(1)

Защитата на мрежата или на нейното функциониране от вреди, защитата на личните данни и неприкосновеността на личния живот на ползвателя и абоната, както и защитата от измами са елементи, които подкрепят защитата срещу рискове във връзка с киберсигурността.

(2)

Както се посочва в съображение 13 от Директива 2014/53/ЕС, защитата на личните данни и неприкосновеността на личния живот на ползвателите и абонатите на радиосъоръжения, както и защитата срещу измами могат да бъдат засилени чрез определени характеристики на радиосъоръженията. Поради това съгласно същото съображение в съответните случаи радиосъоръженията следва да се проектират така, че да притежават тези характеристики.

(3)

В следващите години мрежите от 5-о поколение ще имат основна роля за развитието на цифровата икономика и общество в Съюза и вероятно ще засегнат почти всеки аспект от живота на гражданите на Съюза. В документа, озаглавен „Киберсигурност на 5G мрежите — инструментариум на ЕС от мерки за смекчаване на риска“ (2), е определен евентуален общ набор от мерки, които са в състояние да смекчат основните рискове във връзка с киберсигурността на мрежите от 5-о поколение, и са предоставени насоки за избора на мерки, които следва да представляват приоритет в плановете за смекчаване на рисковете на национално равнище и на равнището на Съюза. В допълнение към тези мерки е много важно да се следва хармонизиран подход по отношение на съществените изисквания, свързани с елементите на защитата за киберсигурност, които са приложими към радиосъоръжения 5G, когато се пускат на пазара на Съюза.

(4)

Равнището на сигурност, приложимо съгласно съществените изисквания на Съюза, определени в член 3, параграф 3, букви г), д) и е) с цел осигуряване на защита на мрежата, на гаранции за защита на личните данни и неприкосновеността на личния живот и на защита от измами, не подкопава високото равнище на сигурност, изисквано на национално равнище по отношение на децентрализираните интелигентни мрежи в областта на енергетиката, където трябва да се използват интелигентни измервателни уреди, подлежащи на тези изисквания, и по отношение на оборудването за мрежите от 5-о поколение, използвано от доставчици на обществени електронни съобщителни мрежи и обществени електронни съобщителни услуги по смисъла на Директива (ЕС) 2018/1972 на Европейския парламент и на Съвета (3).

(5)

Освен това бяха изразени редица опасения по отношение на увеличаващите се рискове във връзка с киберсигурността в резултат на нарастващото използване от специалисти и потребители, включително деца, на радиосъоръжения, които: i) самостоятелно могат да осъществяват комуникация през интернет, независимо дали комуникират пряко или чрез някакво друго оборудване („свързани с интернет радиосъоръжения“), т.е. такива свързани с интернет съоръжения използват протоколи, необходими за обмен на данни с интернет пряко или чрез междинно оборудване; ii) могат да бъдат или играчка с радиофункция, която попада и в обхвата на Директива 2009/48/ЕО на Европейския парламент и на Съвета (4), или са проектирани или предназначени изключително за грижи за деца, като например видеофони; или iii) са проектирани или предназначени, независимо дали изключително или не, да бъдат носени, прикрепени или окачени на която и да е част от човешкото тяло (включително главата, врата, торса, ръцете, китките, краката и стъпалата) или на всякакво облекло (включително за глава, за ръце и обувки), носено от хората, като например радиосъоръжения под формата на ръчен часовник, пръстен, каишка на китката, слушалки или очила („радиосъоръжения за носене“).

(6)

Във връзка с това всички радиосъоръжения за грижи за деца, радиосъоръжения, обхванати от Директива 2009/48/ЕО, или радиосъоръжения за носене, които самостоятелно могат да осъществяват комуникация през интернет, независимо дали комуникират пряко или чрез някакво друго оборудване, следва да се считат за свързани с интернет радиосъоръжения. Например имплантите не следва да се считат за радиосъоръжения за носене, тъй като не са носени, прикрепени или окачени на която и да е част от човешкото тяло или на каквото и да било облекло. Имплантите обаче следва да се считат за свързани с интернет радиосъоръжения, ако самостоятелно могат да осъществяват комуникация през интернет, независимо дали комуникират пряко или чрез някакво друго оборудване.

(7)

Като се имат предвид опасенията, изразени във връзка с факта, че радиосъоръженията не осигуряват защита срещу елементи на рисковете, свързани с киберсигурността, е необходимо съществените изисквания от Директива 2014/53/ЕС, свързани със защитата от вреди за мрежата, защитата на личните данни и неприкосновеността на личния живот на ползвателите и абонатите, както и със защитата от измами, да станат приложими по отношение на радиосъоръжения, попадащи в определени категории или класове.

(8)

Директива 2014/53/ЕС се прилага по отношение на продукти, които отговарят на определението за „радиосъоръжение“ в член 2 от същата директива, като се прилагат специални изключения, посочени в член 1, параграф 2 и член 1, параграф 3 от същата директива. Въпреки че в определението за „радиосъоръжение“ в член 2 от Директива 2014/53/ЕС се посочва съоръжение, което може да осъществява комуникация чрез радиовълни, в Директива 2014/53/ЕС не съществуват изисквания, в които да се прави разграничение между радиофункциите и другите функции на радиосъоръженията, поради което всички аспекти и части на съоръженията следва да отговарят на съществените изисквания, предвидени в настоящия делегиран регламент.

(9)

Що се отнася до вредата за мрежата или нейното функциониране или неправилното използване на мрежови ресурси, неприемливото влошаване на услугите може да се причинява от свързани с интернет радиосъоръжения, които не гарантират, че на мрежите не се нанася вреда или че те не се използват неправилно. Например извършител на кибератаки може злонамерено да „запуши“ интернет мрежата с цел предотвратяване на законния трафик в мрежата, нарушаване на връзките между два радиопродукта, като така се възпрепятства достъпът до услуга, възпрепятстване на определено лице от достъп до услуга, нарушаване на услуга за конкретна система или лице или прекъсване на информация. По този начин влошаването на онлайн услугите може да доведе до злонамерени кибератаки, които водят до увеличаване на разходите, неудобства или рискове за операторите, доставчиците на услуги или ползвателите. Поради това член 3, параграф 3, буква г) от Директива 2014/53/ЕС, в която се изисква радиосъоръжението да не вреди на мрежата или на нейното функциониране и да не използва неправилно мрежови ресурси, като по такъв начин да причинява неприемливо влошаване на услуга, следва да се прилага по отношение на свързаните с интернет радиосъоръжения.

(10)

Също така бяха изразени опасения по отношение на защитата на личните данни и неприкосновеността на личния живот на ползвателя и абоната на свързаните с интернет радиосъоръжения поради способността на тези радиосъоръжения да записват, съхраняват и споделят информация и да взаимодействат с ползвателя, включително децата, когато в тези радиосъоръжения са вградени тонколони, микрофони и други датчици. По-специално тези опасения са свързани със способността на тези радиосъоръжения да записват снимки, видео, данни за местонахождение, данни, свързани с процеса на игра, както и пулс, навици за сън или други лични данни. Например до разширените настройки на радиосъоръженията може да се осъществява достъп чрез парола по подразбиране, ако връзката или данните не са криптирани или ако не е налице надежден механизъм за удостоверяване на самоличността.

(11)

Поради това е важно свързаните с интернет радиосъоръжения, които са пуснати на пазара на Съюза, да включват гаранции с цел гарантиране на защитата на личните данни и неприкосновеността на личния живот, когато с тях могат да се обработват лични данни, както са определени в член 4, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета (5), или данни, определени в член 2, букви б) и в) от Директива 2002/58/ЕО на Европейския парламент и на Съвета (6). Поради това член 3, параграф 3, буква д) от Директива 2014/53/ЕС следва да се прилага по отношение на свързаните с интернет радиосъоръжения.

(12)

В допълнение, по отношение на защитата на личните данни и неприкосновеността на личния живот радиосъоръженията за грижи за деца, радиосъоръженията, обхванати от Директива 2009/48/ЕО, и радиосъоръженията за носене пораждат рискове за сигурността дори при липса на интернет връзка. Личните данни могат да бъдат прихванати, когато радиосъоръженията излъчват или приемат радиовълни, и липсват предпазни мерки, които да осигуряват защита на личните данни и на неприкосновеността на личния живот. С радиосъоръженията за грижи за деца, радиосъоръженията, обхванати от Директива 2009/48/ЕО, и радиосъоръженията за носене могат да се наблюдават и регистрират редица чувствителни (лични) данни на ползвателя във времето и те да бъдат предавани чрез комуникационни технологии, които биха могли да са несигурни. Освен това по отношение на радиосъоръженията за грижи за деца, радиосъоръженията, обхванати от Директива 2009/48/ЕО, и радиосъоръженията за носене следва да се гарантира защита на личните данни и неприкосновеност на личния живот, когато с тях могат да се обработват по смисъла на член 4, параграф 2 от Регламент (ЕС) 2016/679, лични данни, както са определени в член 4, параграф 1 от Регламент (ЕС) 2016/679, или данни за трафик и данни за местонахождение, както са определени в член 2, букви б) и в) от Директива 2002/58/ЕО. Поради това член 3, параграф 3, буква д) от Директива 2014/53/ЕС следва да се прилага по отношение на посочените радиосъоръжения.

(13)

Що се отнася до измамите, информация, съдържаща лични данни, може да бъде открадната от свързани с интернет радиосъоръжения, по отношение на които не е гарантирана защита от измами. Конкретни видове измами засягат свързаните с интернет радиосъоръжения, когато те се използват за извършване на плащания през интернет. Разходите могат да бъда високи и да не засягат единствено лицето, което е пострадало от измамата, но също и обществото като цяло (например разходите за полицейско разследване, разходите за услуги за жертвата, разходите за съдебни процеси за установяване на отговорността). Поради това е необходимо да се гарантират надеждни трансакции и да бъде сведен до минимум рискът от възникване на финансова загуба за ползвателите на свързани с интернет радиосъоръжения, извършващи плащания чрез това радиосъоръжение, както и за получателя на плащането, извършено чрез това радиосъоръжение.

(14)

Свързаните с интернет радиосъоръжения, пуснати на пазара на Съюза, следва да поддържат характеристики за гарантиране на защитата от измами, когато чрез тях собственикът или ползвателят може да превежда парични средства, парична стойност или виртуална валута, както е определена в член 2, буква г) от Директива (ЕС) 2019/713 на Европейския парламент и на Съвета (7). Поради това член 3, параграф 3, буква е) от Директива 2014/53/ЕС следва да се прилага по отношение на посочените радиосъоръжения.

(15)

В Регламент (ЕС) 2017/745 на Европейския парламент и на Съвета (8) се определят правилата за медицинските изделия, а в Регламент (ЕС) 2017/746 на Европейския парламент и на Съвета (9) се определят правилата за медицинските изделия за инвитро диагностика. В двата регламента (ЕС) 2017/745 и (ЕС) 2017/746 се разглеждат някои елементи на рисковете за киберсигурността, свързани с рисковете, посочени в член 3, параграф 3, букви г), д) и е) от Директива 2014/53/ЕС. Поради това радиосъоръженията, по отношение на които се прилага някой от посочените регламенти, не следва да попадат в категориите или класовете радиосъоръжения, които следва да отговарят на съществените изисквания, определени в член 3, параграф 3, букви г), д) и е) от Директива 2014/53/ЕС.

(16)

В Регламент (ЕС) 2019/2144 на Европейския парламент и на Съвета (10) са установени изисквания за одобряване на типа на превозните средства и за техните системи и компоненти. В допълнение, главната цел на Регламент (ЕС) 2018/1139 на Европейския парламент и на Съвета (11) е установяване и поддържане на високо и еднакво равнище на безопасност на гражданското въздухоплаване в Съюза. Също така в Директива (ЕС) 2019/520 на Европейския парламент и на Съвета (12) са установени условията за оперативна съвместимост на електронните системи за пътно таксуване и за улесняване на трансграничния обмен на информация за неплащане на пътни такси в Съюза. В регламенти (ЕС) 2019/2144 и (ЕС) 2018/1139 и Директива (ЕС) 2019/520 се разглеждат елементи на рисковете за киберсигурността, свързани с рисковете, определени в член 3, параграф 3, букви д) и е) от Директива 2014/53/ЕС. Във връзка с това радиосъоръженията, по отношение на които се прилагат регламенти (ЕС) 2019/2144 и (ЕС) 2018/1139 или Директива (ЕС) 2019/520, не следва да попадат в категориите или класовете радиосъоръжения, които следва да отговарят на съществените изисквания, определени в член 3, параграф 3, букви д) и е) от Директива 2014/53/ЕС.

(17)

В член 3 от Директива 2014/53/ЕС са предвидени съществени изисквания, които стопанските субекти трябва да спазват. С оглед улесняване на оценяването на съответствието с тези изисквания в нея се предвижда презумпция за съответствие на радиосъоръженията, които изпълняват изискванията на доброволните хармонизирани стандарти, приети в съответствие с Регламент (ЕС) № 1025/2012 на Европейския парламент и на Съвета (13) с цел определяне на подробни технически спецификации по отношение на тези изисквания. В спецификациите ще бъде взето предвид и разгледано равнището на рисковете, които съответстват на предвидената употреба на всяка категория или клас радиосъоръжения, обхванати от настоящия регламент.

(18)

На икономическите оператори следва да бъде предоставено достатъчно време за приспособяване към изискванията на настоящия регламент. Поради това прилагането на настоящия регламент следва да бъде отложено. Настоящият регламент не следва да възпрепятства икономическите оператори да го спазват от датата на влизането му в сила.

(19)

Комисията проведе подходящи консултации по време на подготвителната работа по мерките, определени в настоящия регламент, и се консултира с експертната група по радиосъоръженията.