(1)

Verkon tai sen toiminnan suojaaminen haitoilta, käyttäjän ja tilaajan henkilötietojen ja yksityisyyden suoja sekä suojaaminen petoksilta tukevat kyberturvallisuusriskeiltä suojaamista.

(2)

Kuten direktiivin 2014/53/EU johdanto-osan 13 kappaleessa todetaan, radiolaitteiden käyttäjien ja tilaajien henkilötietojen ja yksityisyyden suojaa ja suojaa petoksilta voidaan tehostaa radiolaitteiden erityisillä ominaisuuksilla. Kyseisen perustelukappaleen mukaan radiolaitteet olisi sen vuoksi asianmukaisissa tapauksissa suunniteltava niin, että ne tukevat näitä ominaisuuksia.

(3)

Tulevina vuosina 5G:llä on keskeinen rooli unionin digitaalitalouden ja -yhteiskunnan kehittämisessä, ja sillä voi olla vaikutusta lähes kaikkiin unionin kansalaisten elämän osa-alueisiin. 5G-verkkojen kyberturvallisuuteen liittyvässä EU:n riskinhallintatoimenpiteiden välineistössä (2) yksilöidään mahdolliset yhteiset toimenpiteet, joilla voidaan vähentää 5G-verkkojen tärkeimpiä kyberturvallisuusriskejä, ja annetaan opastusta sellaisten toimenpiteiden valintaa varten, jotka olisi asetettava etusijalle kansallisen ja unionin tason riskinhallintasuunnitelmissa. Näiden toimenpiteiden lisäksi on erittäin tärkeää, että kun 5G-radiolaitteita saatetaan unionin markkinoille, noudatetaan yhdenmukaista lähestymistapaa olennaisiin vaatimuksiin, jotka liittyvät kyseisiin laitteisiin sovellettaviin kyberturvallisuuden suojelun osatekijöihin.

(4)

Turvallisuuden taso, jota sovelletaan 3 artiklan 3 kohdan d, e ja f alakohdassa säädettyjen unionin olennaisten vaatimusten nojalla ja jolla pyritään varmistamaan verkon suojaaminen, käyttäjän ja tilaajan henkilötietojen ja yksityisyyden suojan takaavat turvalaitteet sekä petoksilta suojaaminen, ei saa heikentää kansallisella tasolla edellytettyä korkeaa turvallisuustasoa, kun on kyse hajautetuista älykkäistä energiaverkoista, joissa käytetään kyseisten vaatimusten soveltamisalaan kuuluvia älykkäitä mittareita, sekä 5G-verkkolaitteista, joita käyttävät Euroopan parlamentin ja neuvoston direktiivissä (EU) 2018/1972 (3) tarkoitettujen yleisten sähköisten viestintäverkkojen ja yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajat.

(5)

Lisäksi on esitetty useita huolia kyberturvallisuusriskien lisääntymisestä sen vuoksi, että ammattilaiset ja kuluttajat, myös lapset, käyttävät yhä enemmän radiolaitteita, jotka i) pystyvät viestimään internetin kautta, riippumatta siitä, tapahtuuko viestintä suoraan vai jonkin toisen laitteen välityksellä, jäljempänä ’internetiin liitettävät radiolaitteet’, toisin sanoen tällaiset internetiin liitettävät laitteet käyttävät yhteyskäytäntöjä, jotka ovat tarpeen tietojen vaihtamiseksi internetin kanssa joko suoraan tai välilaitteiston välityksellä, ii) voivat olla joko radiotoiminnolla varustettuja leluja, jotka kuuluvat myös Euroopan parlamentin ja neuvoston direktiivin 2009/48/EY (4) soveltamisalaan, tai yksinomaan lastenhoitoon suunniteltuja tai tarkoitettuja laitteita, kuten itkuhälyttimet, tai iii) on suunniteltu tai tarkoitettu käytettäväksi yksinomaan tai ei yksinomaan puettuina, kiinnitettyinä hihnalla tai ripustettuina mihin tahansa käyttäjän kehon osaan (mukaan lukien pää, kaula, vartalo, käsivarret, kädet, jalat ja jalkaterät) tai ihmisten käyttämissä vaatteissa (mukaan lukien päähineet, käsineet ja jalkineet), kuten rannekelloissa, sormuksissa, rannekkeissa, kuulokkeissa, korvakuulokkeissa tai silmälaseissa olevat radiolaitteet, jäljempänä ’puettavat radiolaitteet’.

(6)

Tässä yhteydessä kaikki lastenhoitoon tarkoitetut radiolaitteet, direktiivin 2009/48/EY soveltamisalaan kuuluvat radiolaitteet ja puettavat radiolaitteet, jotka pystyvät viestimään internetin kautta, riippumatta siitä, tapahtuuko viestintä suoraan vai jonkin toisen laitteen välityksellä, olisi katsottava internetiin liitettäviksi radiolaitteiksi. Esimerkiksi implantteja ei pitäisi katsoa puettaviksi radiolaitteiksi, koska niitä ei käytetä puettuina, hihnalla kiinnitettyinä tai ripustettuina ihmiskehon osiin eikä vaatteissa. Implantit olisi kuitenkin katsottava internetiin liitettäviksi radiolaitteiksi, jos ne pystyvät viestimään internetin kautta, riippumatta siitä, tapahtuuko viestintä suoraan vai jonkin toisen laitteen välityksellä.

(7)

Koska on tullut esiin huolia siitä, että radiolaitteet eivät varmista suojaa kyberturvallisuusriskeihin liittyviltä tekijöiltä, on tarpeen säätää, että tiettyihin luokkiin kuuluviin radiolaitteisiin sovelletaan direktiivin 2014/53/EU olennaisia vaatimuksia, jotka liittyvät suojaan verkolle aiheutuvilta vahingoilta, käyttäjien ja tilaajien henkilötietojen ja yksityisyyden suojaan sekä petoksilta suojaamiseen.

(8)

Direktiiviä 2014/53/EU sovelletaan tuotteisiin, jotka täyttävät kyseisen direktiivin 2 artiklan mukaisen ’radiolaitteen’ määritelmän, jollei kyseisen direktiivin 1 artiklan 2 ja 3 kohdassa säädetyistä erityisistä poikkeuksista muuta johdu. Direktiivin 2014/53/EU 2 artiklassa olevassa radiolaitteen määritelmässä viitataan laitteisiin, jotka voivat viestiä radioaaltojen välityksellä, mutta missään kyseisen direktiivin vaatimuksissa ei tehdä eroa radiolaitteen radiotoimintojen ja muiden toimintojen välillä, minkä vuoksi laitteiden kaikkien näkökohtien ja osien olisi oltava tässä delegoidussa asetuksessa säädettyjen olennaisten vaatimusten mukaisia.

(9)

Kun on kyse verkolle tai sen toiminnalle aiheutuvista vahingoista tai verkkoresurssien väärinkäytöstä, sellaiset internetiin liitettävät radiolaitteet, jotka eivät takaa, että ne eivät vahingoita verkkoja eivätkä käytä väärin verkkoresursseja, voivat aiheuttaa kohtuutonta palvelujen heikentymistä. Verkkohyökkääjä voi esimerkiksi vahingoittamistarkoituksessa hukuttaa internetverkon liikennetulvaan estääkseen laillisen verkkoliikenteen, häiritä kahden radiotuotteen välisiä yhteyksiä ja estää näin pääsyn tiettyyn palveluun, estää tiettyä henkilöä pääsemästä johonkin palveluun, häiritä tietylle järjestelmälle tai henkilölle annettavaa palvelua tai häiritä tietoja. Verkkopalvelujen heikkeneminen voi siten johtaa vihamielisiin kyberhyökkäyksiin, jotka lisäävät operaattoreille, palveluntarjoajille tai käyttäjille aiheutuvia kustannuksia, haittoja tai riskejä. Sen vuoksi internetiin liitettäviin radiolaitteisiin olisi sovellettava direktiivin 2014/53/EU 3 artiklan 3 kohdan d alakohtaa, jossa edellytetään, että radiolaite ei vahingoita verkkoa tai sen toimintaa eikä käytä väärin verkkoresursseja ja aiheuta näin kohtuutonta palvelun heikentymistä.

(10)

Huolia on tuotu esiin myös internetiin liitettävien radiolaitteiden käyttäjän ja tilaajan henkilötietojen ja yksityisyyden suojasta, koska radiolaitteet pystyvät tallentamaan, tallettamaan ja jakamaan tietoja ja olemaan vuorovaikutuksessa käyttäjän, myös lasten, kanssa, kun kyseiseen radiolaitteeseen on integroitu kaiuttimia, mikrofoneja ja muita antureita. Nämä huolet liittyvät erityisesti radiolaitteen kykyyn tallentaa valokuvia, videoita, paikannustietoja, leikkimiseen liittyviä tietoja sekä sydämensykettä, nukkumistottumuksia tai muita henkilötietoja. Esimerkiksi radiolaitteen lisäasetuksiin pääsee käsiksi oletussalasanalla, jos yhteyttä tai tietoja ei salata tai jos käytössä ei ole vahvaa todentamismenettelyä.

(11)

Siksi on tärkeää, että unionin markkinoille saatettavissa internetiin liitettävissä radiolaitteissa on turvalaitteet henkilötietojen ja yksityisyyden suojan varmistamiseksi, jos ne pystyvät käsittelemään Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (5) 4 artiklan 1 kohdassa määriteltyjä henkilötietoja tai Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (6) 2 artiklan b ja c alakohdassa määriteltyjä tietoja. Sen vuoksi internetiin liitettäviin radiolaitteisiin olisi sovellettava direktiivin 2014/53/EU 3 artiklan 3 kohdan e alakohtaa.

(12)

Lisäksi lastenhoitoon tarkoitetut radiolaitteet, direktiivin 2009/48/EY soveltamisalaan kuuluvat radiolaitteet ja puettavat radiolaitteet aiheuttavat henkilötietojen ja yksityisyyden suojan kannalta turvallisuusriskejä, vaikka internetyhteyttä ei olisikaan. Henkilötietoja voidaan siepata, kun kyseiset radiolaitteet lähettävät tai vastaanottavat radioaaltoja eikä niissä ei ole turvalaitteita, joilla varmistetaan henkilötietojen ja yksityisyyden suoja. Lastenhoitoon tarkoitetut radiolaitteet, direktiivin 2009/48/EY soveltamisalaan kuuluvat radiolaitteet ja puettavat radiolaitteet voivat seurata ja rekisteröidä useita käyttäjän arkaluonteisia (henkilökohtaisia) tietoja pitkällä aikavälillä ja lähettää niitä edelleen mahdollisesti suojaamattomien viestintäteknologioiden avulla. Lastenhoitoon tarkoitettujen radiolaitteiden, direktiivin 2009/48/EY soveltamisalaan kuuluvien radiolaitteiden ja puettavien radiolaitteiden olisi varmistettava henkilötietojen ja yksityisyyden suoja, kun ne pystyvät asetuksen (EU) 2016/679 4 artiklan 2 kohdassa tarkoitetulla tavalla käsittelemään asetuksen (EU) 2016/679 4 artiklan 1 kohdassa määriteltyjä henkilötietoja tai direktiivin 2002/58/EY 2 artiklan b ja c alakohdassa määriteltyjä liikenne- ja paikkatietoja. Sen vuoksi näihin radiolaitteisiin olisi sovellettava direktiivin 2014/53/EU 3 artiklan 3 kohdan e alakohtaa.

(13)

Internetiin liitettävistä radiolaitteista, jotka eivät takaa suojaa petoksilta, voidaan varastaa tietoja, henkilötiedot mukaan luettuina. Eräät petostyypit uhkaavat internetiin liitettäviä radiolaitteita silloin, kun laitteita käytetään maksujen suorittamiseen internetissä. Kustannukset voivat olla suuria, eivätkä ne koske ainoastaan petoksesta kärsinyttä henkilöä vaan myös koko yhteiskuntaa (esim. poliisitutkinnan kustannukset, petoksen uhrille tarjottavista palveluista aiheutuvat kustannukset ja vastuun määrittämistä koskevien oikeudenkäyntien kustannukset). Sen vuoksi on tarpeen varmistaa maksutapahtumien luotettavuus ja minimoida niiden taloudellisten menetysten riski, joita internetiin liitettävän radiolaitteen kautta suoritettavan maksun maksajalle ja vastaanottajalle voisi syntyä.

(14)

Unionin markkinoille saatettavien internetiin liitettävien radiolaitteiden olisi tuettava ominaisuuksia, joilla varmistetaan suoja petoksilta, kun niiden haltija tai käyttäjä voi siirtää rahaa, rahallista arvoa tai virtuaalivaluuttaa, sellaisena kuin se määritellään Euroopan parlamentin ja neuvoston direktiivin (EU) 2019/713 (7) 2 artiklan d alakohdassa. Sen vuoksi näihin radiolaitteisiin olisi sovellettava direktiivin 2014/53/EU 3 artiklan 3 kohdan f alakohtaa.

(15)

Euroopan parlamentin ja neuvoston asetuksessa (EU) 2017/745 (8) vahvistetaan lääkinnällisiä laitteita koskevat säännöt ja Euroopan parlamentin ja neuvoston asetuksessa (EU) 2017/746 (9) in vitro -diagnostiikkaan tarkoitettuja lääkinnällisiä laitteita koskevat säännöt. Sekä asetuksessa (EU) 2017/745 että asetuksessa (EU) 2017/746 käsitellään tiettyjä kyberturvallisuusriskien osatekijöitä, jotka liittyvät direktiivin 2014/53/EU 3 artiklan 3 kohdan d, e ja f alakohdassa käsiteltyihin riskeihin. Radiolaitteita, joihin sovelletaan kumpaa tahansa kyseisistä asetuksista, ei näin ollen pitäisi lukea niihin radiolaiteluokkiin, joiden olisi oltava direktiivin 2014/53/EU 3 artiklan 3 kohdan e ja f alakohdassa säädettyjen olennaisten vaatimusten mukaisia.

(16)

Euroopan parlamentin ja neuvoston asetuksessa (EU) 2019/2144 (10) vahvistetaan ajoneuvojen sekä niiden järjestelmien ja komponenttien tyyppihyväksyntää koskevat vaatimukset. Euroopan parlamentin ja neuvoston asetuksessa (EU) 2018/1139 (11) on puolestaan päätavoitteena siviili-ilmailun yhtenäisen ja korkean turvallisuustason luominen ja ylläpitäminen unionissa. Lisäksi Euroopan parlamentin ja neuvoston direktiivissä (EU) 2019/520 (12) vahvistetaan edellytykset sähköisten tietullijärjestelmien yhteentoimivuudelle ja tiemaksujen laiminlyöntiä koskevien tietojen rajatylittävän vaihtamisen helpottamiselle unionissa. Asetuksissa (EU) 2019/2144 ja (EU) 2018/1139 sekä direktiivissä (EU) 2019/520 käsitellään kyberturvallisuusriskien osatekijöitä, jotka liittyvät direktiivin 2014/53/EU 3 artiklan 3 kohdan e ja f alakohdassa käsiteltyihin riskeihin. Radiolaitteita, joihin sovelletaan asetuksia (EU) 2019/2144 ja (EU) 2018/1139 tai direktiiviä (EU) 2019/520, ei näin ollen pitäisi lukea niihin radiolaiteluokkiin, joiden olisi oltava direktiivin 2014/53/EU 3 artiklan 3 kohdan e ja f alakohdassa säädettyjen olennaisten vaatimusten mukaisia.

(17)

Direktiivin 2014/53/EU 3 artiklassa säädetään olennaisista vaatimuksista, jotka talouden toimijoiden on täytettävä. Jotta vaatimustenmukaisuuden arviointi kyseisten vaatimusten osalta olisi helpompaa, direktiivissä säädetään vaatimustenmukaisuusolettamasta sellaisten radiolaitteiden osalta, jotka ovat sellaisten yhdenmukaistettujen standardien mukaisia, jotka on vahvistettu Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1025/2012 (13) mukaisesti kyseisiä vaatimuksia vastaavien yksityiskohtaisten teknisten eritelmien ilmaisemista varten. Eritelmissä otetaan huomioon ja käsiteltäväksi riskitaso, joka vastaa kunkin tämän asetuksen soveltamisalaan kuuluvan radiolaiteluokan tai -luokan aiottua käyttötarkoitusta.

(18)

Talouden toimijoille olisi annettava riittävästi aikaa mukautua tämän asetuksen vaatimuksiin. Sen vuoksi tämän asetuksen soveltamista olisi lykättävä. Tämä asetus ei estä talouden toimijoita noudattamasta sitä sen voimaantulopäivästä alkaen.

(19)

Komissio on järjestänyt asianmukaiset kuulemiset tässä asetuksessa säädettyjä toimenpiteitä valmistellessaan ja kuullut radiolaitteita käsittelevää asiantuntijaryhmää,