你正在为一款无线产品做明年出口欧盟的上市规划，蓝牙耳机、智能手表、WiFi模组或者4G路由器，目标是贴上CE标志，顺利清关。

网上一搜"CE-RED网络安全认证"，信息大多是"2025年8月1号强制，不做就贴不了CE标志"。还有一些文章说"好像没那么急，欧洲海关也没大规模扣货"。两种说法都抓住了一部分现实，但都不够准确。

做出口的人，需要的不是一个笼统的"必须做"，也不是一个侥幸的"再等等"。更实在的问题是：这个"CE-RED网络安全认证"到底是个什么东西？跟你熟悉的射频EMC测试有什么本质不同？为什么有人两三个月搞定了，有人到现在还在原地打转？

2026年，这个认证已经强制执行快一年了，市场、海关、电商平台的执行尺度越来越清晰。CE-RED网络安全认证，不是在你熟悉的RF和EMC测试清单上"加一项"那么简单。它是一套跟前者完全平行的、专门审核产品"安全设计"的评估体系。它不测信号强弱，审的是密码机制、固件更新、数据加密这些看不见的设计逻辑。准备不充分的项目，总是卡在"安全设计文档"这一步上，而不是在测试室里。

"多测一项"的想法，害了不少项目

很多厂商一听说RED加了网络安全要求，反应出奇地一致："哦，就是多测一项对吧？跟EMC、射频一样，我多加点钱、多给两周时间就行了。"

这个认知偏差非常大，也是无数项目预算超支、周期拉长的根源。

传统的RED射频和EMC检测，属于"实验室测试"。设备连上仪器，RF看发射功率够不够、杂散超标没超标，EMC看辐射骚扰大不大、抗干扰能力强不强。有明确限值，有标准仪器，测完出数据，行就行，不行就不行。

网络安全认证走的是另一套逻辑。它不测"数据"，它审"设计"。你得拿出一套完整的、有逻辑的文档体系，证明产品在设计阶段就把安全考虑进去了。密码机制怎么设计的？固件更新有没有签名验证？数据加密用的什么方案？对外暴露的接口做了访问控制没有？这些东西测不出一个数值来，审的是整条安全架构的思路。

很多厂商把这件事想简单了，以为填个申请表、把产品寄过去，实验室就能搞定。结果到了提交阶段才发现，缺的是一整套能证明"安全设计"的文档，不是一张测试报告。做CE-RED网安认证的项目，最大的时间黑洞就在这里。

走自我声明路径的人，还有一个常见误解，觉得"自我声明"就是自己说了算。Module A（内部生产控制）确实允许自行签署符合性声明，前提是你必须准备出完整、可追溯的技术文档，每一项标准要求都要有对应的落地证据。欧盟市场监督机构随时有权要求提供全套合规文档，文档不完整等同于不合规，可能触发产品召回、罚款和全欧盟范围的市场准入限制。"自我声明"四个字的潜台词是：全权负责，但证据必须过硬。

RED指令这次加了三条，各审各的

RED指令加的网络安全条款是Article 3.3下面的(d)、(e)、(f)三条，每条对应一件事。

3.3(d)审网络保护。设备能联网就行，不管是直连WiFi或4G，还是通过别的设备中转（比如蓝牙连手机上网），它就不能成为一个安全漏洞。不能默认空密码，不能随便让外部设备连进来，不能谁都能给固件推送更新。卖出去的东西，不能变成别人攻击网络的跳板。

3.3(e)审个人数据和隐私保护。设备能处理个人数据，比如位置、健康信息、语音记录，就得拿出保护机制。

3.3(e)这一条，厂商踩坑最多。法规不是按"你有没有联网"来触发的。委托法规(EU) 2022/30把触发3.3(e)的设备分成了四类：可连接互联网的无线电设备，覆盖面最广的一类；专门设计或用于儿童保育的无线电设备；受玩具安全指令2009/48/EC管辖的无线电设备；设计或用于佩戴在身体或衣物上的可穿戴无线电设备。

举个例子，儿童手表哪怕不联网，只通过蓝牙把孩子的步数和位置传到家长手机上，只要硬件上装了能定位的芯片、能采集声音的麦克风，它就具备了"处理个人数据的能力"，3.3(e)就可能落到你头上。法规原文措辞是"is capable of processing"（能够处理），看的是硬件有没有这个能力，跟软件里关没关没关系。"只要断开网络就没事了"，这个判断在2026年站不住了。

3.3(f)审防金融欺诈。这块相对窄，主要针对支付终端、带NFC交易的设备、处理虚拟货币或货币价值的设备。普通产品碰不到这条，做POS机、扫码支付终端的必须老老实实做。

三条之间没有"全选"关系。WiFi模组厂家可能只需要证明3.3(d)，智能穿戴厂商需要证明d加e，支付终端厂商三条全覆盖。产品被哪几条管到，不看产品名字，看它设计了哪些功能。

顺便提一句豁免范围。同时受欧盟医疗器械法规MDR或体外诊断器械法规IVDR管辖的无线电设备，免于3.3(d)(e)(f)的要求；受航空安全法规(EU) 2018/1139、机动车型式批准法规(EU) 2019/2144或道路收费系统指令(EU) 2019/520管辖的设备，免于3.3(e)和(f)的要求。落在这几个领域的产品，合规路径会不同，网络安全还是要做的，只不过换了另一套法规来管。

EN 18031和(EU) 2025/138：标准好理解，限制条款容易漏

确定了产品被哪几条管到，下一步就是两个实际问题：依据什么标准做评估？走哪条认证路径？

技术标准上，业内最主流的方案是EN 18031系列。三个子标准对应三条法规：EN 18031-1管3.3(d)，EN 18031-2管3.3(e)，EN 18031-3管3.3(f)。密码策略、身份认证、安全更新、数据加密、漏洞管理，管得很细。

但有一个关键细节很多人没搞明白。欧盟把EN 18031列入官方公报的时候，通过实施决定(EU) 2025/138附了限制条款。限制条款的法律效果是：在某些情况下，即使你声称按照EN 18031做了评估，该标准也不赋予"符合性推定"，你不能凭借"我用了协调标准"来自动获得合规认定。

先说密码这条。如果设备允许用户"不设密码就能用"，也就是条款6.2.5.1和6.2.5.2所描述的情形，关于访问控制的评估，该标准就不赋予符合性推定。这条限制同时覆盖EN 18031三项标准，不只跟3.3(d)有关。想让这条限制碰不到你，把密码设计成必选项就行。或者设备不走密码这套，用的是蓝牙配对密钥之类的机制，也不受影响。

再说儿童保育和玩具设备这条，针对EN 18031-2。条款6.1.3到6.1.6列出了多种访问控制的实施类别，但如果做的是儿童类产品，访问控制机制里没有实现家长或监护人控制功能，同样失去符合性推定。儿童设备的访问控制不能只做到"有人管"，得做到"由家长或监护人来管"。

然后是金融设备安全更新这条，针对EN 18031-3。条款6.3.2.4列出了四种安全更新的实施类别：数字签名、安全通信机制、访问控制机制，或其他。欧盟委员会认为，这四种方法任何一种单独使用都不足以保护金融资产安全。金融设备在安全更新上只依赖单一保护方法，比如只有数字签名，加密传输和访问控制都没做，该标准就不赋予符合性推定。

EN 18031三项标准中标注为"Rationale"（合理性说明）和"Guidance"（指导）的章节，同样不赋予符合性推定。这两类章节提供的是解释性内容和实施建议，属于非规范性要求。文档中可以引用这些章节作为辅助说明，但拿它们当合规依据是不行的。

限制条款这东西，是项目启动前就必须搞清楚的。产品触发了哪条，直接影响后续认证路径的选择。

两条认证路径，怎么选

自我声明，也叫Module A路径（内部生产控制）。产品完全按EN 18031标准做，而且不碰那些限制条款，就能自行签署符合性声明，不用找公告机构。这条路周期相对可控，从安全文档准备到出声明，顺利的话一个半月到两个半月。前面说过，自我声明不等于"随便签"，需要准备完整的技术文档，每一条标准要求都有对应的设计说明和验证证据，文档不扎实，被抽查的后果等同于不合规。

公告机构评估，也叫Module B路径（欧盟型式检验）。触发了任何一条限制条款，或者用了EN 18031以外的等效方案，就需要走这条路。NB机构会审安全设计文档、做功能验证，出具有法律效力的型式检验证书。周期更长，要等NB排期，可能有材料往返补充，四个月以上是常态，复杂的案子可能拖到半年。

有一种情况值得想想。产品理论上可以走自我声明，但团队缺乏网络安全专业知识，或者产品安全架构比较复杂，选NB评估反而更稳妥。NB评审本身就是一个发现问题的过程，比起自我声明后被市场监督机构抽查出问题，提前让专业机构审一轮的风险要小得多。

2026年的真实处境

2025年8月强制执行至今，快一年了。行业内跑完全流程、证书到手的中国厂商，还不够多。很多企业还在观望，寄希望于"等欧盟来查再说"。

但CE标志现在跟网安认证已经绑死了。没过网安认证，CE标志在法律意义上就是失效的。欧洲的客户，特别是那些大型零售商和电商平台，已经开始在供应链合规审核里专门查这项了。一旦发现产品没做或者做不全，他们不会等，直接换供应商。违规信息还会通过欧盟安全门系统（RAPEX/Safety Gate）在27个成员国之间同步，被一个成员国判定不合规，全欧盟都会启动执法。

还有一件事值得提前想一想。欧盟《网络弹性法案》（Cyber Resilience Act，法规(EU) 2024/2847）将在2027年全面生效，覆盖范围比RED的网安要求更广，涵盖几乎所有带有数字元素的产品。CRA的很多安全属性，比如默认安全、漏洞处理、软件更新机制、安全事件日志，跟EN 18031的要求高度重叠。现在为EN 18031准备的安全设计文档和验证证据，大部分可以直接映射到CRA的合规要求。今天在RED网安认证上投入的工作，两年后还能继续用。从长期合规成本的角度看，早做准备就是在给下一个法规周期打基础。

它到底是什么

无线产品进入欧盟市场的法律准入门槛。跟射频测试不一样，审的是安全设计，不是发射参数。有自我声明和公告机构评估两条路。已经写进法律，并且生效快一年了。

对于准备在2026年出口欧盟的无线产品厂商来说，现在最重要的事情，是在产品设计阶段就把安全架构设计拿出来，提前规划好认证路径，并且为(EU) 2025/138附带的限制条款准备好应对方案。把安全设计文档做好、做扎实，才是2026年顺利拿到CE标志、绕开市场风险的实在保障。