What Are the Differences Between EN 18031-1, -2, and -3? A Detailed Analysis of the EN 18031 Standard

What are the differences between EN 18031-1, -2, and -3? A detailed analysis of the EN 18031 standard

With the proliferation of the Internet of Things (IoT) and wireless devices, cybersecurity has become a core concern in the EU market. EN 18031 is the EU's cybersecurity standard for wireless devices, divided into three parts: EN 18031-1, EN 18031-2, and EN 18031-3. Many manufacturers and developers are asking: What are the differences between EN 18031-1, -2, and -3? This article will provide a detailed analysis of the differences between these three parts of the standard, specifically for internet devices, user data processing devices, and financial transaction devices, helping you understand their applicable scenarios and compliance requirements.

EN 18031 Overview
EN 18031 is a standard jointly developed by the European Committee for Standardization (CEN) and the European Committee for Electrotechnical Standardization (CENELEC), aiming to meet the cybersecurity requirements of the EU Wireless Equipment Directive (RED 2014/53/EU). This standard was published in August 2024, included in the Official Journal of the European Union on January 30, 2025, and will be mandatory from August 1, 2025. EN 18031 is divided into three parts, each addressing different types of devices and security needs:

EN 18031-1: Applicable to Internet-connected devices, focusing on protecting network and service integrity.

EN 18031-2: Applicable to devices processing user data, emphasizing data privacy protection.

EN 18031-3: Applicable to financial transaction devices, focusing on preventing fraud and ensuring financial security.

The following are the detailed differences between these three parts and their key requirements:

Differences between EN 18031-1, -2, and -3

1. EN 18031-1: Internet-connected devices
Applicable to: Any device connected to the Internet via Wi-Fi, Bluetooth, or other wireless technologies, such as smart home devices (smart light bulbs, thermostats), Internet of Things (IoT) sensors, and smart speakers.

Core objective: Protecting networks from abuse and ensuring service integrity and availability. Key Requirements:

Network Protection: Devices must be able to defend against network attacks, such as firewalls, intrusion detection systems, or secure network configurations.

Secure Communication: Use encryption protocols (such as TLS) to protect data transmission between devices and prevent eavesdropping or tampering.

Access Control: Implement strong password management and authentication mechanisms to restrict unauthorized access.

Example Devices:

Smart Cameras
Smart TVs
Industrial IoT Sensors

2. EN 18031-2: Devices for Processing User Data
Applicable to: Devices that collect, store, or transmit user data, such as children's toys, wearable devices (smartwatches, fitness trackers), and smart assistant devices.

Core Objective: Protect the privacy of user data and prevent data breaches, with a particular focus on children's privacy.

Key Requirements:

Data Encryption: Encrypt user data during transmission and storage using industry-recognized encryption algorithms (such as AES).

Child Privacy Protection: Child-related devices must have parental controls to restrict unauthorized data access.

Data Minimization: Collect only necessary data; anonymization techniques are recommended to enhance privacy protection.

Example Devices:

Smart Toys
Baby Monitors
Health Trackers
3. EN 18031-3: Financial Transaction Devices
Applicable to: Devices that process virtual currencies or financial transactions, such as mobile payment terminals, cryptocurrency wallets, and POS terminals.

Core Objective: To prevent fraud and ensure the security and integrity of financial transactions.

Key Requirements:

Strong Authentication: Implement two-factor authentication or other advanced authentication methods to prevent unauthorized transactions.

Transaction Integrity: Ensure the integrity and immutability of financial transaction data.

Secure Storage: Use encrypted storage to protect virtual currency or financial data and prevent data breaches.

Example Devices:

NFC Payment Devices
Cryptocurrency Transaction Devices
Retail POS Terminals
Compliance Process To meet the requirements of EN 18031-1, -2, or -3, manufacturers must follow the following compliance process:

Determine Scope: Confirm which part of the standard the device belongs to (Internet device, user data device, or financial transaction device).

Risk Assessment: Identify potential risks to the device in terms of cybersecurity, data privacy, or financial security.

Technical Documentation: Prepare technical documentation including design specifications, test reports, and a declaration of compliance.

Testing and Certification:
Low-risk devices: Compliance can be demonstrated through a self-declaration of conformity (DoC).

High-risk devices: If involving child user data or financial transactions, a Notified Body certification (Certificate of Conformity, CoC) is required.

Market Access: Obtain the CE marking to ensure the device can be legally sold in the EU market.

The compliance process typically takes 4-8 months, including hardware testing (3-6 months), firmware testing (2-4 months), and notifying body audit (1-2 months). Manufacturers should contact certification laboratories as early as possible to meet the August 1, 2025 deadline.

Impact on Manufacturers and Consumers
Impact on Manufacturers:
Targeted Compliance: Different standard sections (EN 18031-1, -2, -3) require manufacturers to implement specific security measures for internet, user data, or financial functions.

Compliance Costs: Testing and certification can increase costs, especially Notified Body certification for high-risk devices.

Market Competitiveness: Devices compliant with EN 18031 are more likely to gain consumer trust and enhance brand value.

Impact on Consumers:

Higher Security: Internet-connected devices are more resistant to cyberattacks, user data devices protect privacy, and financial devices prevent fraud.

Privacy Protection: Especially for devices related to children, parental controls enhance user data protection.

Price Impact: Compliance costs may lead to a slight increase in device prices.

Frequently Asked Questions:

What are the differences between EN 18031-1, -2, and -3?

EN 18031-1 addresses internet-connected devices, protecting the network; EN 18031-2 addresses user data devices, protecting privacy; EN 18031-3 addresses financial transaction devices, preventing fraud.

How to determine which standard part a device belongs to?

Check device functionality: Does it connect to the internet, process user data, or involve financial transactions? Consult a certification body for confirmation.

Do all devices need to comply with all standard parts?

No, devices only need to comply with the applicable standard part (such as EN 18031-1, -2, or -3), depending on their functionality. In conclusion, EN 18031-1, -2, and -3, respectively addressing internet devices, user data devices, and financial transaction devices, constitute the complete framework of EU wireless device cybersecurity standards. Understanding the differences between these standard sections is crucial for ensuring compliance and market access. Manufacturers must complete testing and certification to meet the applicable requirements before mandatory implementation on August 1, 2025. Consumers will benefit from more secure and reliable devices. By mastering the requirements of the EN 18031 standard sections, businesses and developers can better address compliance challenges and enhance product competitiveness.