RED DA认证-EN18031网络安全常见问题以及解答

Q：RED DA是否对所有无线模块和设备强制要求？

A：是的，RED DA适用于欧盟境内销售的所有无线设备，包括WWAN、蓝牙或Wi-Fi模块。唯一例外是GNSS模块（仅支持接收功能，无需认证）。

Q：RED DA认证只针对在中国大陆加工卖到欧盟的整机？

A：不是，所有进欧盟的设备、整机或者模块，只要经过欧盟海关的，就受到这个认证影响。

Q：2025年8月1号之前已经发给欧盟客户，包含通讯模组厂家模组的设备是否需要升级版本？

A：不需要，对之前已经出货的设备，不做要求。

Q：2025年8月1日前RED已认证并且出货，8月1日后同一型号设备继续出货，是否要做RED DA

认证？

A：需要。

Q：集成设备（如loT产品）即使使用已认证模块，是否仍需申请RED DA？

A：是的。无论嵌入式模块是否已认证，在欧盟销售的集成设备必须单独取得RED DA认证。

Q：设备出货至亚太或北美地区是否需要满足RED DA认证要求？

A：仅直接出货至欧盟的设备需要RED DA认证。

Q：若模块在非欧盟地区组装为整机后出口至欧盟，模块是否需要RED DA认证？

A：模块不需要。RED DA仅适用于直接进口至欧盟的产品。若整机出口至欧盟，需确保整机本身符合RED DA要求，模块无需单独认证。模块未认证，整机可以直接做该认证。

Q：嵌入式模块的认证能否用于集成设备的RED DA合规？

A：在特定条件下可部分沿用：客户需提交技术自声明文件，证明沿用模块的认证设计；认证机构将审核并批准沿用范围。重点提示：模块本身无法满足集成设备的全部安全要求，客户仍需自行实现设备级安全功能（包括但不限于访问控制、身份认证等）。

Q：固件升级是否需要更新RED DA认证？

A：RED DA认证授权中会记录RED DA认证版本号。若固件升级未涉及RED DA相关功能的修复或变更，通常无需更新认证。反之，需提交固件版本说明，由第三方实验室/认证机构评估、测试并更新认证授权

Q：如何管理已获CERED认证的不同硬件版本？

A：若同一型号的多个硬件版本（如R1.0、R2.0）同时在欧盟销售，需为每个版本单独申请RED DA认证。例如，若R1.0和R2.0均在售，则两者均需维持有效的CERED和RED DA认证。

Q：通讯模组厂家能否提供威胁建模？

A：威胁建模需要详细了解客户产品形态、工作逻辑/原理、接口、数据跨域交换以及工程措施，通讯模组厂家对客户产品掌握情况无法支持客户进行威胁建模，且通讯模组厂家的威胁建模客户也无法复用。建议客户咨询机构，机构会指导客户完成产品威胁建模。

Q：通讯模组厂家能否协助完成安全通信部分填写？

A：在安全通信中，一般包括应用层基于TLS的加密，该部分涉及端侧和云侧，通讯模组厂家无法明确客户项目具体的加密协议、加密版本等技术细节，因此无法支持填写。在蜂窝网络中，模组的蜂窝网络由原厂提供Modem进行蜂窝通讯，该部分通讯完全遵循3GPP和ETSI规范，客户可以告知机构，由机构代为填写。

Q：通讯模组厂家能否协助完成访问控制部分填写？

A：RTOS系统：RTOS系统无用户和登录相关概念，产品以物理/逻辑隔离形式完成访问控制，相关条目客户可以说明后N/A。Linux/Android系统：Linux系统自身具备RBAC+ACL+selinux的访问控制机制，具体实现需要客户自行开发设计，通讯模组厂家无法支持填写。

Q：通讯模组厂家能否协助提供漏洞报告？

A：通讯模组厂家仅能够提供模组的漏洞报告，无法提供客户产品漏洞报告，如客户未引入新的开源组件，则漏洞报告可以复用。如客户无法确认是否引入，则需要重新扫描固件进行评估。客户可以使用开源SCA工具评估，或咨询机构。通讯模组厂家亦可提供相关能力，但是会涉及费用问题。

领世达实验室

实验室拥有中国CNAS、ISO9001、国家高新技术等多项资质，聚焦于物联网设备、无线通信类设备及相关产品的网络信息安全测试认证。主要研究和测试方向包括物联网与车联网安全、系统与软件安全、密码学与安全协议、射频测试与EMC等