Nowy standard cyberbezpieczeństwa EN 18031 od sierpnia 2025 – sprawdź, co się zmienia

Nowy standard cyberbezpieczeństwa EN 18031 wkracza w życie 1 sierpnia 2025 roku, a co za tym idzie, już teraz wymusza istotne zmiany w projektowaniu urządzeń radiowych w całej UE. Ponadto, dzięki tej normie producenci oraz importerzy sprzętu będą musieli wdrożyć dodatkowe mechanizmy zabezpieczeń, co skutecznie zwiększy ochronę użytkowników.

Czym jest EN 18031?

Otóż norma EN 18031 określa po raz pierwszy obowiązkowe wymagania dla urządzeń radiowych komunikujących się z internetem. Co więcej, choć wcześniej nie było jednolitego podejścia, teraz wszystkie firmy w UE muszą przestrzegać tych wytycznych. W dodatku dokument odpowiada na rosnące ryzyko związane z IoT oraz zagrożeniami cyberbezpieczeństwa.

Dlaczego nowy standard cyberbezpieczeństwa EN 18031 ma kluczowe znaczenie?

Wprowadzenie nowego standardu cyberbezpieczeństwa EN 18031 to nie tylko ochrona użytkowników końcowych, ale też regulacja rynku w sposób przejrzysty i zrozumiały dla wszystkich. Z jednej strony norma zmniejsza ryzyko związane z podatnościami, a z drugiej – pomaga producentom spełnić wymogi prawne. W rezultacie konsumenci zyskują większe zaufanie, a firmy unikają sankcji.

Kto jest objęty wymogami nowego standardu cyberbezpieczeństwa?

Producenci, importerzy i dystrybutorzy

Każdy podmiot, który projektuje lub importuje urządzenia radiowe z dostępem do internetu, musi wypełnić wytyczne normy. W związku z tym mniejsze przedsiębiorstwa również nie są zwolnione od obowiązku zgodności z EN 18031, co wymaga wdrożenia odpowiednich procedur.

Jakie urządzenia obejmuje standard cyberbezpieczeństwa EN 18031?

  • smartfony, tablety, laptopy,
  • routery, modemy, access pointy,
  • urządzenia smart home (kamery, czujniki),
  • wearables – zegarki lub opaski fitness,
  • interaktywne zabawki,
  • sprzęt medyczny i przemysłowy z łącznością.

W rezultacie każdy sprzęt z łącznością radiową musi spełniać wymagania EN 18031. 

Podstawy prawne

Dyrektywa RED

Nowy standard cyberbezpieczeństwa EN 18031 rozszerza zapisy Dyrektywy RED, które do tej pory nie obejmowały szczegółowych wymogów dotyczących bezpieczeństwa cyfrowego.

Cyber Resilience Act (CRA)

W dodatku, Cyber Resilience Act uzupełnia EN 18031 i wprowadza ogólne zasady odporności cyfrowej dla urządzeń radiowych na rynku UE.

Główne wymagania EN 18031

  • ACM – Access Control: dostęp tylko dla upoważnionych użytkowników;
  • AUM – Authentication: uwierzytelnianie przed przyznaniem dostępu;
  • SUM – Secure Update: aktualizacje muszą być bezpieczne;
  • SSM – Secure Storage: ochrona danych w pamięci urządzenia;
  • SCM – Secure Communication: szyfrowany przesył danych;
  • CCK – Confidential Cryptographic: ochrona materiałów kryptograficznych;
  • GEC – General Equipment Capabilities: sprzęt musi umożliwiać wdrożenie powyższych;
  • CRY – Cryptography: szyfrowanie według standardów NIST i rotacja kluczy;
  • DLM – Deletion: trwałe usuwanie danych;
  • LGM – Logging: rejestrowanie zdarzeń bezpieczeństwa;
  • RLM – Resilience: odporność na awarie i ataki;
  • NMM – Network Monitoring: monitoring ruchu sieciowego;
  • TCM – Traffic Control: kontrola i filtrowanie ruchu;
  • UNM – User Notification: informowanie użytkownika o incydentach.

Ocena zgodności nowego standardu cyberbezpieczeństwa EN 18031

Deklaracja zgodności

Producent może skorzystać z deklaracji zgodności, ponieważ posiada dokumentację techniczną oraz analizę ryzyka, która potwierdza spełnienie wymagań EN 18031.

Certyfikacja przez jednostkę notyfikowaną

Natomiast dla zwiększenia rzetelności rynkowej i zaufania konsumentów, warto rozważyć certyfikację przez akredytowaną jednostkę.

Wymagana dokumentacja

Aby skutecznie spełnić normę EN 18031, niezbędne są również formalne dokumenty:

  • dokumentacja techniczna,
  • analiza ryzyka,
  • potwierdzenie wdrożenia mechanizmów ochronnych.

Ryzyka związane z brakiem zgodności z EN 18031

Sankcje prawne i finansowe

Brak zgodności z normą może skutkować:

  • zakazem sprzedaży urządzeń w UE,
  • wysokimi karami finansowymi,
  • odpowiedzialnością cywilną producenta lub importera.

Jak przygotować firmę do wdrożenia?

  1. Zidentyfikuj wszystkie produkty objęte normą;
  2. Porównaj aktualny stan ze standardami EN 18031;
  3. Wprowadź brakujące mechanizmy bezpieczeństwa;
  4. Stwórz dokumentację techniczną oraz analizę ryzyka;
  5. Wybierz tryb oceny: deklaracja lub certyfikacja;
  6. Przeszkol zespół i dostosuj procesy projektowe.

Webinar o normie EN 18031

W lipcu przeprowadziliśmy dedykowany webinar poświęcony normie EN 18031, w którym omówiliśmy najważniejsze wymagania techniczne, procedury oceny zgodności oraz skutki prawne braku implementacji.

Uzupełnieniem spotkania było case study, przygotowane na podstawie danych udostępnionych przez firmę Robustel. Firma wdrożyła nowy standard cyberbezpieczeństwa EN 18031 poprzez wymuszenie zmiany hasła przy pierwszym logowaniu, pełne szyfrowanie danych oraz bezpieczny provisioning („Zero Touch”), dzięki czemu uzyskała pełną zgodność z normą.

Poniżej znajduje się pełne nagranie webinaru:

W razie dodatkowych pytań dotyczących tematyki normy lub przedstawionego przykładu – zachęcamy do kontaktu: kontakt@elhurt.com.pl

Korzyści wynikające z wdrożenia standardu EN 18031

  • wzrost zaufania klientów,
  • zgodność z przepisami UE,
  • niższe koszty związane z incydentami,
  • wyraźna przewaga konkurencyjna.

Narzędzia wspierające wdrożenie

  • Threat Modeling Tools do analizy ryzyka,
  • platformy SIEM do logowania i audytu,
  • konsultanci ds. cyberbezpieczeństwa,
  • szablony dokumentacji zgodne z EN 18031.

Gdzie kupić dostęp do treści normy EN 18031?

Pełną wersję normy EN 18031 można zakupić na oficjalnej stronie: www.en-standard.eu – platformie z normami europejskimi, w tym dokumentami technicznymi dotyczącymi bezpieczeństwa cyfrowego.

FAQ: Najczęściej zadawane pytania o nowy standard cyberbezpieczeństwa EN 18031

Czy norma dotyczy tylko nowych urządzeń?

Nie – również tych sprzedawanych po 1 sierpnia 2025.

Czy małe firmy muszą się dostosować?

Tak – skala działalności nie ma znaczenia.

Czy norma obowiązuje poza UE?

Formalnie nie, ale implementacja jest zalecana globalnie.

Ile trwa ocena zgodności?

Od kilku tygodni do kilku miesięcy, zależnie od złożoności produktu.

Czy aktualizacje muszą być automatyczne?

Nie, ale muszą być bezpieczne i uwierzytelnione.

Czy certyfikacja jest obowiązkowa?

Deklaracja wystarcza, ale certyfikacja zwiększa wiarygodność.

Podsumowanie

Podsumowując, nowy standard cyberbezpieczeństwa EN 18031 wprowadza konkretne obowiązki dla producentów i importerów urządzeń radiowych podłączonych do internetu. Choć wymagań jest wiele, to jednocześnie norma daje jasny plan działania, który zwiększa bezpieczeństwo, pomaga uniknąć sankcji i buduje reputację firmy. Dlatego warto działać już teraz, zanim przepisy staną się obowiązujące i pojawią się konsekwencje.