Краткое содержание

С 1 августа 2025 года вступают в силу положения Директивы ЕС о радиооборудовании (RED) о кибербезопасности для подключенных устройств. Для зарядки электромобилей любое зарядное устройство с Wi-Fi, сотовой связью или BLE должно соответствовать требованиям безопасности, заложенным в конструкцию; устройства, обрабатывающие персональные данные, должны обеспечивать защиту конфиденциальности; а продукты, поддерживающие платежи, должны внедрять меры по борьбе с мошенничеством.

Европейская комиссия включила стандарт EN 18031-1/-2/-3:2024 в список гармонизированных стандартов, что позволяет предполагать его соответствие. Перечни в OJ содержат ограничения, поэтому презумпцию соответствия обеспечивают только правильно применяемые нормативные положения. Устройства без беспроводных модулей, как правило, не подпадают под действие статьи 3(3), но соответствие на системном уровне по-прежнему распространяется на зарядное устройство в целом.

Что изменилось и почему это важно

• Область применения теперь выходит за рамки соответствия требованиям радиочастот. Подключённые функции включают обязательные средства контроля безопасности, конфиденциальности и защиты от мошенничества.

• Существует чёткий путь соответствия. Принятие стандарта EN 18031 может обеспечить презумпцию; в противном случае используйте путь нотифицированного органа.

• Закупки будут ужесточены. Для участия в тендерах и аудитах ЕС потребуются подписанные обновления, политики учётных данных, SBOM, информация об обработке уязвимостей и руководства для пользователей.

На кого влияет экосистема зарядки

• Зарядные устройства постоянного и переменного тока со встроенным подключением (LTE, Wi-Fi, BLE).

• Интегрированные функции бэк-офиса, которые используют учетные данные устройства, журналы или обновления OTA.

• Зарядные устройства, которые принимают специальные платежи или поддерживают платежные токены.

• Аппаратные аксессуары без беспроводных модулей обычно не входят в сферу действия, тогда как зарядное устройство как система остается в сфере действия.

Ключевые даты и вехи

Примечание: Перечни EN 18031 в официальном журнале включают ограничения; только правильно применяемые нормативные положения обеспечивают презумпцию соответствия.

Важный этап | Что это значит для зарядки электромобилей

30 января 2025 г. | Стандарт EN 18031-1/-2/-3:2024 внесен в Официальное издание, что позволяет предполагать соответствие при его правильном применении.

1 августа 2025 г. | Положения RED о кибербезопасности (статьи 3(3)(d)(e)(f)) подлежат исполнению в отношении радиооборудования, попадающего под действие программы, включая подключенные зарядные устройства.

2025–2026 | Производители и операторы согласовывают пакеты документации (оценку рисков, отчеты об испытаниях, SBOM, политику обновления) и внедряют меры по повышению надежности в полевых условиях.

Критерии оценки поставщиков зарядных устройств для электромобилей, соответствующих требованиям EU RED (контрольный список EN 18031)

Используйте следующий контрольный список EN 18031 для быстрой проверки систем.

Безопасность и обновления прошивки (подписанные образы, защита от отката, зашифрованные каналы, ротация ключей).

Уточнение: предотвращение несанкционированного кода и обеспечение безопасного восстановления.

Контроль доступа (отсутствие паролей по умолчанию или пустых паролей, смена при первом входе в систему, блокировка и ограничение скорости, учетные записи с минимальными привилегиями).

Осветлитель: предотвращает легкие взломы и ограничивает боковое смещение.

Защита от злоупотреблений в сети для OCPP/MQTT/HTTPS (регулирование, обнаружение аномалий, защита от повторного воспроизведения и флуда, защищенные сервисы).

Уточнение: прекратить регистрацию ботнетов и трафиковые штормы.

Конфиденциальность и журналы (минимизация данных, графики хранения, уведомление пользователя о конфиденциальности, безопасный экспорт журналов).

Уточнение: собирайте только то, что вам нужно, и храните это в безопасности.

Платежи, если таковые имеются (сквозное шифрование и подпись, защита от несанкционированного доступа, двойной контроль возвратов и расчетов).

Уточнение: защита передачи ценностей и снижение риска мошенничества.

Комплект доказательств (матрица покрытия EN 18031, отчеты об испытаниях, раскрытие уязвимостей и соглашения об уровне обслуживания для исправлений, раздел безопасности руководства пользователя, декларация о соответствии ЕС, индекс технических файлов).

Уточнение: предъявите доказательства, а не обещания.

Карта требований к вариантам использования

Требование RED | Типичный пример использования зарядки электромобиля | Примеры приемлемых мер управления

3(3)(d) Неправильное использование сети | Предотвращение регистрации ботнета или DDoS-атак через модем зарядного устройства | Межсетевой экран, ограничения скорости, взаимная аутентификация TLS, защищенные сервисы

3(3)(e) Защита данных | Обработка идентификаторов драйверов, данных сеанса, метаданных | Минимизация данных, псевдонимизация, ведение журнала доступа, политика хранения

3(3)(f) Предотвращение мошенничества | Платежи с использованием QR-кода или карты | Криптографические доказательства, защищенные элементы или HSM, двойной контроль возвратов

Как реализовать соответствие требованиям (полевой процесс)

Определить область применения → Оценка угроз и пробелов → Внедрить элементы управления (прошивки, учетные данные, связь, оплата, конфиденциальность) → Проверить (внутренние тесты и, при необходимости, уполномоченный орган) → Составить технический файл (анализ рисков, SBOM, отчеты об испытаниях, сопоставление с EN 18031, инструкции для пользователя) → Выпустить EU DoC и маркировать → Контролировать и вносить исправления с определенными SLA по раскрытию информации и устранению неполадок.

План действий на 30–60–90 дней

Дни 0–30: Подтвердить, какие модели включают беспроводные модули; сопоставить применимость статьи 3(3)(d)(e)(f); составить проект SBOM и первоначальную оценку риска; составить покрытие EN 18031.

Дни 31–60: Отправка политик учетных данных и безопасное обновление; усиление защиты OCPP/MQTT/HTTPS; минимизация и документирование данных; определение мер по борьбе с мошенничеством для потоков платежей; планирование проверки третьей стороной или уполномоченным органом, если она не полностью соответствует стандарту EN 18031.

Дни 61–90: Завершение тестирования, технического файла и EU DoC; маркировка и выпуск; пилотное полевое укрепление на выбранных объектах; публикация обработки уязвимостей и исправлений SLA.

Влияние на дорожные карты продуктов

• Зарядные устройства с поддержкой 15118 и внутренние компоненты OCPP 2.x будут уделять особое внимание более надежной обработке учетных данных и сертификатов.

• Запросы предложений будут учитывать операции по обновлению безопасности и качество доказательств в той же степени, что и номинальную мощность.

• Надежная технология OTA сокращает количество посещений сайта и обеспечивает более низкие затраты на протяжении всего срока службы.

Примечание Workersbee

Workersbee поддерживает проекты, связанные с ЕС, предлагая сборки разъемов и кабелей, и согласует руководство по интеграции зарядных устройств с мерами кибербезопасности RED. Для программ постоянного тока, требующих презумпции соответствия, наша инженерная команда может предоставить краткий контрольный список покрытия EN 18031 и пример формулировок технического файла, используя следующие ресурсы: инженерное руководство Workersbee, ноу-хау по разъемам постоянного тока Workersbee.

Часто задаваемые вопросы

В: Если зарядное устройство не имеет функции оплаты, применяется ли статья 3(3)(f)?

О: Нет. Под действие пункта 3(3)(f) подпадают только устройства, позволяющие осуществлять платежи или переводить денежные средства. То же зарядное устройство может также соответствовать пунктам 3(3)(d) и 3(3)(e).

В: Нужен ли мне уполномоченный орган, если я полностью приму стандарт EN 18031?

A: Полное и правильное применение гармонизированных стандартов может обеспечить презумпцию. В случае частичного принятия или наличия неопределенности, использование нотифицированного органа снижает риск.

В: Означают ли ограничения OJ, что стандарта EN 18031 всегда достаточно?

О: Нет. Презумпция существует только при правильном применении нормативных положений. Если вы отклоняетесь от правил или сталкиваетесь с неоднозначными ситуациями, воспользуйтесь услугами нотифицированного органа.

В: Какие доказательства аудиторы обычно запрашивают в первую очередь?

A: Политика обновления по подписке, политика паролей, SBOM, рабочий процесс обработки уязвимостей, таблица сопоставления EN 18031 и Декларация соответствия ЕС.