Resumo

A partir de 1º de agosto de 2025, as disposições de segurança cibernética da Diretiva de Equipamentos de Rádio (RED) da UE para produtos conectados entrarão em vigor. Para o carregamento de veículos elétricos (VEs), qualquer carregador com Wi-Fi, celular ou BLE deve atender aos requisitos de segurança desde o projeto; dispositivos que processam dados pessoais devem adicionar proteções de privacidade; e produtos que permitem pagamentos devem implementar controles antifraude.

A Comissão Europeia listou a norma EN 18031-1/-2/-3:2024 como normas harmonizadas para presumir a conformidade. As listagens do Jornal Oficial incluem restrições, portanto, apenas cláusulas normativas aplicadas corretamente conferem presunção. Dispositivos sem módulos sem fio geralmente estão fora do Artigo 3(3), mas a conformidade em nível de sistema ainda se aplica ao carregador como um todo.

O que mudou e por que isso é importante

• O escopo agora vai além da conformidade com RF. A funcionalidade conectada traz controles obrigatórios de segurança, privacidade e antifraude.

• Existe uma rota de conformidade clara. A adoção da EN 18031 pode fornecer presunção; caso contrário, utilize uma rota de Organismo Notificado.

• As aquisições serão mais rigorosas. Licitações e auditorias da UE solicitarão atualizações assinadas, políticas de credenciais, SBOM, tratamento de vulnerabilidades e orientação ao usuário.

Quem é afetado no ecossistema de carregamento

• Carregadores CC e CA com conectividade incorporada (LTE, Wi-Fi, BLE).

• Recursos integrados de back-office que dependem de credenciais de dispositivos, logs ou atualizações OTA.

• Carregadores que aceitam pagamentos ad-hoc ou suportam tokens de pagamento.

• Acessórios de hardware sem módulos sem fio geralmente estão fora do escopo, enquanto o carregador como um sistema permanece no escopo.

Datas e marcos importantes

Nota: As listagens da norma EN 18031 no Jornal Oficial incluem restrições; somente disposições normativas aplicadas corretamente garantem presunção de conformidade.

Marco | O que isso significa para o carregamento de veículos elétricos

30 de janeiro de 2025 | EN 18031-1/-2/-3:2024 listada no Diário Oficial, permitindo a presunção de conformidade quando aplicada corretamente.

1º de agosto de 2025 | As disposições de segurança cibernética RED (Artigos 3(3)(d)(e)(f)) são aplicáveis ​​aos equipamentos de rádio dentro do escopo, incluindo carregadores conectados.

2025–2026 | Fabricantes e operadores alinham pacotes de documentação (avaliação de risco, relatórios de teste, SBOM, política de atualização) e implementam o reforço de campo.

Critérios de avaliação de fornecedores para carregadores de veículos elétricos em conformidade com a norma EU RED (lista de verificação EN 18031)

Use a seguinte lista de verificação EN 18031 para revisar sistemas rapidamente.

Segurança e atualizações de firmware (imagens assinadas, proteção contra reversão, canais criptografados, rotação de chaves).

Esclarecimento: previna códigos não autorizados e garanta uma recuperação segura.

Controle de acesso (sem senhas padrão ou vazias, alteração no primeiro login, bloqueio e limitação de taxa, contas com privilégios mínimos).

Clarificador: bloqueia arrombamentos fáceis e limita o movimento lateral.

Proteção contra abuso de rede para OCPP/MQTT/HTTPS (limitação, detecção de anomalias, salvaguardas de repetição e inundação, serviços reforçados).

Esclarecimento: pare o registro de botnets e tempestades de tráfego.

Privacidade e registros (minimização de dados, cronogramas de retenção, aviso de privacidade voltado para o usuário, exportação segura de registros).

Clarificador: colete apenas o que você precisa e guarde em local seguro.

Pagamentos, se presentes (criptografia e assinatura de ponta a ponta, design inviolável, controle duplo para reembolsos e liquidações).

Esclarecimento: proteja a transferência de valor e reduza o risco de fraude.

Pacote de evidências (matriz de cobertura EN 18031, relatórios de teste, divulgação de vulnerabilidades e SLAs de patch, seção de segurança do manual do usuário, Declaração de Conformidade da UE, índice de arquivos técnicos).

Esclarecimento: mostre provas, não promessas.

Mapa de requisitos para casos de uso

Requisito RED | Caso típico de uso de carregamento de VE | Exemplos de controles aceitáveis

3(3)(d) Uso indevido da rede | Impedir o registro de botnet ou DDoS por meio do modem do carregador | Firewall, limites de taxa, autenticação mútua TLS, serviços reforçados

3(3)(e) Proteção de dados | Manipulação de identificadores de motorista, dados de sessão, metadados | Minimização de dados, pseudonimização, registro de acesso, política de retenção

3(3)(f) Prevenção de fraudes | Pagamentos ad hoc com código QR ou cartão | Provas criptográficas, elementos seguros ou HSM, duplo controlo sobre reembolsos

Como operacionalizar a conformidade (fluxo pronto para o campo)

Identificar escopo → Avaliação de ameaças e lacunas → Implementar controles (firmware, credenciais, comunicações, pagamento, privacidade) → Validar (testes internos e, se necessário, um Órgão Notificado) → Compilar arquivo técnico (análise de risco, SBOM, relatórios de teste, mapeamento EN 18031, instruções do usuário) → Emitir DoC e rótulo da UE → Monitorar e corrigir com SLAs de divulgação e remediação definidos.

Plano de ação de 30–60–90 dias

Dias 0–30: Confirmar quais modelos incluem módulos sem fio; mapear a aplicabilidade do Artigo 3(3)(d)(e)(f); elaborar o SBOM e a avaliação de risco inicial; alinhar a cobertura EN 18031.

Dias 31 a 60: Políticas de credenciais de envio e atualização segura; reforço do OCPP/MQTT/HTTPS; minimização e documentação de dados; definição de controles de fraude para fluxos de pagamento; agendamento de revisão por terceiros ou pelo Órgão Notificado, caso não esteja totalmente alinhado à EN 18031.

Dias 61–90: finalizar testes, arquivo técnico e DoC da UE; rotular e liberar; testar o reforço de campo em locais selecionados; publicar SLAs de tratamento de vulnerabilidades e patches.

Impacto nos roteiros de produtos

• Os carregadores habilitados para 15118 e os back-ends OCPP 2.x enfatizarão um tratamento mais forte de credenciais e certificados.

• Os RFPs levarão em conta as operações de atualização de segurança e a qualidade das evidências tanto quanto o poder nominal.

• Uma OTA confiável reduz as visitas ao local e oferece menor custo de vida útil.

Nota do Workersbee

A Workersbee apoia projetos com foco na UE com conjuntos de conectores e cabos e alinha as orientações de integração de carregadores com os controles de segurança cibernética RED. Para programas de corrente contínua que buscam a presunção de conformidade, nossa equipe de engenharia pode fornecer uma lista de verificação concisa de cobertura da EN 18031 e exemplos de redação de arquivo técnico por meio das seguintes âncoras: Orientação de engenharia da Workersbee, Conhecimento técnico do conector CC da Workersbee.

Perguntas frequentes

P: Se um carregador não tiver recurso de pagamento, o Artigo 3(3)(f) ainda se aplica?

R: Não. Apenas dispositivos que permitem pagamentos ou transferência de valor monetário se enquadram no 3(3)(f). O mesmo carregador ainda pode precisar atender aos 3(3)(d) e 3(3)(e).

P: Preciso de um Organismo Notificado se adotar completamente a EN 18031?

R: A aplicação plena e correta das normas harmonizadas pode garantir a presunção. Se houver apenas adoção parcial ou incerteza, a abordagem do Organismo Notificado reduz o risco.

P: As restrições do OJ significam que a EN 18031 sozinha é sempre suficiente?

R: Não. Somente cláusulas normativas aplicadas corretamente conferem presunção. Se você se desviar ou se deparar com casos ambíguos, utilize a via de um Órgão Notificado.

P: Quais evidências os auditores geralmente solicitam primeiro?

R: Política de atualização assinada, política de senha, SBOM, fluxo de trabalho de tratamento de vulnerabilidades, tabela de mapeamento EN 18031 e Declaração de Conformidade da UE.