RED認證EN18031標準詳細疑問解析

EN 18031是歐洲標準化委員會（CEN）發布的《電子發票安全要求》（Electronic invoicing - Security requirements）標準，于2021年正式生效。

　　該標準為歐盟范圍內電子發票（e-Invoicing）的安全處理提供了統一的技術規范，旨在：確保電子發票的真實性（Authenticity）和完整性（Integrity）符合歐盟電子發票指令（2014/55/EU）和增值稅指令（2006/112/EC）要求推動跨境電子發票的互操作性作為歐盟電子發票的核心合規標準，EN 18031適用于所有在歐盟境內運營的企業、公共部門機構和發票服務提供商。

　　1、RED DA是否對所有無線模塊和設備強制要求？

　　是的，RED DA適用于歐盟境內銷售的所有無線設備，包括WWAN、藍牙或Wi-Fi模塊。例外是GNSS模塊（僅支持接收功能，無需認證）。

　　2、RED DA認證只針對在中國大陸加工賣到歐盟的整機？

　　不是，所有進歐盟的設備、整機或者模塊，只要經過歐盟海關的，就受到這個認證影響。

　　3、2025年8月1號之前已經發給歐盟客戶，包含通訊模組廠家模組的設備是否需要升級版本？

　　不需要，對之前已經出貨的設備，不做要求。

　　4、2025年8月1日前RED已認證并且出貨，8月1日后同一型號設備繼續出貨，是否要做RED DA認證？

　　需要。

　　5、集成設備（如loT產品）即使使用已認證模塊，是否仍需申請RED DA？

　　是的。無論嵌入式模塊是否已認證，在歐盟銷售的集成設備必須單獨取得RED DA認證。

　　6、設備出貨至亞太或北美地區是否需要滿足RED DA認證要求？

　　僅直接出貨至歐盟的設備需要RED DA認證。

　　7、若模塊在非歐盟地區組裝為整機后出口至歐盟，模塊是否需要RED DA認證？

　　模塊不需要。RED DA僅適用于直接進口至歐盟的產品。若整機出口至歐盟，需確保整機本身符合RED DA要求，模塊無需單獨認證。模塊未認證，整機可以直接做該認證。

　　8、嵌入式模塊的認證能否用于集成設備的RED DA合規？

　　在特定條件下可部分沿用：客戶需提交技術自聲明文件，證明沿用模塊的認證設計；認證機構將審核并批準沿用范圍。重點提示：模塊本身無法滿足集成設備的全部安全要求，客戶仍需自行實現設備級安全功能（包括但不限于訪問控制、身份認證等）。

　　9、固件升級是否需要更新RED DA認證？

　　RED DA認證授權中會記錄RED DA認證版本號。若固件升級未涉及RED DA相關功能的修復或變更，通常無需更新認證。反之，需提交固件版本說明，由第三方實驗室/認證機構評估、測試并更新認證授權

　　10、如何管理已獲CERED認證的不同硬件版本？

　　若同一型號的多個硬件版本（如R1.0、R2.0）同時在歐盟銷售，需為每個版本單獨申請RED DA認證。例如，若R1.0和R2.0均在售，則兩者均需維持有效的CERED和RED DA認證。

　　11、通訊模組廠家能否提供威脅建模？

　　威脅建模需要詳細了解客戶產品形態、工作邏輯/原理、接口、數據跨域交換以及工程措施，通訊模組廠家對客戶產品掌握情況無法支持客戶進行威脅建模，且通訊模組廠家的威脅建模客戶也無法復用。建議客戶咨詢機構，機構會指導客戶完成產品威脅建模。

　　12、通訊模組廠家能否協助完成安全通信部分填寫？

　　在安全通信中，一般包括應用層基于TLS的加密，該部分涉及端側和云側，通訊模組廠家無法明確客戶項目具體的加密協議、加密版本等技術細節，因此無法支持填寫。在蜂窩網絡中，模組的蜂窩網絡由原廠提供Modem進行蜂窩通訊，該部分通訊完全遵循3GPP和ETSI規范，客戶可以告知機構，由機構代為填寫。

　　13、通訊模組廠家能否協助完成訪問控制部分填寫？

　　RTOS系統：RTOS系統無用戶和登錄相關概念，產品以物理/邏輯隔離形式完成訪問控制，相關條目客戶可以說明后N/A。Linux/Android系統：Linux系統自身具備RBAC+ACL+selinux的訪問控制機制，具體實現需要客戶自行開發設計，通訊模組廠家無法支持填寫。

　　14、通訊模組廠家能否協助提供漏洞報告？

　　通訊模組廠家僅能夠提供模組的漏洞報告，無法提供客戶產品漏洞報告，如客戶未引入新的開源組件，則漏洞報告可以復用。如客戶無法確認是否引入，則需要重新掃描固件進行評估?？蛻艨梢允褂瞄_源SCA工具評估，或咨詢機構。通訊模組廠家亦可提供相關能力，但是會涉及費用問題。