(1)

Beskyttelse af netværket eller dets funktion mod skade, beskyttelse af personoplysninger og privatliv for brugeren og abonnenten og beskyttelse mod svig er elementer, der understøtter beskyttelse mod risici for cybersikkerheden.

(2)

Som anført i betragtning 13 i direktiv 2014/53/EU kan beskyttelsen af personoplysninger og privatliv for brugere og abonnenter på radioudstyr samt beskyttelsen mod svig styrkes gennem særlige funktioner ved radioudstyr. Ifølge denne betragtning bør radioudstyr derfor i passende tilfælde være konstrueret på en sådan måde, at det understøtter sådanne funktioner.

(3)

5G vil spille en nøglerolle i udviklingen af Unionens digitale økonomi og samfund i de kommende år og vil potentielt påvirke næsten alle aspekter af unionsborgernes liv. Dokumentet med titlen »EU-værktøjskasse til cybersikkerhed i 5G-net« (2) identificerer et muligt fælles sæt af foranstaltninger, der er i stand til at afbøde de vigtigste risici for cybersikkerheden ved 5G-netværk og giver vejledning i udvælgelsen af foranstaltninger, der bør prioriteres i planer for afbødning på nationalt og på EU-plan. Ud over disse foranstaltninger er det meget vigtigt at følge en harmoniseret tilgang til væsentlige krav vedrørende elementer af cybersikkerhedsbeskyttelse, der gælder for 5G-radioudstyr, når det markedsføres på EU-markedet.

(4)

Det sikkerhedsniveau, der er gældende under Unionens væsentlige krav i artikel 3, stk. 3, litra d), e) og f), for at sikre netværksbeskyttelse, foranstaltninger til beskyttelse af personoplysninger og privatliv og beskyttelse mod svig må ikke undergrave det høje sikkerhedsniveau, der kræves på nationalt plan for decentraliserede intelligente netværk på energiområdet, hvor intelligente målere, der er underlagt disse krav, skal anvendes, og for 5G-netudstyr, der bruges af udbydere af offentlige elektroniske kommunikationsnet og elektroniske kommunikationstjenester, der er tilgængelige for offentligheden, jf. definitionen i Europa-Parlamentets og Rådets direktiv (EU) 2018/1972 (3).

(5)

Der er også udtrykt talrige betænkeligheder i forhold til stigende cybersikkerhedsrisici som følge af fagfolks og forbrugeres, herunder børns, øgede brug af radioudstyr, som: i) er i stand til selv at kommunikere over internettet, uanset om det kommunikerer direkte eller via andet udstyr (»internetforbundet radioudstyr«), dvs. at sådant internetforbundet udstyr bruger protokoller, der er nødvendige for at udveksle data med internettet enten direkte eller ved hjælp af et mellemliggende udstyr, ii) enten kan være et legetøj med radiofunktion, der også falder ind under anvendelsesområdet for Europa-Parlamentets og Rådets direktiv 2009/48/EF (4) eller som er udviklet til eller udelukkende beregnet til børnepasning, som f.eks. babyalarmer, eller iii) er udviklet til eller beregnet til, uanset om det udelukkende eller ikke udelukkende skal bæres på, spændes fast til eller hænge fra en hvilken som helst del af menneskekroppen (herunder hovedet, halsen, kroppen, armene, hænderne, benene og fødderne) eller en hvilken som helst slags tøj (herunder hovedbeklædning, handsker/vanter og fodtøj), der bæres af mennesker, såsom radioudstyr i form af armbåndsure, ringe, armbånd, headsets, øretelefoner eller briller (»bærbart radioudstyr«).

(6)

I denne henseende bør alt radioudstyr til børnepasning, radioudstyr omfattet af direktiv 2009/48/EF eller bærbart radioudstyr, som selv er i stand til at kommunikere over internettet, uanset om det kommunikerer direkte eller via andet udstyr, anses for at være internetforbundet radioudstyr. Implantater bør f.eks. ikke betragtes som bærbart radioudstyr, da de ikke bæres på, spændes fast eller hænges på nogen del af menneskekroppen eller tøj. Implantater bør dog anses for at være internetforbundet radioudstyr, hvis de selv er i stand til at kommunikere over internettet, uanset om de kommunikerer direkte eller via andet udstyr.

(7)

I betragtning af de betænkeligheder, der blev peget på, og som skyldes, at radioudstyr ikke sikrer beskyttelse mod elementer af risici for cybersikkerheden, er det nødvendigt at gøre de væsentlige krav i direktiv 2014/53/EU vedrørende beskyttelse mod skade på netværket, beskyttelse af brugeres og abonnenters personoplysninger og privatliv samt beskyttelse mod svig gældende for radioudstyr inden for bestemte kategorier eller klasser.

(8)

Direktiv 2014/53/EU finder anvendelse på produkter, der opfylder definitionen af »radioudstyr« i artikel 2 i nævnte direktiv, med forbehold for særlige undtagelser specificeret i nævnte direktivs artikel 1, stk. 2, og artikel 1, stk. 3. Mens definitionen af radioudstyr i artikel 2 i direktiv 2014/53/EU refererer til udstyr, der kan kommunikere med radiobølger, skelner ingen krav i direktiv 2014/53/EU mellem radiofunktioner og ikke-radiofunktioner i radioudstyret, og derfor bør alle aspekter og dele af udstyret overholde de væsentlige krav i denne delegerede forordning.

(9)

Hvad angår skade på netværket eller dets funktion eller misbrug af netværksressourcer, kan uacceptabel forringelse af tjenester skyldes internetforbundet radioudstyr, der ikke sikrer, at netværk ikke bliver skadet eller ikke misbruges. For eksempel kan en angriber i ond hensigt oversvømme internetnetværket for at forhindre legitim netværkstrafik, forstyrre forbindelserne mellem to radioprodukter og dermed forhindre adgang til en tjeneste, forhindre en bestemt person i at få adgang til en tjeneste, forstyrre en tjeneste til et bestemt system eller en person eller forstyrre oplysninger. Forringelsen af onlinetjenester kan således resultere i ondsindede cyberangreb, hvilket vil føre til øgede omkostninger, gener eller risici for operatører, tjenesteudbydere eller brugere. Artikel 3, stk. 3, litra d), i direktiv 2014/53/EU, der kræver, at radioudstyr ikke skader netværket eller dets funktion eller misbruger netressourcer og derved forårsager en uacceptabel forringelse af tjenesten, bør derfor gælde for internetforbundet radioudstyr.

(10)

Der er også peget på betænkeligheder med hensyn til beskyttelse af personoplysninger og privatliv for brugeren og abonnenten på internetforbundet radioudstyr på grund af radioudstyrets evne til at optage, gemme og dele oplysninger, interagere med brugeren, herunder børn, når højttalere, mikrofoner og andre sensorer er integreret i det pågældende radioudstyr. Disse betænkeligheder vedrører især radioudstyrets evne til at registrere fotos, videoer, lokaliseringsdata, data knyttet til afspilningsoplevelsen samt hjertefrekvens, sovevaner eller andre personlige data. For eksempel kan man få adgang til avancerede indstillinger for radioudstyret via en standardadgangskode, hvis forbindelsen eller dataene ikke er krypteret, eller hvis der ikke er en stærk autentificeringsmekanisme.

(11)

Det er derfor vigtigt, at internetforbundet radioudstyr, der markedsføres på EU-markedet, indeholder sikkerhedsforanstaltninger for at sikre, at personoplysninger og privatliv beskyttes, når de er i stand til at behandle personoplysninger som defineret i artikel 4, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (5) eller data defineret i artikel 2, litra b) og c), i Europa-Parlamentets og Rådets direktiv 2002/58/EF (6). Artikel 3, stk. 3, litra e), i direktiv 2014/53/EU bør derfor finde anvendelse på internetforbundet radioudstyr.

(12)

Med hensyn til beskyttelse af personoplysninger og privatliv udgør radioudstyr til børnepasning, radioudstyr omfattet af direktiv 2009/48/EF og bærbart radioudstyr sikkerhedsrisici selv i mangel af internetforbindelse. Personoplysninger kan opsnappes, når dette radioudstyr udsender eller modtager radiobølger og mangler sikkerhedsforanstaltninger, der sikrer personoplysninger og beskyttelse af fortrolige oplysninger. Radioudstyret til børnepasning, det radioudstyr, der er omfattet af direktiv 2009/48/EF, og det bærbare radioudstyr kan overvåge og registrere et antal af brugerens følsomme (personlige) data over tid og videresende disse via kommunikationsteknologier, der kan være usikre. Radioudstyret til børnepasning, det radioudstyr, der er omfattet af direktiv 2009/48/EF, og det bærbare radioudstyr bør også sikre beskyttelse af personoplysninger og privatliv, når det er i stand til, i henhold til artikel 4, stk. 2, i forordning (EU) 2016/679, at behandle personoplysninger som defineret i artikel 4, stk. 1, i forordning (EU) 2016/679 eller trafikdata og lokaliseringsdata, som defineret i artikel 2, litra b) og c), i direktiv 2002/58/EF. Artikel 3, stk. 3, litra e), i direktiv 2014/53/EU bør derfor finde anvendelse på dette radioudstyr.

(13)

Med hensyn til svig kan oplysninger, herunder personoplysninger, blive stjålet fra internetforbundet radioudstyr, som ikke sikrer beskyttelse mod svig. Specifikke former for svig vedrører internetforbundet radioudstyr, når det bruges til at foretage betalinger over internettet. Omkostningerne kan være høje og vedrører ikke kun den person, svigen går ud over, men også samfundet som helhed (f.eks. omkostningerne ved politiets efterforskning, omkostningerne ved offerydelser, omkostningerne ved retssager for at fastslå ansvar). Det er derfor nødvendigt at sikre troværdige transaktioner og minimere risikoen for økonomisk tab for brugerne af internetforbundet radioudstyr, der udfører betalingen via dette radioudstyr og modtageren af betalingen, der udføres via det pågældende radioudstyr.

(14)

Internetforbundet radioudstyr, der markedsføres på EU-markedet, bør understøtte funktioner til sikring af beskyttelse mod svig, når det gør det muligt for indehaveren eller brugeren at overføre penge, pengeværdi eller virtuel valuta som defineret i artikel 2, litra d), i Europa-Parlamentets og Rådets direktiv (EU) 2019/713 (7). Artikel 3, stk. 3, litra f), i direktiv 2014/53/EU bør derfor finde anvendelse på dette radioudstyr.

(15)

Europa-Parlamentets og Rådets forordning (EU) 2017/745 (8) fastsætter regler om medicinsk udstyr, og Europa-Parlamentets og Rådets forordning (EU) 2017/746 (9) fastsætter regler om medicinsk udstyr til in vitro-diagnostik. Begge forordninger (EU) 2017/745 og (EU) 2017/746 omhandler visse elementer af cybersikkerhedsrisici forbundet med de risici, der behandles i artikel 3, stk. 3, litra d), e) og f), i direktiv 2014/53/EU. Radioudstyr, som en af disse forordninger finder anvendelse på, bør derfor ikke falde inden for de kategorier eller klasser af radioudstyr, som skal overholde de væsentlige krav i artikel 3, stk. 3, litra d), e) og f), i direktiv 2014/53/EU.

(16)

Europa-Parlamentets og Rådets forordning (EU) 2019/2144 (10) fastsætter krav til typegodkendelse af køretøjer og deres systemer og komponenter. Derudover er hovedformålet med Europa-Parlamentets og Rådets forordning (EU) 2018/1139 (11) at etablere og opretholde et højt ensartet niveau for civil luftfartssikkerhed i Unionen. Desuden fastsætter Europa-Parlamentets og Rådets direktiv (EU) 2019/520 (12) betingelserne for interoperabilitet mellem elektroniske vejafgiftsordninger og for at lette grænseoverskridende udveksling af oplysninger om manglende betaling af vejafgifter i Unionen. Forordning (EU) 2019/2144 og (EU) 2018/1139 og direktiv (EU) 2019/520 omhandler visse elementer af cybersikkerhedsrisici forbundet med de risici, der omtales i artikel 3, stk. 3, litra e) og f), i direktiv 2014/53/EU. Radioudstyr, som forordning (EU) 2019/2144 og (EU) 2018/1139 eller direktiv (EU) 2019/520 finder anvendelse på, bør derfor ikke falde inden for kategorier eller klasser af radioudstyr, der skal overholde de væsentlige krav i artikel 3, stk. 3, litra e) og f), i direktiv 2014/53/EU.

(17)

Ved artikel 3 i direktiv 2014/53/EU fastsættes der væsentlige krav, som økonomiske aktører skal overholde. Med henblik på at gøre det lettere at vurdere overensstemmelsen med disse krav fastsættes der deri bestemmelser om en formodning om overensstemmelse for radioudstyr, som er i overensstemmelse med de frivillige harmoniserede standarder, der er vedtaget i henhold til Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012 (13), når der skal fastsættes detaljerede tekniske specifikationer af disse krav. Specifikationerne vil tage hensyn til og behandle det risikoniveau, der svarer til den påtænkte anvendelse af hver kategori eller klasse af radioudstyr, der er berørt af denne forordning.

(18)

Økonomiske aktører bør have tilstrækkelig tid til at tilpasse sig kravene i denne forordning. Anvendelsen af denne forordning bør derfor udskydes. Denne forordning er ikke til hinder for, at økonomiske aktører overholder den fra datoen for dens ikrafttræden.

(19)

Kommissionen har gennemført passende høringer under det forberedende arbejde med foranstaltningerne i denne forordning og har hørt ekspertgruppen for radioudstyr —