Samenvatting

Vanaf 1 augustus 2025 zijn de cyberbeveiligingsbepalingen van de EU-richtlijn voor radioapparatuur (RED) voor connected producten van kracht. Voor het opladen van elektrische voertuigen moet elke lader met wifi, mobiel netwerk of BLE voldoen aan de 'security-by-design'-vereisten; apparaten die persoonsgegevens verwerken, moeten privacybescherming bieden; en producten die betalingen mogelijk maken, moeten antifraudemaatregelen implementeren.

De Europese Commissie heeft EN 18031-1/-2/-3:2024 als geharmoniseerde norm aangemerkt om conformiteit te veronderstellen. De PB-vermeldingen bevatten beperkingen, dus alleen correct toegepaste normatieve clausules verlenen een vermoeden van conformiteit. Apparaten zonder draadloze modules vallen over het algemeen buiten artikel 3(3), maar conformiteit op systeemniveau geldt nog steeds voor de lader als geheel.

Wat is er veranderd en waarom is dat belangrijk?

• Het toepassingsgebied reikt nu verder dan RF-compliance. Verbonden functionaliteit omvat verplichte beveiligings-, privacy- en antifraudemaatregelen.

• Er is een duidelijke conformiteitsroute. Het toepassen van EN 18031 kan een vermoeden opleveren; anders kunt u een route via een aangemelde instantie gebruiken.

• De aanbestedingsprocedures worden strenger. Bij EU-aanbestedingen en audits wordt gevraagd om ondertekende updates, inloggegevensbeleid, SBOM, kwetsbaarheidsbehandeling en gebruikersbegeleiding.

Wie wordt er beïnvloed door het laadecosysteem?

• DC- en AC-laders met ingebouwde connectiviteit (LTE, Wi-Fi, BLE).

• Geïntegreerde backofficefuncties die afhankelijk zijn van apparaatreferenties, logboeken of OTA-updates.

• Opladers die ad-hocbetalingen accepteren of betaaltokens ondersteunen.

• Hardwareaccessoires zonder draadloze modules vallen doorgaans buiten het bereik, terwijl de oplader als systeem wel binnen het bereik blijft.

Belangrijke data en mijlpalen

Let op: De vermeldingen in het PB van EN 18031 bevatten beperkingen; alleen correct toegepaste normatieve bepalingen verlenen een vermoeden van conformiteit.

Mijlpaal | Wat het betekent voor het opladen van elektrische voertuigen

30 januari 2025 | EN 18031-1/-2/-3:2024 opgenomen in het Publicatieblad, waardoor bij correcte toepassing het vermoeden van conformiteit mogelijk is.

1 augustus 2025 | De RED-bepalingen inzake cyberbeveiliging (artikelen 3(3)(d)(e)(f)) zijn afdwingbaar voor radioapparatuur die binnen het toepassingsgebied valt, inclusief aangesloten opladers.

2025–2026 | Fabrikanten en exploitanten stemmen documentatiepakketten (risicobeoordeling, testrapporten, SBOM, updatebeleid) op elkaar af en voeren veldverharding uit.

Criteria voor leveranciersbeoordeling van EU RED-conforme EV-laders (EN 18031-checklist)

Gebruik de volgende EN 18031-checklist om systemen snel te beoordelen.

Firmwarebeveiliging en updates (ondertekende afbeeldingen, rollback-beveiliging, gecodeerde kanalen, sleutelrotatie).

Verduidelijker: voorkom ongeautoriseerde code en zorg voor veilig herstel.

Toegangscontrole (geen standaardwachtwoorden of lege wachtwoorden, wijziging bij eerste aanmelding, blokkering en snelheidsbeperking, accounts met de minste rechten).

Ophelderaar: blokkeert inbraak en beperkt de zijwaartse beweging.

Bescherming tegen netwerkmisbruik voor OCPP/MQTT/HTTPS (beperking, detectie van afwijkingen, beveiliging tegen herhaling en overstroming, versterkte services).

Verduidelijking: stop botnet-inschrijving en verkeersstormen.

Privacy en logs (gegevensminimalisatie, bewaartermijnen, privacyverklaring voor de gebruiker, veilige export van logs).

Verduidelijker: verzamel alleen wat u nodig hebt en bewaar het op een veilige plaats.

Betalingen, indien aanwezig (end-to-end-encryptie en ondertekening, fraudebestendig ontwerp, dubbele controle voor terugbetalingen en verrekeningen).

Verduidelijken: bescherm de waardeoverdracht en verminder het frauderisico.

Bewijsbundel (EN 18031-dekkingsmatrix, testrapporten, openbaarmaking van kwetsbaarheden en patch-SLA's, beveiligingssectie in de gebruikershandleiding, EU-conformiteitsverklaring, index van technische bestanden).

Ter verduidelijking: toon bewijzen, geen beloftes.

Vereisten-naar-gebruiksscenario-kaart

RODE vereiste | Typisch gebruiksscenario voor het opladen van elektrische voertuigen | Voorbeelden van acceptabele controles

3(3)(d) Misbruik van netwerken | Voorkom botnet-inschrijving of DDoS via de oplaadmodem | Firewalling, snelheidslimieten, TLS-wederzijdse authenticatie, geharde diensten

3(3)(e) Gegevensbescherming | Verwerking van bestuurdersidentificatiegegevens, sessiegegevens, metagegevens | Gegevensminimalisatie, pseudonimisering, toegangsregistratie, bewaarbeleid

3(3)(f) Fraudepreventie | QR-code of kaartgebaseerde ad-hocbetalingen | Cryptografische bewijzen, beveiligde elementen of HSM, dubbele controle op terugbetalingen

Hoe compliance operationeel te maken (veldklare stroom)

Bepaal de reikwijdte → Beoordeling van bedreigingen en hiaten → Implementeer controles (firmware, inloggegevens, communicatie, betaling, privacy) → Valideer (interne tests en indien nodig een aangemelde instantie) → Stel een technisch dossier samen (risicoanalyse, SBOM, testrapporten, EN 18031-mapping, gebruiksaanwijzingen) → Geef een EU-DoC en -label uit → Monitor en patch met gedefinieerde SLA's voor openbaarmaking en herstel.

Actieplan voor 30-60-90 dagen

Dag 0–30: Bevestig welke modellen draadloze modules bevatten; breng de toepasbaarheid van artikel 3(3)(d)(e)(f) in kaart; stel het SBOM en de eerste risicobeoordeling op; breng de dekking van EN 18031 in kaart.

Dag 31–60: Verzend inloggegevensbeleid en beveiligde updates; verbeter OCPP/MQTT/HTTPS; minimaliseer en documenteer gegevens; definieer fraudecontroles voor betalingsstromen; plan een beoordeling door een externe partij of een aangemelde instantie als deze niet volledig is afgestemd op EN 18031.

Dag 61–90: Voltooi de tests, het technische dossier en de EU DoC; label en release; pilot-veldverharding op geselecteerde locaties; publiceer de aanpak van kwetsbaarheden en patch-SLA's.

Impact op productroadmaps

• Opladers met 15118-ondersteuning en OCPP 2.x-back-ends zorgen voor een krachtigere verwerking van referenties en certificaten.

• Bij RFP's wordt evenveel waarde gehecht aan beveiligingsupdates en de kwaliteit van het bewijs als aan de officiële kracht.

• Betrouwbare OTA vermindert het aantal sitebezoeken en zorgt voor lagere levensduurkosten.

Workersbee-notitie

Workersbee ondersteunt EU-projecten met connector- en kabelassemblages en stemt de richtlijnen voor laderintegratie af op de RED-cybersecuritymaatregelen. Voor DC-programma's die een vermoeden van conformiteit nastreven, kan ons engineeringteam een ​​beknopte EN 18031-dekkingschecklist en voorbeeldteksten voor technische dossiers leveren via de volgende bronnen: Workersbee-engineeringrichtlijnen, Workersbee DC-connectorkennis.

Veelgestelde vragen

V: Als een oplader geen betaalfunctie heeft, is artikel 3(3)(f) dan nog steeds van toepassing?

A: Nee. Alleen apparaten die betalingen of overdracht van geld mogelijk maken, vallen onder 3(3)(f). Dezelfde oplader moet mogelijk nog steeds voldoen aan 3(3)(d) en 3(3)(e).

V: Heb ik een aangemelde instantie nodig als ik EN 18031 volledig implementeer?

A: Volledige en correcte toepassing van de geharmoniseerde normen kan een vermoeden rechtvaardigen. Indien er slechts gedeeltelijke toepassing is of er onzekerheid bestaat, vermindert de route via een aangemelde instantie het risico.

V: Betekenen de OJ-beperkingen dat EN 18031 alleen altijd voldoende is?

A: Nee. Alleen correct toegepaste normatieve clausules verlenen een vermoeden. Als u afwijkt of te maken krijgt met onduidelijke gevallen, gebruik dan de route van een aangemelde instantie.

V: Welk bewijsmateriaal vragen accountants doorgaans als eerste op?

A: Beleid voor ondertekende updates, wachtwoordbeleid, SBOM, workflow voor het omgaan met kwetsbaarheden, EN 18031-toewijzingstabel en de EU-conformiteitsverklaring.