EN 18031是否要求供应链伙伴符合安全标准?
答案是:必须!
EN 18031-1明确规定,制造商不仅对自己负责,还必须确保整个供应链(芯片厂商、代工厂、固件外包、云服务商)都达到同等安全水平,否则整个产品都无法通过CE认证。
EN 18031对供应链的硬性条款
| 条款编号 | 原文要求(简要翻译) | 实际落地要求 |
|---|---|---|
| 6.2.3 | 制造商应确保供应链中的组件不引入不可接受风险 | 所有关键部件必须提供安全证明 |
| 7.4 | 需维护并可提供SBOM(软件物料清单) | 每一层供应商都要纳入SBOM |
| Annex A.3 | 第三方组件必须经过安全评估 | 芯片、模组、SDK都得审计 |
一句话总结:你卖到欧盟的产品,供应链里任何一个环节掉链子,你都要背锅。
供应链安全审计的三大重点对象
- 芯片/模组供应商
必须提供TrustZone、Secure Boot、硬件加密支持证明(如高通、Nordic、NXP的安全数据表) - 固件/软件外包团队
必须提交SSDLC(安全开发生命周期)流程证明 + 第三方代码审计报告 - 云服务/后端供应商
必须提供ISO 27001或SOC2 Type II报告,至少满足EN 18031-1的通信加密要求
供应链合规落地清单(2025版)
| 环节 | 必须提供的文件/证明 | 常见不合规点 |
|---|---|---|
| 芯片/模组 | 安全数据表 + CVE响应承诺 | 只给普通datasheet |
| 代工厂 | 生产环境隔离证明 + 固件烧录安全SOP | 共用烧录线、无访问控制 |
| 外包固件 | 代码审计报告 + SBOM | 无版本管理、混用开源未披露 |
| 云服务 | ISO 27001/SOC2 + TLS 1.3证书 | 自建服务器无任何认证 |
真实案例警示
2025年Q2,某中国儿童手表品牌因使用未披露漏洞的第三方定位SDK,被德国市场监管局直接下架并罚款85万欧元,原因就是“供应链安全审计缺失”。
制造商如何高效管理供应链合规?
- 在合同中加入“EN 18031合规义务条款”
- 要求所有Tier-1供应商每年提交一次安全声明
- 使用自动化SBOM工具(CycloneDX、SPDX)实时监控
- 每年至少进行一次供应链安全审计(可外包给专业机构)
EN 18031把“供应链安全”从道德倡议变成了法律责任。制造商必须把安全要求一级一级传导到最底层的供应商,否则最终产品根本过不了Notified Body审核。合规成本短期上升5-12%,但能彻底避免“断供+巨额罚款”的灭顶之灾。
我们专注EN 18031供应链安全审计与合规服务,拥有完整供应商评估体系与自动化SBOM平台,可帮助企业快速完成全链路安全审计并生成符合欧盟要求的证明材料。如需免费供应链风险评估,欢迎随时联系我们。