INDOKOLÁS
1.A FELHATALMAZÁSON ALAPULÓ JOGI AKTUS HÁTTERE
Nagyszámú rádióberendezést használnak naponta, nemcsak a felnőtt fogyasztók vagy a foglalkozásszerű felhasználók, hanem a kiszolgáltatott helyzetben lévő felhasználók, például a gyermekek is.
Egyrészt az Európai Parlament és a Tanács többször kifejtette, hogy az EU-ban meg kell erősíteni a kiberbiztonságot, felismerve az összekapcsolt rádióberendezések, köztük a dolgok internetét (IoT) alkotó gépek, érzékelők és hálózatok növekvő jelentőségét és az ezzel kapcsolatos biztonsági aggályokat. Az uniós keretrendszer több olyan jogszabályból áll, amelyek a kiberbiztonsághoz kapcsolódó szempontokat vagy annak egyes elemeit szabályozzák. Bizonyos kiberbiztonsági kérdések kezelése során a különböző szereplőknek/érintetteknek egyedi kötelezettségeik lehetnek az ahhoz történő hozzájárulás terén, hogy az egész ökoszisztéma biztonságos maradjon. Például a hálózatüzemeltetőknek és a szolgáltatóknak biztosítaniuk kell, hogy rendszereik és platformjaik biztonságosak legyenek, a berendezésgyártóknak biztosítaniuk kell, hogy a berendezéseket a biztonsági elvek figyelembevételével tervezzék meg, a felhasználóknak tisztában kell lenniük az egyes műveletek elvégzésével járó kockázatokkal és az általuk használt berendezések frissítésének szükségességével, a tagállamok pedig prioritásokat állapíthatnak meg. A teljes ökoszisztéma kiberbiztonsága csak akkor biztosított, ha annak minden összetevője kiberbiztonságot nyújt.
Másrészt a Norvég Fogyasztói Tanács 2016 decemberében értékelte bizonyos, rádiós kapcsolattal rendelkező játékok műszaki jellemzőit. Az értékelés megállapításai arra mutatnak rá, hogy a gyermekek magánélethez, személyes adatok védelméhez és biztonságához való jogának védelme hiányos lehet. A beépített hangszóróknak, mikrofonoknak és egyéb érzékelőknek köszönhetően az egymással összekapcsolt játékok eleve „intelligensek”, és például képesek értelmezni a beszédet, így lehetőséget biztosítanak a gyermekkel való interakcióra. Nemcsak fényképeket, videókat, földrajzi helymeghatározási adatokat, a játékélményhez kapcsolódó adatokat, hanem szívritmust, alvási szokásokat vagy más biometrikus adatokat is rögzíthetnek. A jelentésből az is kiderül, hogy e játékok némelyike a gyermekkel való interakció során termékeket is reklámozhat, ami nem feltétlenül felel meg az ilyen típusú termékektől elvárt átláthatóságnak. Emiatt az európai fogyasztóvédelmi szervezetek cselekvésre szólítottak fel.
A játékok csak egy részét képezik egy szélesebb ágazatnak, amelyben hasonló kockázatok jelennek meg. A 2009/48/EK irányelv meghatározza azokat a biztonsági követelményeket, amelyeknek az irányelv hatálya alá tartozó játékoknak meg kell felelniük ahhoz, hogy az Unióban forgalomba hozhatók legyenek. Az említett irányelvben meghatározott követelmények azonban nem tartalmaznak például olyan követelményeket, amelyek biztosítják a személyes adatok és a magánélet védelmét vagy a csalás elleni védelmet.
Az intelligens készülékek, az intelligens kamerák és számos más csatlakoztatott rádióberendezés, például mobiltelefonok, laptopok, hardverkulcsok, riasztórendszerek és háztartási automatizálási rendszerek szintén példaként szolgálnak a feltörés és az adatvédelmi problémák kockázatának kitett eszközökre, ha csatlakoznak az internethez. Emellett a viselhető rádióberendezések (pl. gyűrűk, karpántok, zsebklipszek, fejhallgatók, fitneszkövetők stb.) képesek a felhasználó számos érzékeny adatát (pl. helyzet, hőmérséklet, vérnyomás, pulzusszám) időben nyomon követni és regisztrálni, valamint továbbítani, nemcsak az interneten keresztül, hanem a nem biztonságos, rövid hatótávolságú kommunikációs technológiákon keresztül is. A rádióberendezésekről szóló 2014/53/EU irányelv (RED) szabályozási keretet hoz létre a rádióberendezések egységes piacon történő forgalomba hozatalára. Ez az irányelv a rádióberendezések kötelező piacra jutási feltételeire vonatkozik. A RED olyan elektromos és elektronikus berendezésekre vonatkozik, amelyek kommunikációs és/vagy rádiós meghatározási célokra használhatják a rádióspektrumot. A tagállamoknak a nemzeti piacfelügyeleti hatóságaikon keresztül korrekciós intézkedéseket kell hozniuk a nem megfelelő rádióberendezésekkel kapcsolatban.
A RED 3. cikke meghatározza azokat az alapvető követelményeket, amelyeknek az uniós piacon forgalomba hozott rádióberendezéseknek meg kell felelniük, a 3. cikk (1) bekezdésének a) pontja az egészségre és biztonságra vonatkozó alapvető követelményeket, a 3. cikk (1) bekezdésének b) pontja az elektromágneses összeférhetőségre vonatkozó alapvető követelményeket, a 3. cikk (2) bekezdése pedig a rádióspektrum hatékony és eredményes felhasználására vonatkozó alapvető követelményeket határozza meg. Ezenkívül a 3. cikk (3) bekezdése további alapvető követelményeket ír elő, amelyek a rádióberendezéseknek a vonatkozó felhatalmazáson alapuló bizottsági jogi aktus(ok)ban meghatározott kategóriáira vagy osztályaira vonatkoznak.
A RED felhatalmazza a Bizottságot, hogy felhatalmazáson alapuló jogi aktusokat fogadjon el annak érdekében, hogy a RED 3. cikkének (3) bekezdésében meghatározott alapvető követelmények bármelyikét alkalmazhatóvá tegye a rádióberendezések kategóriáira vagy osztályaira vonatkozó egyes követelmények meghatározásával. A 3. cikk (3) bekezdése második albekezdésének három pontja releváns e kezdeményezés szempontjából:
·a 3. cikk (3) bekezdésének d) pontja, a hálózat védelmének biztosítása érdekében;
·a 3. cikk (3) bekezdésének e) pontja, a személyes adatok és a magánélet védelmére vonatkozó biztosítékok biztosítása tekintetében;
·a 3. cikk (3) bekezdésének f) pontja, a csalással szembeni védelem érdekében.
A cél azonban nem az, hogy a meglévő jogszabályok mellett további vagy egymást átfedő szabályok szülessenek, hanem annak biztosítása, hogy a meglévő elveket – adott esetben – az uniós piacon forgalomba hozandó áruk gyártására vonatkozó konkrét követelményekké alakítsák át, bizonyos fokú végrehajtás vagy ellenőrizhetőség mellett. Fontos a meglévő uniós keretrendszert kiegészítő jelleg biztosítása. E tekintetben azok a rádióberendezések, termékek vagy alkatrészek, amelyekre az (EU) 2019/2144és az (EU) 2018/1139 rendelet vagy az (EU) 2019/520 irányelv alkalmazandó, nem tartozhatnak a rádióberendezések azon kategóriáiba vagy osztályaiba, amelyeknek meg kell felelniük a 2014/53/EU irányelv 3. cikke (3) bekezdésének e) és f) pontjában meghatározott alapvető követelményeknek.
Ami az adatvédelmet illeti, a személyes adatok és a magánélet védelméről szóló uniós jogszabályok, például az (EU) 2016/679 európai parlamenti és tanácsi rendelet és a 2002/58/EK európai parlamenti és tanácsi irányelv szabályozzák a személyes adatok kezelését és a magánélet védelmét, de nem szabályozzák a rádióberendezések uniós piacon történő forgalomba hozatalát.
E kezdeményezés fő célkitűzése, hogy hozzájáruljon a „bizalom ökoszisztémájának” megerősítéséhez, amely a hálózatok és a magánélet védelmére, valamint a csalás elleni védelemre vonatkozó valamennyi kapcsolódó uniós jogszabály szinergiájából ered, és amelyet a mellékelt hatásvizsgálat részletesebben ismertet. E kezdeményezésnek ezután csak olyan rádióberendezéseket kellene az EU piacán engedélyeznie, amelyek kellően biztonságosak. Az általános célkitűzéseket szem előtt tartva a kezdeményezés célja, hogy megerősítse bizonyos alapvető jogok (pl. a magánélet védelme) tiszteletben tartását, és támogassa az egyéb, piaci végrehajtást lehetővé nem tevő uniós jogszabályokban meghatározott politikai célkitűzéseket. A kockázatok mértékére való tekintettel és figyelemmel arra, hogy az azonnali alkalmazhatóság pozitív hatással van a meglévő uniós szakpolitikai célkitűzésekre, szintén szükséges az időben történő fellépés. A Bizottság számára már megadott, meglévő felhatalmazások felhasználásának lehetősége lehetővé teszi, hogy a meglévő keret tekintetében és külön kiegészítő jogszabály elfogadása nélkül járjon el. A biztonsági funkciókkal nem rendelkező termékekkel kapcsolatos problémák kezelése érdekében az egyik konkrét célkitűzés az, hogy a piacfelügyeleti hatóságok számára olyan végrehajtási eszközt biztosítsanak, amely lehetővé teszi számukra a korrekciós intézkedések meghozatalát. Egy másik cél az érintett termékek egységes piacának biztosítása, amelyet nem hátráltatnak az elsősorban a kisebb vállalatok adminisztratív terheit növelő, eltérő helyi vagy nemzeti szintű szabályozások. A végső cél az egyenlő versenyfeltételek megteremtése olyan világos és arányos szabályok révén, amelyeket az egész EU-ban hatékonyan és egységesen hajtanak végre.
A Bizottság és az Unió külügyi és biztonságpolitikai főképviselője a digitális évtizedre vonatkozó uniós kiberbiztonsági stratégiáról szóló, 2020. december 16-i közös közleményében kiemelik, hogy szükség van olyan belső piaci szabályokra, amelyek védelmet nyújtanak a nem biztonságos termékekkel és szolgáltatásokkal szemben.
2.AZ AKTUS ELFOGADÁSÁT MEGELŐZŐ KONZULTÁCIÓK
A kezdeményezéssel kapcsolatos konzultációs stratégia figyelembe vette az összes lehetséges kapcsolódó szempontot, a társadalomra (pl. a fogyasztókra és a gazdasági szereplőkre), a nemzeti hatóságokra, a közös piacra jutási feltételekre és a további uniós jogszabályok végrehajtására vagy az azokkal való szinergiákra gyakorolt hatások tekintetében is. Az érdekelt felek által adott visszajelzéseket a más kutatási forrásokból (pl. másodelemzés) szerzett bizonyítékok mellett használták fel.
A konzultáció által érintett érdekelt felek a következők voltak: adatfeldolgozásért, csalásokért és/vagy rádióberendezésekért felelős hatóságok, gazdasági szereplők szövetségei, egyes gazdasági szereplők, fogyasztói szervezetek, állampolgárok, tudományos/kutatási intézmények és érintett nem kormányzati szervezetek, bejelentett szervezetek, európai szabványügyi szervezetek.
Az alábbi egyedi konzultációs tevékenységekre került sor:
·Minden érdekelt fél négy héten keresztül adhatott visszajelzést a kezdeti hatásvizsgálatról;
·A Bizottság minőségi jogalkotási portálján 12 hetes nyilvános konzultáció indult;
·Egy célzott konzultáció kifejezetten a tagállamoknak, a gazdasági szereplőknek (szövetségeknek vagy különálló szereplőknek), a fogyasztói szervezeteknek, a megfelelőségértékelő testületeknek, a fogyasztóknak vagy más szakértőknek szólt.
Az érdekelt feleket is felkérték, hogy vegyenek részt a célzott felmérésben, beleértve azokat is, akik részt vettek a rádióberendezésekkel foglalkozó szakértői csoport ülésén. Közülük 56-an döntöttek úgy, hogy kitöltik a kérdőívet. Az 56 válaszadó 20 országból, köztük 14 uniós tagállamból származott. A legtöbb válasz (14) Belgiumból érkezett, amelyek szinte mindegyikét gyártókat vagy fogyasztókat képviselő szervezet nyújtotta be. A következő legjobban képviselt ország Németország volt 11 válaszadóval, akiknek többsége gyártó volt. Az EU-n kívüli tagállamok közül az USA volt a legjobban képviselve 5 válaszadóval, akik között vegyesen voltak gyártók és ipari szervezetek. A válaszadó szervezetek méret tekintetében kiegyensúlyozottan képviseltették magukat. A nagy szervezetek mindegyike gyártó vagy nemzeti közigazgatási szerv volt, kivéve két megfelelőségértékelő szervezetet és egy egyetemet. A mikroszervezetek közül sokan ipari vagy fogyasztói szövetségek voltak. A kis- és közepes méretű szervezetek között mindenféle típusú szervezet vegyesen szerepelt.
Összesen 42 válaszadó töltötte ki a nyilvános konzultáció kérdőívét, amely nyitott és zárt kérdéseket tartalmazott. A válaszadók országa a következőképpen alakult:
·A 42 válaszadó 14 uniós tagállamból származott.
·A legtöbb válasz (8) Németországból érkezett, amelyből hetet állampolgárok nyújtottak be.
·Hat Belgiumból érkezett, amelyek mindegyikét uniós szintű képviseleti szervek nyújtották be (öt vállalkozói szövetség és egy fogyasztói szövetség).
·Hat Spanyolországból érkezett, közülük négyet állami hatóság, kettőt pedig vállalat nyújtott be.
·Egyik válaszadó sem volt az Unión kívüli.
A válaszadók típusa a következőképpen alakult:
·A 42 válaszadó valamivel több mint fele (22) állampolgár volt.
·Az állampolgárok 10 uniós tagállamból származtak.
·A hat hatóság közül négy spanyolországi, egy-egy pedig észtországi és írországi volt.
·A hét vállalkozói szövetség közül öt belga székhelyű uniós szintű szerv volt.
·A hat vállalkozás öt különböző országból származott. Ezek közül három mikro-, két kis- és egy nagyvállalkozás volt.
·Az egyetlen fogyasztóvédelmi szervezet egy belgiumi székhelyű uniós szintű szerv volt.
A rádióberendezésekkel foglalkozó szakértői csoport (E03587) 2020. szeptember 18-án és 2020. november 17-én konzultált a felhatalmazáson alapuló jogi aktus főbb pontjaival (hatály, alkalmazandó cikkek, kivételek, az alkalmazás kezdőnapja) foglalkozó előzetes dokumentumokról. A ugyanezzel csoporttal 2021. február 24-én konzultáltak a jogi aktus tervezetéről. A rádióberendezésekkel foglalkozó szakértői csoportban az EU-tagállamok és a társult országok hatóságai, fogyasztói szövetségek, a RED-del foglalkozó gazdasági szereplők szövetségei és európai szabványügyi szervezetek vesznek részt. A beérkezett észrevételek nyilvánosan hozzáférhetők a CIRCABC-ban, ahol az ülések jegyzőkönyvei a kapcsolódó megbeszéléseket is összefoglalják.
Néhány szakpolitikai lehetőséget vagy már korai szakaszban elvetettek, vagy a kezdeményezés kidolgozása során, különböző okokból, az alábbiak szerint:
·Egy korai szakaszban további szakpolitikai lehetőségként mérlegelték egy, a kiberbiztonságról szóló horizontális jogszabály bevezetését. Több gyártó és iparági szövetségük ezt javasolta a legjobb szakpolitikai lehetőségként, amely véleményük szerint elkerülné az eredmények, a hatékonyság és az eredményesség szétaprózódását. Többek között a rádióberendezésekkel foglalkozó szakértői csoportban folytatott megbeszélések során azonban rámutattak arra, hogy az együttdöntési eljáráshoz szükséges jogszabályi határidőkre tekintettel reálisan előfordulhat, hogy ez a lehetőség nem lesz olyan időszerű, mint a RED szerinti egy vagy több felhatalmazáson alapuló jogi aktus.
·A bevezető hatásvizsgálat közzétételekor még nem fogadták el a kiberbiztonsági jogszabályt, ezért erre a jogszabályra nem lehetett alternatívákat alapozni. Ezenkívül a kiberbiztonsági tanúsítási rendszereknek a jogi aktus szerinti létrehozása nem teremt jogi kötelezettséget a termékek forgalomba hozatalára vonatkozóan. A kiberbiztonsági tanúsítás, mint olyan, továbbra is önkéntes tevékenység marad, amellyel az ágazati önkéntes megközelítések keretében foglalkoztak a szakpolitikai lehetőségek összefüggésében.
Végül egy későbbi szakaszban, azaz a bevezető hatásvizsgálat közzétételét követően egyes tagállamok a 3. cikk (3) bekezdése d) pontjának a 3. cikk (3) bekezdésének e) pontjával és a 3. cikk (3) bekezdésének f) pontjával összefüggésben történő elfogadását javasolták, megjegyezve a három cikk együttes elfogadásának szinergiáit. Mivel a tagállamok és a fogyasztói szervezetek úgy vélték, hogy a 3. cikk (3) bekezdése d) pontjának elfogadása a 4. lehetőség kiegészítése, a 3. cikk (3) bekezdése d) pontjának önálló lehetőségét nem vették fontolóra.
Ezen túlmenően a Bizottság „Az EU kiberbiztonsági stratégiája a digitális évtizedre” című, 2020. decemberi közös közleményében bejelentette, hogy az összes összekapcsolt termék és kapcsolódó szolgáltatás kiberbiztonsági kockázatainak kezelése érdekében a Bizottság átfogó megközelítést fog fontolóra venni, beleértve a belső piacon forgalomba hozott összes összekapcsolt termék és kapcsolódó szolgáltatás kiberbiztonságának javítását célzó lehetséges új horizontális szabályokat.
3. A JOGI AKTUS TERVEZETÉRŐL FOLYTATOTT NYILVÁNOS KONZULTÁCIÓ
Miután megvitatta a jogi aktus tervezetét a rádióberendezésekkel foglalkozó szakértői csoporttal, a Bizottság négyhetes hivatalos nyilvános konzultációt indított. A konzultációban korlátozás nélkül minden polgár és érdekelt fél részt vehetett.
A konzultáció keretében végül 26 észrevétel érkezett be. A válaszadók országa a következőképpen alakult:
·A legtöbb válasz (18) Belgiumból érkezett.
·Az Európai Unión kívülről mindössze egy észrevételt küldtek (Svájcból).
·A többi válasz Hollandiából (4), Lengyelországból (1), Németországból (1) és Franciaországból (1) érkezett.
A válaszadók típusa a következőképpen alakult:
·A válaszadók többsége (17) ágazati szereplő volt.
·A fogyasztóktól és a nem kormányzati szervezetektől 3 válasz érkezett.
·4 visszajelzést polgárok küldtek.
·2 hozzászólás érkezett az európai szabványügyi szervezetektől.
Ezen észrevételek értékelését követően a Bizottság arra a következtetésre jutott, hogy a jogi aktus tervezetének módosítása az alábbiakban kifejtett okok miatt nem szükséges:
·Egyes észrevételek kifejezetten a kiberfenyegetések enyhítésére irányuló technikai intézkedésekre vonatkoztak. Ez a jogi aktus azonban nem határoz meg technikai intézkedéseket, hanem csupán alapvető követelményeket állapít meg. A támogató harmonizált szabványok kidolgozása során figyelembe fogják venni az e technikai kérdésekkel kapcsolatban beérkezett észrevételekben kifejtett véleményeket.
·Néhány érdekelt fél aggályainak adott hangot a más uniós jogszabályokban rögzített kötelezettségek állítólagos megkettőzésével kapcsolatban. Ez a jogszabálytervezet a hatálya alá tartozó berendezések forgalomba hozatalát szabályozza, amelyet az uniós jogi keret más részei nem szabályoznak. A jogi aktus ezenkívül nem szándékozik szabályozni a rádióberendezésekről szóló irányelv hatálya alá nem tartozó folyamatokat vagy szolgáltatásokat, illetve forgalomba hozatal utáni tevékenységekkel kapcsolatos kérdéseket.
·Egy ágazati szövetség jelezte, hogy véleményük szerint a jogi aktus akadályokat teremt a kkv-k számára. Amint az a hatásvizsgálatban is szerepel, a műszaki megoldásokat a kidolgozás alatt álló harmonizált szabványok fogják rögzíteni. A kkv-k közre fognak működni ezek kidolgozásában.
·Számos észrevétel érkezett a berendezések azon kategóriáinak értelmezésével kapcsolatban, amelyekre az alapvető követelmények vonatkoznak. Az érintett szakértői csoport részletesen megvitatta az „internetcsatlakozású rádióberendezések” fogalmának meghatározását. A tárgyi hatálynak a rendeltetés, nem pedig a műszaki képességek tekintetében történő korlátozása azt jelenti, hogy a jogi aktus számos berendezésre nem terjed ki. Technikai szempontból lehetséges lenne az internetes kommunikáció, és a hackerek kihasználhatnák az ezzel kapcsolatos sebezhetőségeket. Ezenkívül a „hálózat” fogalma egyértelmű, és magában foglalja az internetet is.
·Néhány iparági szövetség aggodalmát fejezte ki a technológiasemlegesség elvével kapcsolatban, mivel a vezetékes berendezések nem tartoznak a jogi aktus hatálya alá. A hatásvizsgálat megerősítette, hogy a vezeték nélküli eszközök nagyobb kockázatot jelentenek a kiberbiztonság szempontjából, ezért egyedi szakpolitikai intézkedéseket kell végrehajtani e rádióberendezésekre vonatkozóan.
·Egy ágazati szövetség rámutatott, hogy a jogi aktus nem terjed ki a gyermekek által használt berendezések mindegyikére. E tekintetben a gyermekek magánéletének védelmét az internetcsatlakozású rádióberendezések, játékok és gyermekgondozási célú berendezések gyártóira rótt kötelezettségek biztosítják (az utóbbi kettő esetében akkor is, ha a berendezések nem képesek az interneten keresztül kommunikálni). A gyermekek által használt rádióberendezéseket általánosságban lefedik a fent említett kategóriák.
·Végezetül az érdekelt felek többsége aggodalmát fejezte ki az átmeneti időszakkal kapcsolatban, mivel azt túl rövidnek vagy túl hosszúnak tartották. A 30 hónapos átmeneti időszak megfelelő egyensúlyt teremt az európai piacon jelen lévő rádióberendezések kiberbiztonsági szintjének sürgős javítása iránti igény és a gyártók számára a termékeik átalakítására biztosított ésszerű idő szükségessége között.
4.A FELHATALMAZÁSON ALAPULÓ JOGI AKTUS JOGI ELEMEI
E felhatalmazáson alapuló rendelet célja, hogy a RED 3. cikke (3) bekezdésének d), e) és f) pontjában meghatározott, a kiberbiztonság elemeivel foglalkozó alapvető követelményeket a rádióberendezések azon kategóriáira is alkalmazhatóvá tegye, amelyek kiberbiztonsági kockázatot jelentenek.
Konkrétabban előírja, hogy a RED 3. cikke (3) bekezdésének d), e) és f) pontját az 1. cikkben meghatározott internetcsatlakozású rádióberendezésekre kell alkalmazni, a felhatalmazáson alapuló jogi aktusban meghatározott bizonyos kizárásokra figyelemmel.
Emellett előírja, hogy a rádióberendezésekről szóló irányelv 3. cikke (3) bekezdésének e) pontját alkalmazni kell a viselhető rádióberendezésekre, a rádióberendezésnek is minősülő játékokra és a gyermekgondozási rádióberendezésekre, függetlenül attól, hogy internet-hozzáféréssel rendelkeznek-e, vagy sem, a felhatalmazáson alapuló jogi aktusban meghatározott bizonyos kizárásokra figyelemmel.
A felhatalmazáson alapuló rendelet összhangban van a különböző vonatkozó uniós jogszabályokban, különösen a kiberbiztonság területére vonatkozó uniós jogszabályokban lefektetett elvekkel.
A felhatalmazáson alapuló rendelet alkalmazásának kezdőnapja a rendelet hatálybalépésétől számított 30 hónap, ezért a felhatalmazáson alapuló rendelet nem érinti az említett alkalmazási kezdőnap előtt az Unió piacán forgalomba hozott rádióberendezéseket.
A felhatalmazáson alapuló rendelet nincs hatással az uniós költségvetésre.
A BIZOTTSÁG (EU) .../... FELHATALMAZÁSON ALAPULÓ RENDELETE
(2021.10.29.)
a 2014/53/EU európai parlamenti és tanácsi irányelvnek az említett irányelv 3. cikke (3) bekezdésének d), e) és f) pontjában említett alapvető követelmények alkalmazása tekintetében történő kiegészítéséről
(EGT-vonatkozású szöveg)
AZ EURÓPAI BIZOTTSÁG,
tekintettel az Európai Unió működéséről szóló szerződésre,
tekintettel a rádióberendezések piaci hozzáférhetővé tételére vonatkozó tagállami jogszabályok harmonizációjáról és az 1999/5/EK irányelv hatályon kívül helyezéséről szóló, 2014. április 16-i 2014/53/EU európai parlamenti és tanácsi irányelvre és különösen annak 3. cikke (3) bekezdésének második albekezdésére, összefüggésben a 3. cikk (3) bekezdése első albekezdésének d), e) és f) pontjával,
mivel:
(1)A hálózat vagy annak működése sérelmektől való védelme, a felhasználók és az előfizetők személyes adatainak és magánéletének védelme, valamint a csalás elleni védelem olyan elemek, amelyek támogatják a kiberbiztonsági kockázatokkal szembeni védelmet.
(2)A 2014/53/EU irányelv (13) preambulumbekezdése szerint a rádióberendezések felhasználói és előfizetői személyes adatainak és magánéletének védelme, valamint a csalással szembeni védelem a rádióberendezések egyedi funkciói által javítható. A hivatkozott preambulumbekezdés szerint a rádióberendezéseket a megfelelő esetekben tehát úgy kell megtervezni, hogy támogassák ezeket a funkciókat.
(3)Az 5G az elkövetkező években kulcsszerepet fog játszani az Unió digitális gazdaságának és társadalmának fejlődésében, és potenciálisan hatással lesz az uniós polgárok életének szinte minden vonatkozására. „Az 5G hálózatok kiberbiztonsága – Kockázatcsökkentő intézkedések uniós eszköztára” című dokumentum olyan lehetséges közös intézkedéscsomagot határoz meg, amely képes enyhíteni az 5G hálózatok fő kiberbiztonsági kockázatait, és iránymutatást nyújt azon intézkedések kiválasztásához, amelyeket a nemzeti és uniós szintű kockázatcsökkentési tervekben prioritásként kell kezelni. Ezen intézkedések mellett nagyon fontos az 5G rádióberendezésekre az uniós piacon történő forgalomba hozatalkor alkalmazandó kiberbiztonsági védelmi elemekre vonatkozó alapvető követelmények harmonizált megközelítése.
(4)A 3. cikk (3) bekezdésének d), e) és f) pontjában meghatározott alapvető uniós követelmények alapján a hálózatvédelem, a személyes adatok védelme és a magánélet védelme, valamint a csalás elleni védelem biztosítása érdekében alkalmazandó biztonsági szint nem áshatja alá a decentralizált intelligens hálózatok – ahol az említett követelmények hatálya alá tartozó intelligens fogyasztásmérőket kell használni –, valamint az (EU) 2018/1972 irányelv szerinti nyilvános elektronikus hírközlő hálózatokat és nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtó szolgáltatók által használt 5G hálózati berendezések tekintetében nemzeti szinten előírt magas szintű biztonságot.
(5)Számos aggály fogalmazódott meg a növekvő kiberbiztonsági kockázatokkal kapcsolatban is, mivel a szakemberek és a fogyasztók, köztük a gyermekek egyre gyakrabban használnak olyan rádióberendezéseket, amelyek: i. képesek az interneten keresztüli kommunikációra, függetlenül attól, hogy közvetlenül vagy más berendezésen („internetcsatlakozású rádióberendezésen”) keresztül kommunikálnak-e, azaz az ilyen internetcsatlakozású berendezés olyan protokollokat működtet, amelyek közvetlenül vagy közvetítő berendezésen keresztül az internettel való adatcseréhez szükségesek; ii. lehetnek akár rádiófunkciós játékok, amelyek a 2009/48/EK európai parlamenti és tanácsi irányelv hatálya alá is tartoznak, vagy kizárólag gyermekgondozásra tervezett vagy szánt eszközök, például gyermekmonitorok; vagy amelyeket iii. kizárólag vagy nem kizárólag az emberi test bármely részén (beleértve a fejet, a nyakat, a törzset, a kart, a kezet, a lábat és a lábfejet) vagy bármely, ember által viselt ruhadarabon (beleértve a fejfedőt, a kesztyűt és a lábbelit is) történő viselés, illetve az azokra történő csatolás vagy függesztés céljára terveztek vagy szántak, ideértve például a karóra, gyűrű, karpánt, fejhallgató, fülhallgató vagy szemüveg formájú rádióberendezéseket („viselhető rádióberendezések”).
(6)E tekintetben minden olyan gyermekgondozási rádióberendezést, a 2009/48/EK irányelv hatálya alá tartozó rádióberendezést vagy viselhető rádióberendezést, amely képes az interneten keresztül kommunikálni, függetlenül attól, hogy közvetlenül vagy más berendezésen keresztül kommunikál-e, internetcsatlakozású rádióberendezésnek kell tekinteni. Az implantátumok például nem tekinthetők viselhető rádióberendezésnek, mivel azokat nem az emberi test valamely részén vagy bármely ruhadarabon viselik, illetve nem arra csatolják vagy függesztik fel. Az implantátumokat azonban internetcsatlakozású rádióberendezésnek kell tekinteni, ha képesek az interneten keresztül kommunikálni, függetlenül attól, hogy közvetlenül vagy más berendezésen keresztül kommunikálnak-e.
(7)Tekintettel az amiatt felmerült aggályokra, hogy a rádióberendezés nem biztosít védelmet a kiberbiztonsági kockázatok elemeivel szemben, a bizonyos kategóriákba vagy osztályokba tartozó rádióberendezések esetében a 2014/53/EU irányelv azon alapvető követelményeit kell alkalmazni, amelyek a hálózat károsodása elleni védelemmel, a felhasználók és az előfizetők személyes adatainak és magánéletének védelmével, valamint a csalás elleni védelemmel kapcsolatosak.
(8)A 2014/53/EU irányelv azokra a termékekre vonatkozik, amelyek megfelelnek az említett irányelv 2. cikkében szereplő „rádióberendezés” fogalommeghatározásnak, az említett irányelv 1. cikkének (2) bekezdésében és 1. cikkének (3) bekezdésében meghatározott különös kizárásokra is figyelemmel. Míg a rádióberendezéseknek a 2014/53/EU irányelv 2. cikkében szereplő fogalommeghatározása olyan berendezésekre vonatkozik, amelyek rádióhullámokkal kommunikálhatnak, a 2014/53/EU irányelv egyetlen követelménye sem tesz különbséget a rádióberendezés rádiós és nem rádiós funkciói között, ezért a berendezés minden szempontjának és alkatrészének meg kell felelnie az e felhatalmazáson alapuló rendeletben előírt alapvető követelményeknek.
(9)Ami a hálózatot vagy annak működését, illetve a hálózati erőforrásokkal való visszaélést illeti, a szolgáltatások elfogadhatatlan romlását okozhatják az olyan internetcsatlakozású rádióberendezések, amelyek nem biztosítják, hogy a hálózatok ne sérüljenek vagy azokkal ne éljenek vissza. Például a támadó rosszindulatúan leterhelheti az internethálózatot a jogszerű hálózati forgalom megakadályozása, két rádiótermék közötti kapcsolatok megszakítása, ezáltal a szolgáltatáshoz való hozzáférés megakadályozása, egy adott személy szolgáltatáshoz való hozzáférésének megakadályozása, egy adott rendszer vagy személy szolgáltatásának megszakítása vagy az információk megzavarása érdekében. Az online szolgáltatások romlása tehát rosszindulatú kibertámadásokhoz vezethet, ami az üzemeltetők, a szolgáltatók vagy a felhasználók számára költségnövekedéssel, kényelmetlenségekkel vagy kockázatokkal járhat. Ezért a 2014/53/EU irányelv 3. cikke (3) bekezdésének d) pontját, amely előírja, hogy a rádióberendezések nem károsíthatják a hálózatot vagy annak működését, és nem élhetnek vissza a hálózati erőforrásokkal, és ezáltal nem okozhatják a szolgáltatás elfogadhatatlan romlását, az internetcsatlakozású rádióberendezésekre is alkalmazni kell.
(10)Aggályok merültek fel az internetcsatlakozású rádióberendezések felhasználói és előfizetői személyes adatainak és magánéletének védelmével kapcsolatban is, mivel ha a rádióberendezés hangszórókat, mikrofonokat és más érzékelőket tartalmaz, akkor az képes lehet az információk rögzítésére, tárolására és megosztására, valamint a felhasználóval, többek között a gyermekekkel való interakcióra. Ezek az aggályok különösen az ilyen rádióberendezések azon képességére vonatkoznak, hogy fényképeket, videókat, helymeghatározó adatokat, a játék élményéhez kapcsolódó adatokat, valamint szívritmust, alvási szokásokat vagy egyéb személyes adatokat rögzítsenek. Például a rádióberendezés speciális beállításai alapértelmezett jelszóval érhetők el, ha a kapcsolat vagy az adatok nem titkosítottak, vagy ha nincs erős hitelesítési mechanizmus.
(11)Ezért fontos, hogy az uniós piacon forgalomba hozott internetcsatlakozású rádióberendezések biztosítékokat foglaljanak magukban arra, hogy a személyes adatok és a magánélet védelme biztosított legyen, amennyiben ezek a berendezések képesek az (EU) 2016/679 rendelet 4. cikkének (1) bekezdésében meghatározott személyes adatok vagy a 2002/58/EK irányelv 2. cikkének b) és c) pontjában meghatározott adatok kezelésére. A 2014/53/EU irányelv 3. cikke (3) bekezdésének e) pontját ezért az internetcsatlakozású rádióberendezésekre is alkalmazni kell.
(12)Emellett a személyes adatok és a magánélet védelme tekintetében a gyermekgondozási rádióberendezések, a 2009/48/EK irányelv hatálya alá tartozó rádióberendezések és a viselhető rádióberendezések még internetkapcsolat hiányában is biztonsági kockázatot jelentenek. A személyes adatokat le lehet hallgatni, ha a rádióberendezés rádióhullámokat bocsát ki vagy fogad, és hiányoznak a személyes adatok védelmét és a magánélet védelmét biztosító biztosítékok. A gyermekgondozási célú rádióberendezések, a 2009/48/EK irányelv hatálya alá tartozó rádióberendezések és a viselhető rádióberendezések folyamatosan nyomon követhetik és regisztrálhatják a felhasználó érzékeny (személyes) adatait, és azokat adott esetben nem biztonságos kommunikációs technológiákon keresztül ismételten továbbíthatják. A gyermekgondozási célú rádióberendezéseknek, a 2009/48/EK irányelv hatálya alá tartozó rádióberendezéseknek és a viselhető rádióberendezéseknek biztosítaniuk kell a személyes adatok és a magánélet védelmét is, amennyiben azok az (EU) 2016/679 rendelet 4. cikkének (2) bekezdése értelmében képesek az (EU) 2016/679 rendelet 4. cikkének (1) bekezdésében meghatározott személyes adatok vagy a 2002/58/EK irányelv 2. cikkének b) és c) pontjában meghatározott forgalmi és helymeghatározó adatok kezelésére. A 2014/53/EU irányelv 3. cikke (3) bekezdésének e) pontját ezért az ezekre a rádióberendezésekre is alkalmazni kell.
(13)Ami a csalást illeti, az internetcsatlakozású és a csalással szembeni védelemmel nem rendelkező rádióberendezésekről el lehet lopni információkat, ideértve a személyes adatokat is. A csalások sajátos típusai érintik az interneten keresztül történő fizetésre használt, internetcsatlakozású rádióberendezéseket. A költségek magasak lehetnek, és nemcsak a csalást elszenvedő személyt érintik, hanem a társadalom egészét is (például a rendőrségi nyomozás költségei, az áldozatsegítő szolgálatok költségei, a felelősség megállapítására irányuló tárgyalások költségei). Ezért biztosítani kell a megbízható tranzakciókat, és minimálisra kell csökkenteni annak kockázatát, hogy pénzügyi veszteséget szenvedjenek el az internetcsatlakozású rádióberendezések azon felhasználói, akik az említett rádióberendezésen keresztül teljesítik a fizetést, valamint a szóban forgó rádióberendezésen keresztül teljesített kifizetés címzettjei.
(14)Az uniós piacon forgalomba hozott, internetcsatlakozású rádióberendezéseknek támogatniuk kell a csalás elleni védelmet biztosító funkciókat, amennyiben lehetővé teszik birtokosuk vagy felhasználójuk számára az (EU) 2019/713 európai parlamenti és tanácsi irányelv 2. cikkének d) pontjában meghatározott pénz, monetáris érték vagy virtuális fizetőeszköz átutalását. A 2014/53/EU irányelv 3. cikke (3) bekezdésének f) pontját ezért ezekre a rádióberendezésekre is alkalmazni kell.
(15)Az (EU) 2017/745 európai parlamenti és tanácsi rendelet az orvostechnikai eszközökre vonatkozó szabályokat, az (EU) 2017/746 európai parlamenti és tanácsi rendelet pedig az in vitro diagnosztikai orvostechnikai eszközökre vonatkozó szabályokat állapítja meg. Mind az (EU) 2017/745, mind az (EU) 2017/746 rendelet foglalkozik a 2014/53/EU irányelv 3. cikke (3) bekezdésének d), e) és f) pontja által kezelt kockázatokkal kapcsolatos kiberbiztonsági kockázatok bizonyos elemeivel. Ezért az említett rendeletek valamelyikének hatálya alá tartozó rádióberendezések nem tartozhatnak a rádióberendezések azon kategóriáiba vagy osztályaiba, amelyeknek meg kell felelniük a 2014/53/EU irányelv 3. cikke (3) bekezdésének d), e) és f) pontjában meghatározott alapvető követelményeknek.
(16)Az (EU) 2019/2144 európai parlamenti és tanácsi rendelet megállapítja a járművek, valamint rendszereik és alkatrészeik típusjóváhagyására vonatkozó követelményeket. Az (EU) 2018/1139 európai parlamenti és tanácsi rendelet elsődleges célja továbbá a polgári légi közlekedés biztonsága egységesen magas szintjének az Unióban történő kialakítása és fenntartása. Az (EU) 2019/520 európai parlamenti és tanácsi irányelv meghatározza továbbá az Unión belüli elektronikus útdíjszedési rendszerek átjárhatóságának és az útdíjfizetés elmulasztásával kapcsolatos információk határokon átnyúló cseréje elősegítésének feltételeit. Az (EU) 2019/2144 és az (EU) 2018/1139 rendelet, valamint az (EU) 2019/520 irányelv foglalkozik a 2014/53/EU irányelv 3. cikke (3) bekezdésének e) és f) pontjában meghatározott kockázatokkal kapcsolatos kiberbiztonsági kockázatok elemeivel. Azok a rádióberendezések, amelyekre az (EU) 2019/2144 és az (EU) 2018/1139 rendelet vagy az (EU) 2019/520 irányelv alkalmazandó, nem tartozhatnak ezért a rádióberendezések azon kategóriáiba vagy osztályaiba, amelyeknek meg kell felelniük a 2014/53/EU irányelv 3. cikke (3) bekezdésének e) és f) pontjában meghatározott alapvető követelményeknek.
(17)A 2014/53/EU irányelv 3. cikke meghatározza azokat az alapvető követelményeket, amelyeknek a gazdasági szereplőknek meg kell felelniük. Az említett követelményeknek való megfelelés értékelésének megkönnyítése érdekében az irányelv előírja az olyan rádióberendezések megfelelésének vélelmét, amelyek megfelelnek az 1025/2012/EU európai parlamenti és tanácsi rendelet szerint elfogadott önkéntesen harmonizált szabványoknak a fenti követelmények részletes műszaki előírásainak kifejezése tekintetében. Az előírások figyelembe veszik és kezelik az e rendelet által érintett valamennyi rádióberendezés-kategória vagy -osztály rendeltetésének megfelelő kockázatok szintjét.
(18)A gazdasági szereplőknek elegendő időt kell biztosítani az e rendelet követelményeihez való alkalmazkodásra. E rendelet alkalmazását ezért későbbi időpontra kell halasztani. Ez a rendelet nem akadályozza meg a gazdasági szereplőket abban, hogy a rendelet hatálybalépésének időpontjától megfeleljenek a rendeletnek.
(19)A Bizottság megfelelő konzultációkat folytatott az e rendeletben meghatározott intézkedések előkészítő munkálatai során, és konzultált a rádióberendezésekkel foglalkozó szakértői csoporttal,
ELFOGADTA EZT A RENDELETET:
1. cikk
(1) A 2014/53/EU irányelv 3. cikke (3) bekezdésének d) pontjában meghatározott alapvető követelmény minden olyan rádióberendezésre vonatkozik, amely képes az interneten keresztül kommunikálni, függetlenül attól, hogy közvetlenül vagy más berendezésen keresztül kommunikál-e (a továbbiakban: internetcsatlakozású rádióberendezések).
(2) A 2014/53/EU irányelv 3. cikke (3) bekezdésének e) pontjában meghatározott alapvető követelmény az alábbi rádióberendezések bármelyikére alkalmazandó, amennyiben a szóban forgó rádióberendezés az (EU) 2016/679 rendelet 4. cikkének (2) bekezdése értelmében képes az (EU) 2016/679 rendelet 4. cikkének (1) bekezdésében meghatározott személyes adatok vagy a 2002/58/EK irányelv 2. cikkének b) és c) pontjában meghatározott forgalmi és helymeghatározó adatok kezelésére:
a)internetcsatlakozású rádióberendezések, a b), c) vagy d) pontban említett berendezések kivételével;
b)kizárólag gyermekgondozás céljára tervezett vagy szánt rádióberendezések;
c)a 2009/48/EK irányelv hatálya alá tartozó rádióberendezések;
d)rádióberendezések, amelyeket kizárólag vagy nem kizárólag az alábbiak bármelyikén való viselésre, illetve az azokra történő csatolásra vagy függesztésre terveztek vagy szántak:
i.az emberi test bármely része, beleértve a fejet, a nyakat, a törzset, a karokat, a kezeket, a lábakat és a lábfejeket;
ii.minden olyan ruhadarab, beleértve a fejfedőt, a kesztyűt és a lábbelit, amelyet emberek viselnek.
(3) A 2014/53/EU irányelv 3. cikke (3) bekezdésének f) pontjában meghatározott alapvető követelmény minden internetcsatlakozású rádióberendezésre vonatkozik, amennyiben a berendezés lehetővé teszi birtokosa vagy felhasználója számára az (EU) 2019/713 irányelv 2. cikkének d) pontjában meghatározott pénz, monetáris érték vagy virtuális fizetőeszköz átutalását.
2. cikk
(1) Az 1. cikktől eltérve a 2014/53/EU irányelv 3. cikke (3) bekezdésének d), e) és f) pontjában meghatározott alapvető követelmények nem alkalmazandók azokra a rádióberendezésekre, amelyekre az alábbi uniós jogszabályok valamelyike is vonatkozik:
a)az (EU) 2017/745 rendelet;
b)az (EU) 2017/746 rendelet.
(2) Az 1. cikk (2) bekezdésétől és az 1. cikk (3) bekezdésétől eltérve a 2014/53/EU irányelv 3. cikke (3) bekezdésének e) és f) pontjában meghatározott alapvető követelmények nem alkalmazandók azokra a rádióberendezésekre, amelyekre az alábbi uniós jogszabályok valamelyike is vonatkozik:
a)az (EU) 2018/1139 rendelet;
b)az (EU) 2019/2144 rendelet;
c)az (EU) 2019/520 irányelv.
3. cikk
Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.
Ezt a rendeletet …[Kiadóhivatal, kérjük, illesszék be az e rendelet hatálybalépésének kezdőnapját 30 hónappal követő nap dátumát]-tól/-től kell alkalmazni.
Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.
Kelt Brüsszelben, 2021.10.29-én.
a Bizottság részéről
elnök
Ursula VON DER LEYEN