Do niedawna przepisy UE dotyczące elektroniki koncentrowały się przede wszystkim na bezpieczeństwie fizycznym, zapobieganiu awarii urządzeń i niedopuszczaniu do powstawania zakłóceń radiowych. Jednak wraz z coraz większą popularnością sprzętu inteligentnego i produktów połączonych z siecią, od codziennych urządzeń konsumenckich po złożone systemy przemysłowe, rosną również zagrożenia cybernetyczne. Urządzenia są coraz częściej podłączone do sieci, przetwarzają dane osobowe i stanowią część infrastruktury krytycznej, co czyni je celami cyberataków. Aby zaradzić tym rosnącym obawom, UE wprowadziła w sierpniu 2025 roku istotną aktualizację dyrektywy dotyczącej urządzeń radiowych (RED) – RED Delegated Act (RED-DA). To nowe rozporządzenie gwarantuje, że wszystkie produkty obsługujące urządzenia radiowe i IoT wprowadzane na rynek UE spełniają obowiązkowe wymogi w zakresie cyberbezpieczeństwa.
Co obejmuje RED-DA?
Zakres oddziaływania RED-DA jest szeroki i dotyczy każdego produktu, który zawiera interfejs radiowy. Obejmuje to szeroką gamę urządzeń, takich jak elektronika użytkowa, np. inteligentne głośniki, podłączone przełączniki światła i telewizory; osobiste urządzenia noszone, w tym smartwatche i trackery fitness, technologie medyczne i czujniki medyczne, podłączone zabawki i urządzenia śledzące, a także systemy IoT obsługujące inteligentne domy, środowiska przemysłowe i infrastrukturę krytyczną.
RED-DA w szerszym kontekście, czyli ustawa o odporności cybernetycznej (CRA)
Chociaż RED-DA koncentruje się w szczególności na urządzeniach bezprzewodowych, wykorzystujących sieci radiowe, jest ona częścią szerszego działania regulacyjnego UE na rzecz budowy silniejszego i bezpieczniejszego ekosystemu cyfrowego. CRA wprowadza odrębne, ale uzupełniające się przepisy, które obejmują szerszą kategorię produktów cyfrowych z wbudowanym oprogramowaniem, niezależnie od tego, czy zawierają interfejs radiowy.
Wspólnie RED-DA i CRA stanowią kluczowe filary nowych unijnych ram regulacyjnych w zakresie cyberbezpieczeństwa. Podczas gdy RED-DA zapewnia, że sprzęt wykorzystujący technologie radiowe jest bezpieczny, godny zaufania i zgodny z przepisami, CRA rozszerza ten zakres, obejmując cały cykl życia produktu cyfrowego. Obejmuje to projektowanie z uwzględnieniem bezpieczeństwa, bieżącą aktualizację oprogramowania, zgłaszanie luk w zabezpieczeniach i długoterminowe wsparcie, zapewniając lepszą ochronę i odporność w całym środowisku cyfrowym. Krótko mówiąc, RED-DA jest jednym z elementów wielostopniowego podejścia UE do bezpieczeństwa produktów cyfrowych.
Producentom zrozumienie przepisów RED-DA pomaga nie tylko spełnić bezpośrednie wymagania dotyczące zgodności, ale także przygotować się na szersze, bardziej systemowe obowiązki wprowadzone przez CRA.
Aby spełnić wymogi dyrektywy RED w zakresie cyberbezpieczeństwa, wprowadzona została norma zharmonizowana EN 18031. Obejmuje ochronę sieci, prywatność danych i zapobieganie oszustwom, dzięki czemu zapewnia producentom praktyczne ramy procesu wykazywania zgodności. W przypadku większości produktów bezprzewodowych i IoT określa ona oczekiwania formalne dotyczące ochrony sieci komunikacyjnej przed niewłaściwym wykorzystaniem, zakłóceniami i atakami. Podkreśla ona bezpieczne praktyki projektowe, takie jak uwierzytelnianie, kontrola dostępu, szyfrowana komunikacja, chronione aktualizacje i odporność na typowe zagrożenia, zapewniając zgodność i niezawodność podłączonych urządzeń.
Norma EN 18031 zawiera wytyczne dostosowane do różnych typów urządzeń, gwarantując, że środki bezpieczeństwa są odpowiednio dobrane do ryzyka. W miarę upływu czasu przepisy w niej zawarte będą kształtować sposób projektowania, testowania, dokumentowania i konserwacji produktów, podnosząc jednocześnie poprzeczkę w zakresie bezpieczeństwa.
Dlaczego zgodność ma znaczenie dla produktów bezprzewodowych
Dla dostawców rozwiązań integrujących technologie bezprzewodowe wspieranie bezpieczeństwa sieci jest niezbędne nie tylko dla zapewnienia zgodności z dyrektywami, ale także dla ochrony wartości dla klienta i utrzymania zaufania rynku. Niespełnienie wymagań RED-DA może narazić produkty na ataki bazujące na lukach w zabezpieczeniach, wycofania z rynku lub zaprzestania sprzedaży, co nie tylko zakłóci biznes, ale także zaszkodzi reputacji marki i długoterminowej wiarygodności wśród klientów. Od 1 sierpnia 2025 r. zgodność jest obowiązkowa dla wszystkich nowych urządzeń bezprzewodowych sprzedawanych w UE. Każdy produkt bez ważnej Deklaracji Zgodności (DoC) odnoszącej się do normy EN 18031 może zostać wykluczony ze sprzedaży w Europie.
Złożoność łańcucha dostaw
Producenci często integrują w urządzeniach gotowe moduły bezprzewodowe lub układy SoC do realizacji komunikacji bezprzewodowej. Zapewnienie, że same te komponenty spełniają normę EN 18031 i mają deklarację DoC, znacznie upraszcza zgodność w dół łańcucha dostaw oraz zmniejsza koszty i złożoność inżynieryjną projektu.
Rola Deklaracji Zgodności (DoC)
DoC to deklaracja potwierdzająca zgodność produktu ze wszystkimi obowiązującymi dyrektywami i normami, w tym wymogami cyberbezpieczeństwa określonymi w RED-DA. Dla producentów urządzeń integrujących gotowe moduły bezprzewodowe lub układy SoC w swoich rozwiązaniach uzyskanie DoC od dostawcy technologii oferuje znaczące korzyści. Upraszcza to dokumentację, umożliwiając włączenie deklaracji dostawcy do dokumentacji zgodności produktu, co przyspiesza oznakowanie CE dzięki wykorzystaniu wstępnie certyfikowanych modułów i zmniejsza ogólne obciążenie związane z zapewnieniem zgodności, minimalizując potrzebę przeprowadzania dodatkowych, obszernych testów. Oprócz efektywności, zwiększa również zaufanie, sygnalizując silne zaangażowanie w przestrzeganie przepisów zarówno przez partnerów, jak i użytkowników końcowych. Współpraca z dostawcami układów SoC i modułów komunikacyjnych, którzy priorytetowo traktują zgodność z RED-DA, umożliwia szybsze, bezpieczniejsze i bardziej pewne wprowadzanie innowacji na rynek.
Praktyczne kroki dla producentów urządzeń bezprzewodowych
W przypadku producentów urządzeń bezprzewodowych spełnienie wymagań RED-DA wiąże się z szeregiem kroków, które rozpoczynają się od zrozumienia przepisów i określenia zharmonizowanej normy mającej zastosowanie do ich produktu. Wybór modułów bezprzewodowych lub chipsetów wyłącznie od dostawców zgodnych z RED-DA, posiadających ważne Deklaracje Zgodności EN 18031, jest także niezwykle istotny. Ponieważ odpowiedzialność za produkt końcowy ostatecznie spoczywa na producencie, przeprowadzenie dokładnej analizy potencjalnych luk gwarantuje, że wszelkie dodatkowe wymagania, wykraczające poza te objęte wybranym modułem lub układem SoC, zostaną odpowiednio uwzględnione.
Bezpieczeństwo musi być również wdrożone od samego początku, a praktyki zapewnienia bezpieczeństwa w fazie projektowania muszą być zintegrowane zarówno z cyklem życia sprzętu, jak i oprogramowania. Aby wspierać zgodność, producenci powinni przechowywać kompletną i podlegającą audytowi dokumentację, w tym dokumentację techniczną, raporty z testów i deklaracje zgodności dostawców, przez co najmniej dziesięć lat od momentu wprowadzenia produktu na rynek. Wreszcie, producenci powinni planować ciągłą zgodność, monitorując zmieniające się przepisy, takie jak ustawa o odporności cybernetycznej (Cyber Resilience Act), oraz wdrażając procesy terminowych aktualizacji zabezpieczeń i zarządzania lukami w zabezpieczeniach.
Zaufani partnerzy w zakresie zgodności z RED-DA
Microchip Technology jest światowym liderem w obszarze bezpiecznych rozwiązań komunikacyjnych do systemów embedded. Jako zaufany dostawca modułów bezprzewodowych, układów SoC i narzędzi programistycznych, firma wspiera klientów w zmieniających się zasadach zgodności z przepisami.
Rozwiązania komunikacyjne firmy Microchip są oparte na zasadach zachowania bezpieczeństwa już w fazie projektowania i opracowywane tak, aby spełniać rygorystyczne wymagania normy EN 18031 w ramach RED-DA. Dostarczając kompleksowe deklaracje zgodności, szczegółową dokumentację techniczną i stałe wsparcie, firma Microchip pomaga producentom urządzeń skrócić czas wprowadzania na rynek dzięki wstępnie certyfikowanym modułom zgodnym z RED-DA. Upraszcza to procesy zgodności, jednocześnie redukując nakłady inżynieryjne i umożliwiając klientom tworzenie bezpiecznych i odpornych produktów, które nie tylko spełniają wymogi regulacyjne UE, ale także wzmacniają zaufanie klientów.
Wybierając Microchip jako partnera w zakresie technologii bezprzewodowych, producenci zyskują dostęp do bogatego portfolio zgodnych rozwiązań i fachowego doradztwa.
Bezpieczeństwo to wspólna odpowiedzialność
Wymagania dotyczące cyberbezpieczeństwa RED-DA, których podstawą jest norma EN 18031, stanowią istotną zmianę w podejściu producentów do bezpieczeństwa produktów bezprzewodowych i IoT. Odpowiedzialność za zapewnienie zgodności nie spoczywa wyłącznie na jednym podmiocie, lecz jest wspólnym obowiązkiem całego środowiska i wszystkich dostawców.
Wybór odpowiedniego dostawcy modułu bezprzewodowego lub SOC, który proaktywnie wspiera RED-DA i dostarcza Deklarację Zgodności, jest w tym obszarze kluczowy. Równie ważne jest jednak, aby producenci wzięli odpowiedzialność za sposób integracji i wdrażania tych technologii w swoich produktach końcowych. Bezpieczeństwo musi być wdrożone w całym cyklu życia projektu, a nie dodawane jako poprawka na późnym etapie.
Obejmuje to stosowanie zasady zaawansowanej obrony – zapewnienie, że bezpieczeństwo jest wdrażane na wielu warstwach systemu, zamiast polegać na pojedynczym punkcie ochrony. Na przykład należy zachęcać klientów do włączania protokołu TLS (Transport Layer Security) do szyfrowanej komunikacji, nawet jeśli ich urządzenia już korzystają z protokołów bezpieczeństwa Wi-Fi. Takie warstwowe zabezpieczenia pomagają zminimalizować ryzyko w przypadku awarii jednej warstwy i uniemożliwiają atakującym uzyskanie dostępu do poufnych danych lub kontroli systemu poprzez pojedynczy słaby punkt.
Dzięki ścisłej współpracy z doświadczonymi dostawcami, którzy spełniają wymogi zgodności, oraz dostosowaniu wewnętrznych praktyk programistycznych do uznanych standardów organizacje mogą nie tylko spełniać wymogi regulacyjne, ale także dostarczać bardziej odporne i niezawodne rozwiązania dla połączonego świata. Czas działać już teraz – przygotować się, współpracować i tworzyć bezpieczne produkty bezprzewodowe, które spełnią zarówno dzisiejsze oczekiwania, jak i wyzwania przyszłości.
Abhinay Venuturumilli
Microchip Technology
www.microchip.com
