Bản tóm tắt

Từ ngày 1 tháng 8 năm 2025, các quy định về an ninh mạng của Chỉ thị Thiết bị Vô tuyến (RED) của EU đối với các sản phẩm được kết nối sẽ có hiệu lực. Đối với việc sạc xe điện, bất kỳ bộ sạc nào có Wi-Fi, mạng di động hoặc BLE đều phải đáp ứng các yêu cầu về bảo mật theo thiết kế; các thiết bị xử lý dữ liệu cá nhân phải bổ sung các biện pháp bảo vệ quyền riêng tư; và các sản phẩm hỗ trợ thanh toán phải triển khai các biện pháp kiểm soát chống gian lận.

Ủy ban Châu Âu đã liệt kê EN 18031-1/-2/-3:2024 là tiêu chuẩn hài hòa để giả định sự phù hợp. Danh sách của OJ bao gồm các hạn chế, do đó chỉ các điều khoản quy phạm được áp dụng đúng mới được coi là giả định. Các thiết bị không có mô-đun không dây thường nằm ngoài Điều 3(3), nhưng việc tuân thủ ở cấp độ hệ thống vẫn áp dụng cho toàn bộ bộ sạc.

Những gì đã thay đổi và tại sao nó lại quan trọng

• Phạm vi hiện nay vượt ra ngoài phạm vi tuân thủ RF. Chức năng kết nối được trang bị các biện pháp kiểm soát bắt buộc về bảo mật, quyền riêng tư và chống gian lận.

• Có lộ trình tuân thủ rõ ràng. Việc áp dụng EN 18031 có thể cung cấp giả định; nếu không, hãy sử dụng lộ trình của Cơ quan Thông báo.

• Việc mua sắm sẽ được thắt chặt. Các cuộc đấu thầu và kiểm toán của EU sẽ yêu cầu các bản cập nhật đã ký, chính sách chứng nhận, SBOM, xử lý lỗ hổng và hướng dẫn người dùng.

Ai bị ảnh hưởng trong hệ sinh thái sạc

• Bộ sạc DC và AC có kết nối tích hợp (LTE, Wi-Fi, BLE).

• Các tính năng tích hợp ở phần quản lý dựa trên thông tin đăng nhập thiết bị, nhật ký hoặc cập nhật OTA.

• Bộ sạc chấp nhận thanh toán tạm thời hoặc hỗ trợ mã thông báo thanh toán.

• Các phụ kiện phần cứng không có mô-đun không dây thường nằm ngoài phạm vi, trong khi bộ sạc như một hệ thống vẫn nằm trong phạm vi.

Những ngày và cột mốc quan trọng

Lưu ý: Danh sách EN 18031 trong OJ bao gồm các hạn chế; chỉ những quy định chuẩn mực được áp dụng đúng mới có thể đảm bảo sự phù hợp.

Cột mốc | Ý nghĩa của việc sạc EV

Ngày 30 tháng 1 năm 2025 | EN 18031-1/-2/-3:2024 được liệt kê trong Công báo chính thức, cho phép đưa ra giả định về sự phù hợp khi áp dụng đúng.

Ngày 1 tháng 8 năm 2025 | Các điều khoản về an ninh mạng RED (Điều 3(3)(d)(e)(f)) có hiệu lực đối với thiết bị vô tuyến trong phạm vi, bao gồm cả bộ sạc được kết nối.

2025–2026 | Các nhà sản xuất và nhà điều hành sắp xếp các gói tài liệu (đánh giá rủi ro, báo cáo thử nghiệm, SBOM, chính sách cập nhật) và triển khai củng cố tại hiện trường.

Tiêu chí đánh giá nhà cung cấp cho bộ sạc EV tuân thủ EU RED (danh sách kiểm tra EN 18031)

Sử dụng danh sách kiểm tra EN 18031 sau đây để xem xét hệ thống nhanh chóng.

Bảo mật và cập nhật chương trình cơ sở (hình ảnh đã ký, bảo vệ khôi phục, kênh được mã hóa, thay đổi khóa).

Trình làm rõ: ngăn chặn mã trái phép và đảm bảo phục hồi an toàn.

Kiểm soát truy cập (không có mật khẩu mặc định hoặc để trống, thay đổi lần đăng nhập đầu tiên, khóa và giới hạn tốc độ, tài khoản có đặc quyền thấp nhất).

Chất làm trong: ngăn chặn sự xâm nhập dễ dàng và hạn chế chuyển động ngang.

Bảo vệ chống lạm dụng mạng cho OCPP/MQTT/HTTPS (điều tiết, phát hiện bất thường, bảo vệ chống phát lại và chống ngập, dịch vụ được tăng cường).

Làm rõ: ngăn chặn việc đăng ký botnet và bão lưu lượng truy cập.

Quyền riêng tư và nhật ký (giảm thiểu dữ liệu, lịch trình lưu giữ, thông báo về quyền riêng tư dành cho người dùng, xuất nhật ký an toàn).

Người làm trong: chỉ thu thập những gì bạn cần và giữ chúng an toàn.

Thanh toán, nếu có (mã hóa và ký kết đầu cuối, thiết kế chống giả mạo, kiểm soát kép đối với việc hoàn tiền và thanh toán).

Làm rõ: bảo vệ việc chuyển giao giá trị và giảm rủi ro gian lận.

Gói bằng chứng (ma trận phạm vi EN 18031, báo cáo thử nghiệm, tiết lộ lỗ hổng và SLA vá lỗi, phần bảo mật hướng dẫn sử dụng, Tuyên bố về sự phù hợp của EU, chỉ mục tệp kỹ thuật).

Làm rõ: đưa ra bằng chứng, không phải lời hứa.

Bản đồ yêu cầu sử dụng

Yêu cầu ĐỎ | Trường hợp sử dụng sạc EV điển hình | Ví dụ về các biện pháp kiểm soát được chấp nhận

3(3)(d) Sử dụng sai mạng | Ngăn chặn đăng ký botnet hoặc DDoS thông qua modem bộ sạc | Tường lửa, giới hạn tốc độ, xác thực lẫn nhau TLS, dịch vụ được củng cố

3(3)(e) Bảo vệ dữ liệu | Xử lý mã định danh trình điều khiển, dữ liệu phiên, siêu dữ liệu | Giảm thiểu dữ liệu, ẩn danh, ghi nhật ký truy cập, chính sách lưu giữ

3(3)(f) Phòng chống gian lận | Thanh toán ad-hoc bằng mã QR hoặc thẻ | Bằng chứng mật mã, các yếu tố bảo mật hoặc HSM, kiểm soát kép đối với việc hoàn tiền

Cách thức vận hành tuân thủ (quy trình sẵn sàng tại hiện trường)

Xác định phạm vi → Đánh giá mối đe dọa và khoảng cách → Triển khai các biện pháp kiểm soát (phần mềm, thông tin xác thực, thông tin liên lạc, thanh toán, quyền riêng tư) → Xác thực (kiểm tra nội bộ và nếu cần, Cơ quan được thông báo) → Biên soạn tệp kỹ thuật (phân tích rủi ro, SBOM, báo cáo kiểm tra, ánh xạ EN 18031, hướng dẫn sử dụng) → Phát hành DoC và nhãn EU → Giám sát và vá lỗi với SLA về tiết lộ và khắc phục đã xác định.

Kế hoạch hành động 30–60–90 ngày

Ngày 0–30: Xác nhận những mô hình nào bao gồm các mô-đun không dây; lập bản đồ khả năng áp dụng của Điều 3(3)(d)(e)(f); dự thảo SBOM và đánh giá rủi ro ban đầu; sắp xếp phạm vi bảo hiểm EN 18031.

Ngày 31–60: Chính sách chứng nhận tàu và cập nhật bảo mật; củng cố OCPP/MQTT/HTTPS; giảm thiểu và ghi lại dữ liệu; xác định các biện pháp kiểm soát gian lận cho luồng thanh toán; lên lịch đánh giá của bên thứ ba hoặc Cơ quan được thông báo nếu không hoàn toàn phù hợp với EN 18031.

Ngày 61–90: Hoàn thiện thử nghiệm, hồ sơ kỹ thuật và DoC của EU; dán nhãn và phát hành; thí điểm củng cố bảo mật tại các địa điểm được chọn; công bố SLA về cách xử lý lỗ hổng và vá lỗi.

Tác động đến lộ trình sản phẩm

• Bộ sạc hỗ trợ 15118 và phần phụ trợ OCPP 2.x sẽ nhấn mạnh vào khả năng xử lý thông tin xác thực và chứng chỉ mạnh mẽ hơn.

• RFP sẽ cân nhắc các hoạt động cập nhật bảo mật và chất lượng bằng chứng cũng như sức mạnh của bảng tên.

• OTA đáng tin cậy giúp giảm số lượt truy cập trang web và hỗ trợ giảm chi phí trọn đời.

Ghi chú của công nhân

Workersbee hỗ trợ các dự án thuộc EU với cụm đầu nối và cáp, đồng thời điều chỉnh hướng dẫn tích hợp bộ sạc phù hợp với các biện pháp kiểm soát an ninh mạng RED. Đối với các chương trình DC yêu cầu giả định về sự tuân thủ, đội ngũ kỹ thuật của chúng tôi có thể cung cấp danh sách kiểm tra phạm vi EN 18031 ngắn gọn và mẫu văn bản kỹ thuật thông qua các tài liệu chính: Hướng dẫn kỹ thuật của Workersbee, Kiến thức chuyên môn về đầu nối DC của Workersbee.

Câu hỏi thường gặp

H: Nếu bộ sạc không có tính năng thanh toán thì Điều 3(3)(f) có còn áp dụng không?

A: Không. Chỉ các thiết bị cho phép thanh toán hoặc chuyển tiền mới thuộc phạm vi điều 3(3)(f). Bộ sạc tương tự vẫn có thể cần đáp ứng điều 3(3)(d) và 3(3)(e).

H: Tôi có cần Cơ quan thông báo nếu tôi áp dụng hoàn toàn EN 18031 không?

A: Việc áp dụng đầy đủ và chính xác các tiêu chuẩn hài hòa có thể mang lại sự bảo đảm. Nếu chỉ áp dụng một phần hoặc có sự không chắc chắn, lộ trình của Cơ quan Thông báo sẽ giảm thiểu rủi ro.

H: Những hạn chế của OJ có nghĩa là chỉ cần EN 18031 là đủ phải không?

A: Không. Chỉ những điều khoản quy phạm được áp dụng đúng mới có thể được coi là giả định. Nếu bạn đi chệch hướng hoặc gặp phải những trường hợp mơ hồ, hãy sử dụng tuyến đường của Cơ quan Thông báo.

H: Kiểm toán viên thường yêu cầu bằng chứng nào trước tiên?

A: Chính sách cập nhật đã ký, chính sách mật khẩu, SBOM, quy trình xử lý lỗ hổng, bảng ánh xạ EN 18031 và Tuyên bố về sự phù hợp của EU.