie EÚ |
| Rozsah | Rádiové zariadenia pripojené k internetu | Všetky výrobky s digitálnymi prvkami |
| Povinné od | 1. august 2025 | September 2026 (hlásenie) / December 2027 (plná zhoda) |
| Vplyv na CE označenie | Strata CE označenia pre nevyhovujúce rádiové výrobky | Strata CE označenia pre nevyhovujúce digitálne výrobky |
| Harmonizované normy | Séria EN 18031, EN 303 645 | Séria EN 18031, IEC 62443 |
Wi-Fi alebo Bluetooth produkt musí spĺňať oba — Delegovaný akt RED (do augusta 2025) aj CRA (do decembra 2027). Plná zhoda s CRA splní väčšinu požiadaviek Delegovaného aktu RED — ale opak nie je zaručený.
Hardvérové požiadavky, ktorým sa nemožno vyhnúť
Séria EN 18031 obsahuje požiadavky, ktoré nemožno splniť aktualizáciami firmvéru na hardvéri nevhodnom pre bezpečnosť:
- Secure Boot (EN 18031-1) — Vyžaduje hardvérovo zakotvený koreň dôveryhodnosti (OTP kľúče v SoC). Ak MCU toto nepodporuje, splnenie tejto požiadavky nie je možné bez prepracovania hardvéru.
- Unikátne prihlasovacie údaje (EN 18031-1) — Každé zariadenie musí mať unikátny identifikátor a kryptografické prihlasovacie údaje. Výrobná linka musí mať infraštruktúru provisioningu per-jednotku s injekciou kľúčov pomocou HSM.
- Šifrovanie osobných dát (EN 18031-2) — Na zariadeniach bez hardvérového úložiska kľúčov je šifrovací kľúč len tak chránený ako flash pamäť.
- Dôkaz o manipulácii (EN 18031-3) — Pre zariadenia schopné platieb vyžaduje hardvérové riešenia detekcie manipulácie, ktoré musia byť zahrnuté do návrhu od začiatku.
Dôsledky pre trh
Výrobcovia uvádzajúci nevyhovujúce rádiové zariadenia na trh EÚ po 1. auguste 2025 čelia strate CE označenia, príkazom na stiahnutie z trhu a zadržaniu na hraniciach colnými orgánmi EÚ.
Súvisiace pojmy
- EN 18031 — Séria harmonizovaných noriem poskytujúca technické požiadavky pre zhodu s RED článkom 3(3)(d/e/f).
- Smernica o rádiovom zariadení (RED) — Materská smernica; Delegovaný akt mení RED.
- Secure Boot — Základná požiadavka aktivovaná EN 18031-1.
- Hardware Root of Trust — Požadovaný základ pre zhodu s EN 18031-1.
- OTA aktualizácia — Podpísané OTA aktualizácie mandátované EN 18031-1.
- CRA — Paralelné nariadenie EÚ s neskorším termínom.
Pre výrobcov rádiových zariadení čeliacich termínu august 2025 Inovasense ponúka komplexnú službu zhody s Delegovaným aktom RED: analýzu medzier oproti EN 18031-1/2/3, validáciu hardvérovej architektúry, zostavenie technického súboru a prípravu Vyhlásenia o zhode. Identifikujeme hardvérové zmeny potrebné pred uzamknutím návrhu DPS. Pozrite si naše služby EÚ compliance a odborné znalosti v oblasti embedded bezpečnosti.