(1)

A hálózat vagy annak működése sérelmektől való védelme, a felhasználók és az előfizetők személyes adatainak és magánéletének védelme, valamint a csalás elleni védelem olyan elemek, amelyek támogatják a kiberbiztonsági kockázatokkal szembeni védelmet.

(2)

A 2014/53/EU irányelv (13) preambulumbekezdése szerint a rádióberendezések felhasználói és előfizetői személyes adatainak és magánéletének védelme, valamint a csalással szembeni védelem a rádióberendezések egyedi funkciói által javítható. A hivatkozott preambulumbekezdés szerint a rádióberendezéseket a megfelelő esetekben tehát úgy kell megtervezni, hogy támogassák ezeket a funkciókat.

(3)

Az 5G az elkövetkező években kulcsszerepet fog játszani az Unió digitális gazdaságának és társadalmának fejlődésében, és potenciálisan hatással lesz az uniós polgárok életének szinte minden vonatkozására. „Az 5G hálózatok kiberbiztonsága – Kockázatcsökkentő intézkedések uniós eszköztára” (2) című dokumentum olyan lehetséges közös intézkedéscsomagot határoz meg, amely képes enyhíteni az 5G hálózatok fő kiberbiztonsági kockázatait, és iránymutatást nyújt azon intézkedések kiválasztásához, amelyeket a nemzeti és uniós szintű kockázatcsökkentési tervekben prioritásként kell kezelni. Ezen intézkedések mellett nagyon fontos az 5G rádióberendezésekre az uniós piacon történő forgalomba hozatalkor alkalmazandó kiberbiztonsági védelmi elemekre vonatkozó alapvető követelmények harmonizált megközelítése.

(4)

A 3. cikk (3) bekezdésének d), e) és f) pontjában meghatározott alapvető uniós követelmények alapján a hálózatvédelem, a személyes adatok védelme és a magánélet védelme, valamint a csalás elleni védelem biztosítása érdekében alkalmazandó biztonsági szint nem áshatja alá a decentralizált intelligens hálózatok – ahol az említett követelmények hatálya alá tartozó intelligens fogyasztásmérőket kell használni –, valamint az (EU) 2018/1972 európai parlamenti és tanácsi irányelv (3) szerinti nyilvános elektronikus hírközlő hálózatokat és nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtó szolgáltatók által használt 5G hálózati berendezések tekintetében nemzeti szinten előírt magas szintű biztonságot.

(5)

Számos aggály fogalmazódott meg a növekvő kiberbiztonsági kockázatokkal kapcsolatban is, mivel a szakemberek és a fogyasztók, köztük a gyermekek egyre gyakrabban használnak olyan rádióberendezéseket, amelyek: i. képesek az interneten keresztüli kommunikációra, függetlenül attól, hogy közvetlenül vagy más berendezésen („internetcsatlakozású rádióberendezésen”) keresztül kommunikálnak-e, azaz az ilyen internetcsatlakozású berendezés olyan protokollokat működtet, amelyek közvetlenül vagy közvetítő berendezésen keresztül az internettel való adatcseréhez szükségesek; ii. lehetnek akár rádiófunkciós játékok, amelyek a 2009/48/EK európai parlamenti és tanácsi irányelv (4) hatálya alá is tartoznak, vagy kizárólag gyermekgondozásra tervezett vagy szánt eszközök, például gyermekmonitorok; vagy amelyeket iii. kizárólag vagy nem kizárólag az emberi test bármely részén (beleértve a fejet, a nyakat, a törzset, a kart, a kezet, a lábat és a lábfejet) vagy bármely, ember által viselt ruhadarabon (beleértve a fejfedőt, a kesztyűt és a lábbelit is) történő viselés, illetve az azokra történő csatolás vagy függesztés céljára terveztek vagy szántak, ideértve például a karóra, gyűrű, karpánt, fejhallgató, fülhallgató vagy szemüveg formájú rádióberendezéseket („viselhető rádióberendezések”).

(6)

E tekintetben minden olyan gyermekgondozási rádióberendezést, a 2009/48/EK irányelv hatálya alá tartozó rádióberendezést vagy viselhető rádióberendezést, amely képes az interneten keresztül kommunikálni, függetlenül attól, hogy közvetlenül vagy más berendezésen keresztül kommunikál-e, internetcsatlakozású rádióberendezésnek kell tekinteni. Az implantátumok például nem tekinthetők viselhető rádióberendezésnek, mivel azokat nem az emberi test valamely részén vagy bármely ruhadarabon viselik, illetve nem arra csatolják vagy függesztik fel. Az implantátumokat azonban internetcsatlakozású rádióberendezésnek kell tekinteni, ha képesek az interneten keresztül kommunikálni, függetlenül attól, hogy közvetlenül vagy más berendezésen keresztül kommunikálnak-e.

(7)

Tekintettel az amiatt felmerült aggályokra, hogy a rádióberendezés nem biztosít védelmet a kiberbiztonsági kockázatok elemeivel szemben, a bizonyos kategóriákba vagy osztályokba tartozó rádióberendezések esetében a 2014/53/EU irányelv azon alapvető követelményeit kell alkalmazni, amelyek a hálózat károsodása elleni védelemmel, a felhasználók és az előfizetők személyes adatainak és magánéletének védelmével, valamint a csalás elleni védelemmel kapcsolatosak.

(8)

A 2014/53/EU irányelv azokra a termékekre vonatkozik, amelyek megfelelnek az említett irányelv 2. cikkében szereplő „rádióberendezés” fogalommeghatározásnak, az említett irányelv 1. cikkének (2) bekezdésében és 1. cikkének (3) bekezdésében meghatározott különös kizárásokra is figyelemmel. Míg a rádióberendezéseknek a 2014/53/EU irányelv 2. cikkében szereplő fogalommeghatározása olyan berendezésekre vonatkozik, amelyek rádióhullámokkal kommunikálhatnak, a 2014/53/EU irányelv egyetlen követelménye sem tesz különbséget a rádióberendezés rádiós és nem rádiós funkciói között, ezért a berendezés minden szempontjának és alkatrészének meg kell felelnie az e felhatalmazáson alapuló rendeletben előírt alapvető követelményeknek.

(9)

Ami a hálózatot vagy annak működését, illetve a hálózati erőforrásokkal való visszaélést illeti, a szolgáltatások elfogadhatatlan romlását okozhatják az olyan internetcsatlakozású rádióberendezések, amelyek nem biztosítják, hogy a hálózatok ne sérüljenek vagy azokkal ne éljenek vissza. Például a támadó rosszindulatúan leterhelheti az internethálózatot a jogszerű hálózati forgalom megakadályozása, két rádiótermék közötti kapcsolatok megszakítása, ezáltal a szolgáltatáshoz való hozzáférés megakadályozása, egy adott személy szolgáltatáshoz való hozzáférésének megakadályozása, egy adott rendszer vagy személy szolgáltatásának megszakítása vagy az információk megzavarása érdekében. Az online szolgáltatások romlása tehát rosszindulatú kibertámadásokhoz vezethet, ami az üzemeltetők, a szolgáltatók vagy a felhasználók számára költségnövekedéssel, kényelmetlenségekkel vagy kockázatokkal járhat. Ezért a 2014/53/EU irányelv 3. cikke (3) bekezdésének d) pontját, amely előírja, hogy a rádióberendezések nem károsíthatják a hálózatot vagy annak működését, és nem élhetnek vissza a hálózati erőforrásokkal, és ezáltal nem okozhatják a szolgáltatás elfogadhatatlan romlását, az internetcsatlakozású rádióberendezésekre is alkalmazni kell.

(10)

Aggályok merültek fel az internetcsatlakozású rádióberendezések felhasználói és előfizetői személyes adatainak és magánéletének védelmével kapcsolatban is, mivel ha a rádióberendezés hangszórókat, mikrofonokat és más érzékelőket tartalmaz, akkor az képes lehet az információk rögzítésére, tárolására és megosztására, valamint a felhasználóval, többek között a gyermekekkel való interakcióra. Ezek az aggályok különösen az ilyen rádióberendezések azon képességére vonatkoznak, hogy fényképeket, videókat, helymeghatározó adatokat, a játék élményéhez kapcsolódó adatokat, valamint szívritmust, alvási szokásokat vagy egyéb személyes adatokat rögzítsenek. Például a rádióberendezés speciális beállításai alapértelmezett jelszóval érhetők el, ha a kapcsolat vagy az adatok nem titkosítottak, vagy ha nincs erős hitelesítési mechanizmus.

(11)

Ezért fontos, hogy az uniós piacon forgalomba hozott internetcsatlakozású rádióberendezések biztosítékokat foglaljanak magukban arra, hogy a személyes adatok és a magánélet védelme biztosított legyen, amennyiben ezek a berendezések képesek az (EU) 2016/679 európai parlamenti és tanácsi rendelet (5) 4. cikkének (1) bekezdésében meghatározott személyes adatok vagy a 2002/58/EK európai parlamenti és tanácsi irányelv (6) 2. cikkének b) és c) pontjában meghatározott adatok kezelésére. A 2014/53/EU irányelv 3. cikke (3) bekezdésének e) pontját ezért az internetcsatlakozású rádióberendezésekre is alkalmazni kell.

(12)

Emellett a személyes adatok és a magánélet védelme tekintetében a gyermekgondozási rádióberendezések, a 2009/48/EK irányelv hatálya alá tartozó rádióberendezések és a viselhető rádióberendezések még internetkapcsolat hiányában is biztonsági kockázatot jelentenek. A személyes adatokat le lehet hallgatni, ha a rádióberendezés rádióhullámokat bocsát ki vagy fogad, és hiányoznak a személyes adatok védelmét és a magánélet védelmét biztosító biztosítékok. A gyermekgondozási célú rádióberendezések, a 2009/48/EK irányelv hatálya alá tartozó rádióberendezések és a viselhető rádióberendezések folyamatosan nyomon követhetik és regisztrálhatják a felhasználó érzékeny (személyes) adatait, és azokat adott esetben nem biztonságos kommunikációs technológiákon keresztül ismételten továbbíthatják. A gyermekgondozási célú rádióberendezéseknek, a 2009/48/EK irányelv hatálya alá tartozó rádióberendezéseknek és a viselhető rádióberendezéseknek biztosítaniuk kell a személyes adatok és a magánélet védelmét is, amennyiben azok az (EU) 2016/679 rendelet 4. cikkének (2) bekezdése értelmében képesek az (EU) 2016/679 rendelet 4. cikkének (1) bekezdésében meghatározott személyes adatok vagy a 2002/58/EK irányelv 2. cikkének b) és c) pontjában meghatározott forgalmi és helymeghatározó adatok kezelésére. A 2014/53/EU irányelv 3. cikke (3) bekezdésének e) pontját ezért az ezekre a rádióberendezésekre is alkalmazni kell.

(13)

Ami a csalást illeti, az internetcsatlakozású és a csalással szembeni védelemmel nem rendelkező rádióberendezésekről el lehet lopni információkat, ideértve a személyes adatokat is. A csalások sajátos típusai érintik az interneten keresztül történő fizetésre használt, internetcsatlakozású rádióberendezéseket. A költségek magasak lehetnek, és nemcsak a csalást elszenvedő személyt érintik, hanem a társadalom egészét is (például a rendőrségi nyomozás költségei, az áldozatsegítő szolgálatok költségei, a felelősség megállapítására irányuló tárgyalások költségei). Ezért biztosítani kell a megbízható tranzakciókat, és minimálisra kell csökkenteni annak kockázatát, hogy pénzügyi veszteséget szenvedjenek el az internetcsatlakozású rádióberendezések azon felhasználói, akik az említett rádióberendezésen keresztül teljesítik a fizetést, valamint a szóban forgó rádióberendezésen keresztül teljesített kifizetés címzettjei.

(14)

Az uniós piacon forgalomba hozott, internetcsatlakozású rádióberendezéseknek támogatniuk kell a csalás elleni védelmet biztosító funkciókat, amennyiben lehetővé teszik birtokosuk vagy felhasználójuk számára az (EU) 2019/713 európai parlamenti és tanácsi irányelv (7) 2. cikkének d) pontjában meghatározott pénz, monetáris érték vagy virtuális fizetőeszköz átutalását. A 2014/53/EU irányelv 3. cikke (3) bekezdésének f) pontját ezért ezekre a rádióberendezésekre is alkalmazni kell.

(15)

Az (EU) 2017/745 európai parlamenti és tanácsi rendelet (8) az orvostechnikai eszközökre vonatkozó szabályokat, az (EU) 2017/746 európai parlamenti és tanácsi rendelet (9) pedig az in vitro diagnosztikai orvostechnikai eszközökre vonatkozó szabályokat állapítja meg. Mind az (EU) 2017/745, mind az (EU) 2017/746 rendelet foglalkozik a 2014/53/EU irányelv 3. cikke (3) bekezdésének d), e) és f) pontja által kezelt kockázatokkal kapcsolatos kiberbiztonsági kockázatok bizonyos elemeivel. Ezért az említett rendeletek valamelyikének hatálya alá tartozó rádióberendezések nem tartozhatnak a rádióberendezések azon kategóriáiba vagy osztályaiba, amelyeknek meg kell felelniük a 2014/53/EU irányelv 3. cikke (3) bekezdésének d), e) és f) pontjában meghatározott alapvető követelményeknek.

(16)

Az (EU) 2019/2144 európai parlamenti és tanácsi rendelet (10) megállapítja a járművek, valamint rendszereik és alkatrészeik típusjóváhagyására vonatkozó követelményeket. Az (EU) 2018/1139 európai parlamenti és tanácsi rendelet (11) elsődleges célja továbbá a polgári légi közlekedés biztonsága egységesen magas szintjének az Unióban történő kialakítása és fenntartása. Az (EU) 2019/520 európai parlamenti és tanácsi irányelv (12) meghatározza továbbá az Unión belüli elektronikus útdíjszedési rendszerek átjárhatóságának és az útdíjfizetés elmulasztásával kapcsolatos információk határokon átnyúló cseréje elősegítésének feltételeit. Az (EU) 2019/2144 és az (EU) 2018/1139 rendelet, valamint az (EU) 2019/520 irányelv foglalkozik a 2014/53/EU irányelv 3. cikke (3) bekezdésének e) és f) pontjában meghatározott kockázatokkal kapcsolatos kiberbiztonsági kockázatok elemeivel. Azok a rádióberendezések, amelyekre az (EU) 2019/2144 és az (EU) 2018/1139 rendelet vagy az (EU) 2019/520 irányelv alkalmazandó, nem tartozhatnak ezért a rádióberendezések azon kategóriáiba vagy osztályaiba, amelyeknek meg kell felelniük a 2014/53/EU irányelv 3. cikke (3) bekezdésének e) és f) pontjában meghatározott alapvető követelményeknek.

(17)

A 2014/53/EU irányelv 3. cikke meghatározza azokat az alapvető követelményeket, amelyeknek a gazdasági szereplőknek meg kell felelniük. Az említett követelményeknek való megfelelés értékelésének megkönnyítése érdekében az irányelv előírja az olyan rádióberendezések megfelelésének vélelmét, amelyek megfelelnek az 1025/2012/EU európai parlamenti és tanácsi rendelet (13) szerint elfogadott önkéntesen harmonizált szabványoknak a fenti követelmények részletes műszaki előírásainak kifejezése tekintetében. Az előírások figyelembe veszik és kezelik az e rendelet által érintett valamennyi rádióberendezés-kategória vagy -osztály rendeltetésének megfelelő kockázatok szintjét.

(18)

A gazdasági szereplőknek elegendő időt kell biztosítani az e rendelet követelményeihez való alkalmazkodásra. E rendelet alkalmazását ezért későbbi időpontra kell halasztani. Ez a rendelet nem akadályozza meg a gazdasági szereplőket abban, hogy a rendelet hatálybalépésének időpontjától megfeleljenek a rendeletnek.

(19)

A Bizottság megfelelő konzultációkat folytatott az e rendeletben meghatározott intézkedések előkészítő munkálatai során, és konzultált a rádióberendezésekkel foglalkozó szakértői csoporttal,