EN18031认证怎么申请

EN 18031 是欧盟 RED 指令下的网络安全强制协调标准（2025-08-01 起强制执行）。申请核心是：先按产品风险选自我声明（DoC）或公告机构（NB）认证路径，再完成标准匹配→技术准备→测试→文件→发证 / DoC。

一、先明确：你的产品走哪条路径？

EN 18031 分三部分，按风险决定认证方式：

提示：多模块产品（如带支付的儿童手表）需组合标准（-1 + -2 + -3）。

二、完整申请流程（通用）

1. 前期准备（1–2 周）

• 标准匹配与差距分析
  • 确定适用的 EN 18031-1/-2/-3 子标准。
  • 对照核心要求自检：
    • 18031-1：安全更新、加密、访问控制、端口最小化、防 DDoS。
    • 18031-2：数据最小化、加密存储、用户同意 / 删除、家长控制。
    • 18031-3：安全启动、多因素认证、交易防篡改、硬件安全。
  • 输出差距分析报告，明确整改点。
• 资料与样机准备
  • 技术文件：规格书、原理图、BOM、固件说明、加密方案、安全设计文档。
  • 管理文件：ISO 9001、风险评估报告、漏洞扫描记录、供应链安全声明。
  • 样机：4–6 台（含开放调试权限的样机）。

2. 选择认证路径与机构

• 低风险（仅 18031-1）：自我声明（DoC）
  • 无需 NB 发证，由制造商自行完成测试、文件、签署 DoC。
• 中 / 高风险（含 -2/-3）：公告机构（NB）认证
  • 选择具备 EN 18031 资质的欧盟 NB（如 TÜV、SGS、Applus、Cetecom）。
  • 提交申请表、技术文件初稿、样机，支付申请 / 测试费。

3. 实验室测试（2–8 周）

• 核心测试项目（按标准）：
  • 访问控制、认证机制、安全更新（签名 / 防回滚）。
  • 数据加密、通信安全（TLS 1.2+）、漏洞扫描。
  • 隐私合规、金融交易安全、硬件防篡改。
• 测试周期：普通设备 2–4 周；复杂 / 多标准 6–8 周；整改另加 1–2 周。

4. 文件审核与评估（1–4 周）

• DoC 路径：内部审核测试报告与技术文件一致性，签署 DoC。
• NB 路径：公告机构审核测试报告、技术文件、工厂体系（如适用）。
• 输出：测试报告 + 技术文件包（TCF）。

5. 发证 / 声明与市场投放

• DoC 路径：签署符合性声明（DoC），产品加贴 CE 标志。
• NB 路径：NB 颁发 EN 18031 证书（有效期 3–5 年，需年度监督）。
• 产品加贴 CE 标志，技术文件留存 10 年备查。

三、两种路径详细对比

路径 A：自我声明（DoC）—— 仅适用于低风险（18031-1）

1. 完成 EN 18031-1 测试（可委托第三方实验室）。
2. 编制完整 TCF 技术文件。
3. 制造商签署 DoC（符合性声明）。
4. 加贴 CE 标志，即可上市。

• 优势：周期短（4–6 周）、成本低。
• 风险：制造商自负合规责任，市场抽查不合格将面临处罚。

路径 B：公告机构（NB）认证 —— 中 / 高风险（含 -2/-3）

1. 选择 NB 并提交申请。
2. NB 审核文件、安排测试。
3. 测试通过后，NB 审核并颁发证书。
4. 加贴 CE + NB 编号，上市。

• 优势：官方背书、市场认可度高、抽查风险低。
• 成本：测试费 1.5–3 万欧元，发证费另计。
• 周期：8–12 周（含审核）。

四、关键材料清单（必备）

1. 产品规格书、用户手册、铭牌信息
2. 原理图、BOM、固件版本说明
3. 安全设计文档、加密协议说明、风险评估报告
4. 漏洞扫描记录、供应链安全声明
5. 测试报告（EN 18031-1/-2/-3）
6. 质量管理体系文件（ISO 9001）
7. 符合性声明（DoC）或 NB 证书

五、常见问题与避坑

• 只做 RED 不做 EN 18031：2025-08-01 起无法清关。
• 儿童 / 支付设备走 DoC：必被抽查不合格，需 NB 认证。
• 测试后无完整 TCF：技术文件缺失将导致认证失效。
• 建议：先做预测试，提前整改，缩短正式周期。