文章总结： 本文系统解析欧盟网络安全合规体系，阐明指令定目标、法规强约束、协调标准给技术的三层关系，以RED指令与EN18031为例展示合规逻辑链，澄清常见误区并给出优先采用协调标准等实操建议。 综合评分： 87 文章分类： 政策法规,技术标准,解决方案,安全建设,供应链安全

别再晕了！一篇读懂欧盟法规、指令、标准的千层套路

GTG-Hardy GTG-Hardy

GTG网络安全实验室

2026年5月7日 15:12 广东

在小说阅读器读本章

去阅读

做欧盟网络安全检测认证的朋友，大概率都有过这种崩溃时刻：

明明聊的是网络安全合规，一会儿被抛来EN 18031 标准，一会儿又冒出来 (EU) 2022/30，转头还得面对Directive 2014/53/EU（RED 指令）Article 3 (3)(d)(e)(f) 这种长到眼花的条款。

到底谁是谁？谁管谁？为什么一个合规事项要牵扯出三四种不同名字的文件？今天咱们就把这层 “千层迷雾” 扒开，用大白话讲清楚欧盟Regulation（条例）、Directive（指令）、Act（法案）、Standard（标准）、协调标准的区别与关系，看完再也不云里雾里！

一、先破局：一个案例看懂

“三者绑定关系”

就拿大家最熟悉的无线设备网络安全合规举例，这三个文件其实是 “目标→授权→落地” 的层层递进关系，完全不用记复杂术语，看对应关系就懂：

• Directive 2014/53/EU（RED 无线电设备指令）：定核心目标—— 要求无线设备必须满足网络安全、数据隐私、防欺诈的基本健康安全要求（EHSR），对应条款就是 Article 3(3)(d)(e)(f)。
• (EU) 2022/30（授权法案 / Delegated Regulation）：给强制力—— 欧盟委员会专门出台的 “补充法规”，激活 RED 指令里的网络安全条款，明确要求 2025 年 8 月 1 日起，联网无线设备必须符合对应安全标准才能上市。
• EN 18031（协调标准）：给技术方案—— 欧洲标准化组织（ETSI/CEN）制定的具体技术文件，分 3 部分（EN 18031-1/2/3），逐条对应 RED 指令的 3 个条款，告诉你 “怎么设计、怎么测试才算合规”。

简单说：指令定 “必须做到什么”，法规（授权法案）定 “必须什么时候做、不做有什么后果”，协调标准定 “具体怎么做才达标”。三者绑定，缺一不可，这就是为什么合规时三个名字都会出现！

二、核心术语大白话拆解：

再也不混淆

1. Directive（指令，比如 RED 2014/53/EU）——“目标纲领”

• 法律层级：欧盟二级立法，强约束但不直接生效。
• 核心特点：只定宏观目标和基本要求（EHSR），不管技术细节；要求成员国在 12-24 个月内转化为国内法实施，各国落地方式可自选。
• 一句话理解：欧盟给成员国的 “任务书”——“你们必须让无线设备安全达标，具体怎么执行，各国自己定规矩，但结果必须符合我的要求”。
• 常见场景：RED 无线电设备指令、LVD 低电压指令、MD 机械指令，都是行业基础 “任务书”。

1. Regulation（条例 / 法规，比如 (EU) 2022/30、CRA (EU) 2023/1542）——“强制法令”

• 法律层级：欧盟二级立法，最高强制力，直接生效。
• 核心特点：全文必须执行，无需成员国转化国内法，所有成员国、企业、个人必须无条件遵守；通常带（EU）年号，是 “硬到不能变通” 的法律。
• 一句话理解：欧盟的 “全国性法律”——“不管你哪个成员国，不管你愿不愿意，从生效日起，必须严格按这个文件执行，违规直接处罚”。
• 补充：Act（法案）：不是独立文件，是所有欧盟立法的统称，包括 Regulation、Directive、Decision 等；常见 “授权法案（Delegated Act）”“实施法案（Implementing Act）”，(EU) 2022/30 就是典型的授权法案。

1. Standard（标准）& Harmonised Standard（协调标准，比如 EN 18031）——“技术说明书”

这是最容易混淆的，分两类，核心区别看 “有没有法律效力”：

（1）普通 EN 标准（欧洲标准）

• 由 CEN/CENELEC/ETSI 制定，自愿性，无强制力，只是行业共识，企业可选择用或不用。

（2）Harmonised Standard（协调标准，HS）—— 合规核心

• 制定背景：受欧盟委员会委托制定，必须在欧盟官方公报（OJEU）公告发布。
• 核心特权：符合性推定—— 这是它和普通标准的本质区别！只要你的产品满足协调标准，法律上直接视为符合对应指令 / 法规的基本要求，可直接做 CE 认证，无需额外举证；不用协调标准，就得自己做风险评估、测试，逐条证明合规，举证责任极重。
• 一句话理解：欧盟认可的 “官方技术模板”——“你按这个模板做，我就默认你合规；不按模板做，你就得自己证明没违规”。
• EN 18031 的特殊性：它是 RED 指令下的协调标准，2025 年 1 月 30 日列入 OJEU，2025 年 8 月 1 日起强制适用，专门对应 RED 指令 Article 3 (3)(d)(e)(f) 的网络安全要求。

1. 其他高频相关术语（一次性讲全）

• Decision（决定）：二级立法，直接适用，仅针对特定对象（如某企业、某成员国），一事一议，比如反垄断处罚、特定产品准入许可。
• EHSR（基本健康安全要求）：指令 / 法规里的 “合规底线”，协调标准就是为了落地这些要求制定的。
• OJEU（欧盟官方公报）：协调标准和立法文件的 “法定发布平台”，只有在这里公告的协调标准，才有 “符合性推定” 效力。

三、一张图理清层级关系：

从法律到技术

1. 法律强制力层级（从高到低）

基础条约（TEU/TFEU，最高法）

↓

硬法（必须遵守）：Regulation（条例，直接生效）＞Directive（指令，转化生效）＞Decision（决定，特定对象）

↓

软法（无约束力）：Recommendation（建议）、Opinion（意见）

↓

技术文件（自愿采用，协调标准除外）：普通 EN 标准→Harmonised Standard（协调标准，自愿 + 合规推定）

2. 网络安全合规逻辑链（以 EN 18031 为例）

RED 指令（2014/53/EU）：定 EHSR（Article 3 (3)(d)(e)(f)，网络安全 / 隐私 / 防欺诈）

↓

授权法案（EU 2022/30）：激活条款，明确 2025.8.1 强制执行

↓

协调标准（EN 18031）：提供技术方案，满足即推定合规

↓

企业合规：按 EN 18031 测试→技术文件→CE 认证→欧盟上市

四、常见误区澄清：别再踩坑！

1. 误区 1：

   指令比法规弱，不重要

   错！指令的 EHSR 是合规底线，法规（授权法案）只是给它 “装牙齿”，两者缺一不可，指令是合规的根本依据。

2. 误区 2：

   协调标准是强制的，必须用

   错！协调标准是自愿采用，但不用的话，举证难度翻倍；企业可自主选择 “用协调标准（省事）” 或 “自行举证（麻烦）”。

3. 误区 3：

   EN 标准 = 协调标准

   错！只有被 OJEU 公告、绑定特定指令 / 法规的 EN 标准，才是协调标准；普通 EN 标准无合规推定效力。

五、企业实操建议：

合规不走弯路

1. 第一步：定适用文件

   先明确产品适用的指令（如 RED、LVD）和法规（如 CRA、(EU) 2022/30），列出对应的 EHSR 清单。

2. 第二步：查协调标准

   去 OJEU 查对应指令下的协调标准（如 EN 18031），优先采用 —— 省时省力，举证无忧。

3. 第三步：选合规路径

   ✅ 走协调标准：按标准测试→编写技术文件→CE 认证（简单高效）；

   ❌ 不走协调标准：做风险评估 + 全项测试 + 逐条 EHSR 符合性说明（复杂，举证责任重）。

欧盟的法规、指令、标准，从来不是 “各自为政”，而是“法律定目标、法规强约束、标准给方案”的闭环体系。

下次再看到 EN 18031、(EU) 2022/30、RED 指令条款，再也不用晕 —— 记住它们的绑定关系，就能瞬间理清合规逻辑！

GTG广测集团：全球数字安全合规优选伙伴

别让合规只停留在“拿证”。

面对欧盟 CRA网络弹性法案、AI法案及 GDPR/CCPA/数据法案 等严苛监管，GTG凭借CNAS(L18872)+A2LA(6947.01)双资质及前360/深信服核心网络安全专家团队，为您提供真正的“实战级”防护。

🏆 为什么GTG能为您降本避险？

• 拒绝模板：不只给报告，我们提供定制化漏洞修复方案，确保产品真安全。
• 极致省心：代写核心文档，免除繁琐填表，让合规效率提升70%。
• 全域覆盖：从消费电子到汽车、工控、医疗，一站式解决全球隐私与数据安全难题。

您的全球合规通行证，从这里开始。

[👉 立即咨询 CRA / AI法案 / 隐私合规]

更多相关内容

欢迎关注视频号“GTG网络安全实验室”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：GTG网络安全实验室 GTG-Hardy GTG-Hardy《别再晕了！一篇读懂欧盟法规、指令、标准的千层套路》