RELAZIONE

1.CONTESTO DELL'ATTO DELEGATO

Un gran numero di apparecchiature radio viene utilizzato quotidianamente, non solo da consumatori adulti o utenti professionali, ma anche da utenti vulnerabili come i bambini.

Da un lato, il Parlamento europeo e il Consiglio hanno ripetutamente espresso la necessità di rafforzare la cibersicurezza nell'UE 1 , riconoscendo la crescente importanza delle apparecchiature radio connesse, comprese le macchine, i sensori e le reti che compongono l'internet delle cose (Internet of Things, IoT) e le relative preoccupazioni in materia di sicurezza. Il quadro dell'UE è costituito da diversi atti legislativi 2 che riguardano aspetti legati alla cibersicurezza o ad alcuni suoi elementi. Nell'affrontare determinate questioni di cibersicurezza, diversi attori/portatori di interessi possono avere obblighi specifici per contribuire a garantire che l'intero ecosistema rimanga sicuro. Ad esempio, i gestori di rete e i fornitori di servizi devono garantire che i loro sistemi e le loro piattaforme siano sicuri, i fabbricanti di apparecchiature devono garantire che queste siano progettate tenendo conto dei principi di sicurezza, gli utenti devono essere consapevoli dei rischi che comportano determinate operazioni e della necessità di effettuare i necessari aggiornamenti delle apparecchiature che utilizzano e gli Stati membri possono stabilire priorità. La cibersicurezza dell'intero ecosistema è garantita solo se tutti i suoi componenti sono cibersicuri.

Dall'altro, nel dicembre 2016, il consiglio norvegese dei consumatori aveva valutato le caratteristiche tecniche di determinati giocattoli con connessione radio 3 . Le conclusioni risultanti da tale valutazione indicano una possibile mancanza di tutela del diritto alla vita privata, alla protezione dei dati personali e alla sicurezza dei minori. Grazie agli altoparlanti, ai microfoni e ad altri sensori integrati, i giocattoli interconnessi sono per definizione "intelligenti" e possono, ad esempio, interpretare il parlato, il che li rende in grado di interagire con il bambino. Essi possono inoltre registrare non solo foto, video e dati di geolocalizzazione o legati all'esperienza di gioco, ma anche frequenza cardiaca, abitudini legate al sonno o altri dati biometrici. La valutazione mostra inoltre che alcuni di questi giocattoli possono anche pubblicizzare prodotti durante l'interazione con il bambino, il che potrebbe non essere in linea con la trasparenza prevista per questo tipo di prodotti. Per questo motivo l'esito di tale valutazione ha spinto le associazioni europee dei consumatori 4 verso un invito all'azione.

I giocattoli sono solo una parte di un settore più ampio, che presenta rischi simili. La direttiva 2009/48/CE stabilisce i requisiti di sicurezza che i giocattoli che rientrano nell'ambito di applicazione di tale direttiva devono soddisfare prima di poter essere commercializzati nell'Unione. Tuttavia i requisiti stabiliti in tale direttiva non riguardano la protezione dei dati personali e della vita privata o la tutela dalle frodi.

Anche gli apparecchi intelligenti, le telecamere intelligenti e una serie di altre apparecchiature radio connesse, come i telefoni cellulari, i computer portatili, le chiavette elettroniche (dongle), i sistemi di allarme e i sistemi di automazione domestica sono esempi di apparecchiature che rischiano di essere hackerate o di presentare problemi di riservatezza quando sono connesse a internet. Le apparecchiature radio indossabili (ad esempio anelli, braccialetti, clip tascabili, cuffie, dispositivi di monitoraggio dell'attività fisica, ecc.) possono inoltre monitorare e registrare nel tempo una serie di dati sensibili dell'utente (ad esempio posizione, temperatura, pressione sanguigna, frequenza cardiaca) e ritrasmetterli, non solo via internet, ma anche attraverso tecnologie di comunicazione a corto raggio non sicure. La direttiva 2014/53/UE 5 sulle apparecchiature radio stabilisce un quadro normativo per l'immissione sul mercato unico delle apparecchiature radio. Essa riguarda le condizioni obbligatorie di accesso al mercato delle apparecchiature radio. Nell'ambito di applicazione della direttiva sulle apparecchiature radio sono incluse le apparecchiature elettriche ed elettroniche che possono utilizzare lo spettro radio a fini di comunicazione e/o di radiodeterminazione. Gli Stati membri, tramite le rispettive autorità nazionali di vigilanza del mercato, devono adottare misure correttive nei confronti delle apparecchiature radio non conformi.

L'articolo 3 della direttiva sulle apparecchiature radio stabilisce i requisiti essenziali che le apparecchiature radio immesse sul mercato dell'Unione devono soddisfare. L'articolo 3, paragrafo 1, lettera a), stabilisce i requisiti essenziali in materia di salute e sicurezza, l'articolo 3, paragrafo 1, lettera b), stabilisce i requisiti essenziali in materia di compatibilità elettromagnetica e l'articolo 3, paragrafo 2, stabilisce i requisiti essenziali relativi all'uso efficace ed efficiente dello spettro radio. L'articolo 3, paragrafo 3, prevede inoltre requisiti essenziali supplementari che si applicano alle categorie o classi di apparecchiature radio specificate nei relativi atti delegati della Commissione.

La direttiva sulle apparecchiature radio conferisce alla Commissione il potere di adottare atti delegati al fine di rendere applicabili i requisiti essenziali di cui all'articolo 3, paragrafo 3, di tale direttiva, specificando a quali categorie o classi di apparecchiature radio si applica ciascuno dei suddetti requisiti. Le seguenti tre lettere dell'articolo 3, paragrafo 3, sono pertinenti per la presente iniziativa:

·l'articolo 3, paragrafo 3, lettera d), al fine di garantire la protezione della rete;

·l'articolo 3, paragrafo 3, lettera e), al fine di garantire elementi di salvaguardia per la protezione dei dati personali e della vita privata;

·l'articolo 3, paragrafo 3, lettera f), al fine di garantire la tutela dalle frodi.

L'obiettivo non è tuttavia quello di produrre norme supplementari o che si sovrappongono alla legislazione vigente, ma di garantire che i principi esistenti, ove applicabili, siano tradotti in requisiti specifici per la fabbricazione di merci da immettere sul mercato dell'Unione, che possano essere applicati o verificati. È importante garantire la complementarità con l'attuale quadro dell'UE. A tal proposito, le apparecchiature radio, i prodotti o i componenti cui si applicano i regolamenti (UE) 2019/2144 6  e (UE) 2018/1139 7 o la direttiva (UE) 2019/520 8 non dovrebbero rientrare nelle categorie o classi di apparecchiature radio che devono soddisfare i requisiti essenziali di cui all'articolo 3, paragrafo 3, lettere e) ed f), della direttiva 2014/53/UE.

Per quanto riguarda la protezione dei dati, la normativa dell'Unione in materia di dati personali e tutela della vita privata, quali il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio 9 e la direttiva 2002/58/CE del Parlamento europeo e del Consiglio 10 , disciplina il trattamento dei dati personali e la tutela della vita privata, ma non disciplina l'immissione sul mercato dell'Unione di apparecchiature radio.

L'obiettivo principale della presente iniziativa è contribuire a rafforzare l'"ecosistema di fiducia" derivante dalle sinergie di tutti i pertinenti atti legislativi dell'UE in materia di protezione delle reti e della vita privata e della tutela dalle frodi, che sono meglio specificati nella valutazione d'impatto che accompagna la presente proposta. La presente iniziativa dovrebbe quindi consentire l'immissione sul mercato dell'UE solo delle apparecchiature radio sufficientemente sicure. Tenendo presenti gli obiettivi generali, l'iniziativa intende rafforzare il rispetto di alcuni diritti fondamentali (ad esempio il diritto alla vita privata) e sostenere gli obiettivi strategici stabiliti in altri atti legislativi dell'UE che non consentono l'applicazione delle norme sul mercato. È inoltre necessaria un'azione tempestiva, data la portata dei rischi e considerato il fatto che una rapida applicabilità ha un impatto positivo sugli attuali obiettivi strategici dell'UE. La possibilità di avvalersi dei poteri già conferiti alla Commissione consentirà di agire nel rispetto del quadro esistente e senza la necessità di una legislazione specifica aggiuntiva. Al fine di affrontare i problemi relativi ai prodotti privi di caratteristiche di sicurezza, un obiettivo specifico è fornire alle autorità di vigilanza del mercato uno strumento di applicazione che consenta loro di adottare misure correttive. Un altro obiettivo è garantire un mercato unico dei prodotti interessati, non ostacolato da normative nazionali o locali divergenti che aumentano gli oneri amministrativi, in particolare per le imprese più piccole. Un obiettivo finale è quello di creare condizioni di parità attraverso norme chiare e proporzionate che siano applicate in modo efficace e uniforme in tutta l'UE.

La necessità di norme del mercato interno che includano elementi di salvaguardia nei confronti di prodotti e servizi non sicuri è sottolineata nella comunicazione congiunta della Commissione e dell'alto rappresentante dell'Unione per gli affari esteri e la politica di sicurezza, del 16 dicembre 2020, sulla strategia dell'UE in materia di cibersicurezza per il decennio digitale 11 .

2.CONSULTAZIONI PRECEDENTI L'ADOZIONE DELL'ATTO

La strategia di consultazione per questa iniziativa ha tenuto in considerazione tutti i possibili aspetti correlati, anche in termini di impatto per la società (ad esempio consumatori e operatori economici), le autorità nazionali, le condizioni di accesso al mercato comune e l'attuazione di altri atti legislativi dell'UE o le sinergie con gli stessi. Il feedback fornito dai portatori di interessi è stato utilizzato in aggiunta ai dati acquisiti attraverso altre fonti di ricerca (ad esempio, ricerche documentali).

I portatori di interessi erano: le autorità pubbliche che si occupano di trattamento dei dati, frodi e/o apparecchiature radio, le associazioni di operatori economici, i singoli operatori economici, le organizzazioni dei consumatori, i cittadini, gli istituti accademici/di ricerca e le pertinenti organizzazioni non governative, gli organismi notificati e le organizzazioni europee di normazione.

Sono state condotte le attività di consultazione specifiche seguenti:

·tutti i portatori di interessi hanno potuto fornire un feedback sulla valutazione d'impatto iniziale su un periodo di quattro settimane 12 ;

·una consultazione pubblica della durata di 12 settimane è stata avviata sul portale "Legiferare meglio" della Commissione 13 ;

·una consultazione mirata rivolta specificamente agli Stati membri, agli operatori economici (associazioni o singoli), alle organizzazioni dei consumatori, agli organismi di valutazione della conformità, ai consumatori o ad altri esperti.

Anche i portatori di interessi sono stati invitati a partecipare all'indagine mirata, compresi coloro che hanno partecipato alla riunione del gruppo di esperti sulle apparecchiature radio. Di questi, 56 hanno scelto di rispondere compilando il questionario. I 56 rispondenti provenivano da 20 paesi, tra cui 14 Stati membri dell'UE. Il maggior numero di risposte (14) proveniva dal Belgio, quasi tutte da organizzazioni che rappresentano i produttori o i consumatori. La Germania è stato il secondo paese più rappresentato, con 11 rispondenti, la maggior parte dei quali produttori. Gli Stati Uniti sono tra i paesi non-UE meglio rappresentati con cinque rispondenti, comprendenti una combinazione di fabbricanti e organismi di settore. Vi era equilibrio nelle dimensioni delle organizzazioni che hanno risposto. Le organizzazioni più grandi erano tutte produttori o amministrazioni pubbliche nazionali, ad eccezione di due organismi di valutazione della conformità e di un'università. Molte delle micro-organizzazioni erano associazioni di consumatori o di settore. Le organizzazioni di piccole e medie dimensioni erano costituite da una combinazione di tutti i tipi di organizzazioni.

In totale 42 rispondenti hanno completato la consultazione pubblica aperta, costituita da domande aperte e chiuse. Il profilo dei rispondenti per paese era il seguente:

·i 42 rispondenti provenivano da 14 Stati membri dell'UE;

·il maggior numero di risposte (otto) è stato dato da rispondenti dalla Germania, sette dei quali erano cittadini;

·sei rispondenti provenivano dal Belgio, tutti organismi rappresentativi a livello dell'UE (cinque associazioni di categoria e un'associazione dei consumatori);

·sei rispondenti provenivano dalla Spagna, quattro dei quali erano autorità pubbliche e due erano imprese;

·nessuno dei rispondenti era stabilito al di fuori dell'UE.

Il profilo dei tipi di rispondenti era il seguente:

·dei 42 rispondenti, poco più della metà (22) erano cittadini;

·i cittadini provenivano da 10 Stati membri dell'UE;

·delle sei autorità pubbliche, quattro provenivano dalla Spagna, una dall'Estonia e una dall'Irlanda;

·delle sette associazioni di categoria, cinque erano organismi a livello dell'UE con sede in Belgio;

·le sei imprese provenivano da cinque paesi diversi. Tre erano microimprese, due erano piccole imprese e una era una grande impresa;

·l'unica associazione dei consumatori era un organismo a livello dell'UE con sede in Belgio.

La consultazione del gruppo di esperti sulle apparecchiature radio (E03587) è stata effettuata il 18 settembre 2020 e il 17 novembre 2020 sulla base dei documenti preliminari e ha riguardato i punti fondamentali dell'atto delegato (ambito di applicazione, articoli applicabili, deroghe, data di applicabilità). Lo stesso gruppo è stato consultato il 24 febbraio 2021 in merito al progetto di atto. Al gruppo di esperti sulle apparecchiature radio partecipano le autorità degli Stati membri dell'UE e dei paesi associati, le associazioni dei consumatori, le associazioni di operatori economici la cui attività è attinente alla direttiva sulle apparecchiature radio e le organizzazioni europee di normazione. Le osservazioni ricevute sono disponibili al pubblico in CIRCABC 14 , dove si possono trovare anche i verbali delle riunioni in cui sono sintetizzate le relative discussioni.

Alcune opzioni strategiche sono state scartate in una fase iniziale, o durante lo sviluppo della presente iniziativa, per diverse ragioni, come indicato di seguito.

·In una fase iniziale è stata presa in considerazione l'introduzione di un atto legislativo orizzontale sulla cibersicurezza quale potenziale ulteriore opzione strategica. Diversi fabbricanti singoli e le loro associazioni di categoria l'hanno proposta come migliore opzione strategica che, a loro avviso, avrebbe evitato la frammentazione dei risultati, dell'efficienza e dell'efficacia. È stato tuttavia sottolineato, ad esempio nelle discussioni nell'ambito del gruppo di esperti sulle apparecchiature radio, che realisticamente, dati i tempi legislativi necessari per una procedura di codecisione, tale opzione avrebbe potuto essere meno tempestiva di uno o più atti delegati ai sensi della direttiva sulle apparecchiature radio.

·Al momento della pubblicazione della valutazione d'impatto iniziale, il regolamento sulla cibersicurezza non era ancora stato adottato, pertanto nessuna opzione poteva essere basata su tale atto legislativo. Inoltre l'istituzione di sistemi di certificazione della cibersicurezza a norma di tale atto non crea alcun obbligo giuridico per quanto riguarda l'immissione dei prodotti sul mercato. La certificazione della cibersicurezza rimane in sé un'attività volontaria ed è stata affrontata nell'ambito degli approcci volontari industriali nel contesto delle opzioni strategiche.

Infine, in una fase successiva, ossia dopo la pubblicazione della valutazione d'impatto iniziale, alcuni Stati membri hanno suggerito di adottare l'articolo 3, paragrafo 3, lettera d), in combinato disposto con l'articolo 3, paragrafo 3, lettere e) ed f), rilevando le sinergie dell'adozione congiunta delle tre lettere. Poiché gli Stati membri e le associazioni dei consumatori ritengono che l'adozione dell'articolo 3, paragrafo 3, lettera d), integri l'opzione 4, non è stata presa in considerazione un'opzione indipendente per l'articolo 3, paragrafo 3, lettera d). 

Per affrontare i rischi per la cibersicurezza in tutti i prodotti connessi e nei servizi associati e durante tutto il loro ciclo di vita, nella comunicazione congiunta del dicembre 2020 "La strategia dell'UE in materia di cibersicurezza per il decennio digitale" 15 la Commissione ha inoltre annunciato che prenderà in considerazione un approccio globale, comprese eventuali nuove norme orizzontali per migliorare la cibersicurezza di tutti i prodotti connessi immessi sul mercato interno e dei servizi ad essi associati.

3. CONSULTAZIONE PUBBLICA SUL PROGETTO DI ATTO

Dopo la discussione sul progetto di atto con il gruppo di esperti sulle apparecchiature radio è stata avviata una consultazione pubblica formale 16 della durata di quattro settimane. La consultazione era aperta a tutti i cittadini e i portatori di interessi, senza alcuna limitazione.

In totale sono stati ricevuti 26 contributi. Il profilo dei rispondenti per paese era il seguente:

·il maggior numero di risposte (18) è arrivato dal Belgio.

·Soltanto un contributo è giunto da paesi al di fuori dell'Unione europea (Svizzera).

·Le altre risposte sono giunte da Paesi Bassi (4), Polonia (1), Germania (1) e Francia (1).

Il profilo dei tipi di rispondenti era il seguente:

·la maggior parte dei contributi (17) è arrivata dall'industria.

·I consumatori e le associazioni non governative hanno fornito tre risposte.

·Quattro cittadini hanno fornito un riscontro.

·Dagli organismi europei di normazione sono pervenuti due contributi.

In base alla valutazione di tali contributi si è concluso che non è necessario modificare il progetto di atto per le ragioni illustrate di seguito.

·Alcuni contributi hanno riguardato specificamente le misure tecniche per attenuare le minacce alla cibersicurezza. Tuttavia il presente atto non stabilisce misure tecniche, ma si limita a fissare requisiti essenziali. I pareri espressi nei contributi ricevuti su tali questioni tecniche saranno presi in considerazione nell'elaborazione delle norme armonizzate di sostegno.

·Alcuni portatori di interessi hanno espresso preoccupazioni in merito alla presunta duplicazione di obblighi rispetto ad altri atti normativi dell'UE. Il presente progetto di atto disciplina l'immissione sul mercato delle apparecchiature che rientrano nel suo ambito di applicazione: si tratta di un elemento che non è ancora stato disciplinato dal resto del quadro giuridico dell'UE. Inoltre con l'atto non si intende disciplinare processi o servizi né questioni successive alla commercializzazione che esulano dalla direttiva sulle apparecchiature radio.

·Un'associazione di categoria ha indicato che a suo parere l'atto crea ostacoli alle PMI. Come illustrato nella valutazione d'impatto, le prossime norme armonizzate forniranno le soluzioni tecniche. Le PMI contribuiranno a svilupparle.

·Sono pervenute alcune osservazioni sull'interpretazione delle categorie di apparecchiature alle quali si applicheranno i requisiti essenziali. La definizione di "dispositivo connesso a Internet" è stata ampiamente discussa in seno al gruppo di esperti competente. Limitare l'ambito di applicazione in base all'uso previsto anziché alle capacità tecniche implica che numerose attrezzature non saranno contemplate dall'atto. Dal punto di vista tecnico la comunicazione via Internet sarebbe possibile e gli hacker potrebbero sfruttare tali vulnerabilità. Inoltre il concetto di "rete" è chiaro e comprende internet.

·Alcune associazioni di categoria hanno espresso preoccupazioni in merito al principio della neutralità tecnologica, in quanto l'atto non contempla le apparecchiature cablate. La valutazione d'impatto conferma che i dispositivi senza fili presentano rischi più elevati per la cibersicurezza, che giustificano l'attuazione di misure politiche specifiche per tali apparecchiature radio.

·Un'associazione di categoria ha sottolineato che non tutte le apparecchiature utilizzate dai bambini rientravano nell'ambito di applicazione dell'atto. A tale riguardo la tutela dei minori in relazione alla vita privata è garantita grazie agli obblighi imposti ai fabbricanti di dispositivi connessi a internet, giocattoli e apparecchiature per l'infanzia (per le ultime due categorie ciò vale indipendentemente dal fatto che siano in grado di comunicare via internet o no). Le apparecchiature radio utilizzate dai bambini figurano in generale tra le categorie sopra indicate.

·Infine la maggior parte dei portatori di interessi ha espresso preoccupazioni in merito al periodo transitorio, considerato troppo breve o troppo lungo. Si ritiene che il periodo transitorio di 30 mesi raggiunga il giusto equilibrio tra la necessità di rafforzare con urgenza il livello di cibersicurezza delle apparecchiature radio sul mercato europeo e l'esigenza di concedere ai fabbricanti un periodo di tempo ragionevole per adeguare i loro prodotti.

4.ELEMENTI GIURIDICI DELL'ATTO DELEGATO

L'obiettivo del presente regolamento delegato è rendere applicabili i requisiti essenziali che riguardano elementi di cibersicurezza, di cui all'articolo 3, paragrafo 3, lettere d), e) ed f) 17 , della direttiva sulle apparecchiature radio, alle categorie di apparecchiature radio che presentano rischi per la cibersicurezza.

Più specificamente, esso prevede che le lettere d), e) ed f) dell'articolo 3, paragrafo 3, della direttiva sulle apparecchiature radio si applichino alle apparecchiature radio connesse a internet, definite all'articolo 1, fatte salve alcune esclusioni specificate nell'atto delegato.

Esso prevede inoltre che la lettera e) dell'articolo 3, paragrafo 3, della direttiva sulle apparecchiature radio si applichi alle apparecchiature radio indossabili, ai giocattoli che sono anche apparecchiature radio e alle apparecchiature radio per la cura dei bambini, indipendentemente dal fatto che siano connesse ad internet, fatte salve alcune esclusioni specificate nell'atto delegato.

Il regolamento delegato è coerente con i principi stabiliti in diversi atti legislativi pertinenti dell'UE, in particolare la legislazione dell'UE nel settore della cibersicurezza.

La data di applicabilità del regolamento delegato è 30 mesi dopo la sua entrata in vigore e pertanto il regolamento delegato non inciderà sulle apparecchiature radio immesse sul mercato dell'Unione prima di tale data di applicabilità.

Il progetto di regolamento delegato non incide sul bilancio dell'UE.

REGOLAMENTO DELEGATO (UE) …/... DELLA COMMISSIONE

del 29.10.2021

che integra la direttiva 2014/53/UE del Parlamento europeo e del Consiglio per quanto riguarda l'applicazione dei requisiti essenziali di cui all'articolo 3, paragrafo 3, lettere d), e) ed f), di tale direttiva

(Testo rilevante ai fini del SEE)

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea,

vista la direttiva 2014/53/UE del Parlamento europeo e del Consiglio, del 16 aprile 2014, concernente l'armonizzazione delle legislazioni degli Stati membri relative alla messa a disposizione sul mercato di apparecchiature radio e che abroga la direttiva 1999/5/CE 18 , in particolare l'articolo 3, paragrafo 3, secondo comma, in combinato disposto con l'articolo 3, paragrafo 3, primo comma, lettere d), e) ed f),

considerando quanto segue:

(1)La protezione dai danni alla rete o al suo funzionamento, la protezione dei dati personali e della vita privata dell'utente e dell'abbonato e la tutela dalle frodi sono elementi a sostegno della protezione dai rischi per la cibersicurezza.

(2)Come indicato nel considerando 13 della direttiva 2014/53/UE, la protezione dei dati personali e della vita privata degli utilizzatori e degli abbonati alle apparecchiature radio e la tutela dalle frodi possono essere migliorate mediante caratteristiche specifiche delle apparecchiature radio. Secondo tale considerando, le apparecchiature radio dovrebbero pertanto essere progettate, se del caso, in modo da supportare tali caratteristiche.

(3)Il 5G svolgerà un ruolo chiave nello sviluppo dell'economia e della società digitali dell'Unione negli anni a venire e inciderà potenzialmente su quasi tutti gli aspetti delle vite dei cittadini dell'Unione. Il documento intitolato "Cybersecurity of 5G networks EU Toolbox of risk mitigating measures" 19 individua una possibile serie comune di misure in grado di attenuare i principali rischi connessi alla cibersicurezza delle reti 5G e fornisce orientamenti per la selezione di misure cui attribuire priorità nei piani di attenuazione a livello nazionale e dell'Unione. Oltre a tali misure, è molto importante adottare un approccio armonizzato ai requisiti essenziali relativi agli elementi di protezione della cibersicurezza applicabili alle apparecchiature radio 5G al momento della loro immissione sul mercato dell'Unione.

(4)Il livello di sicurezza applicabile a norma dei requisiti essenziali dell'Unione di cui all'articolo 3, paragrafo 3, lettere d), e) ed f), per garantire la protezione della rete, gli elementi di salvaguardia per la protezione dei dati personali e della vita privata e la tutela dalle frodi non deve pregiudicare l'elevato livello di sicurezza richiesto a livello nazionale per le reti intelligenti decentrate nel settore dell'energia, in cui devono essere utilizzati contatori intelligenti soggetti a tali requisiti, e per le apparecchiature di rete 5G utilizzate dai fornitori di reti pubbliche di comunicazione elettronica e di servizi di comunicazione elettronica accessibili al pubblico ai sensi della direttiva (UE) 2018/1972.

(5)Sono state inoltre espresse numerose preoccupazioni in merito ai maggiori rischi per la cibersicurezza derivanti da un aumento dell'uso professionale e di consumo, anche da parte di bambini, di apparecchiature radio che: i) sono di per sé in grado di comunicare tramite internet, indipendentemente dal fatto che comunichino direttamente o tramite qualsiasi altra apparecchiatura ("apparecchiature radio connesse a internet"), vale a dire che tali apparecchiature connesse a internet utilizzano protocolli necessari per lo scambio di dati con la rete internet direttamente o tramite un'apparecchiatura intermedia; ii) possono essere giocattoli con funzione radio che rientrano anche nell'ambito di applicazione della direttiva 2009/48/CE del Parlamento europeo e del Consiglio 20 oppure sono progettate o destinate esclusivamente alla cura dei bambini, come i monitor per bambini; o iii) sono progettate o destinate, esclusivamente o non esclusivamente, ad essere indossate, oppure assicurate o appese a qualsiasi parte del corpo umano (compresa la testa, il collo, il tronco, le braccia, le mani, le gambe e i piedi) o a qualsiasi indumento (compresi copricapi, guanti e calzature) indossato da esseri umani, quali apparecchiature radio sotto forma di orologi da polso, anelli, braccialetti, cuffie, auricolari o occhiali ("apparecchiature radio indossabili").

(6)A tal proposito le apparecchiature radio per la cura dei bambini, le apparecchiature radio disciplinate dalla direttiva 2009/48/CE o le apparecchiature radio indossabili che sono di per sé in grado di comunicare tramite internet, indipendentemente dal fatto che comunichino direttamente o tramite qualsiasi altra apparecchiatura, dovrebbero essere considerate apparecchiature radio connesse a internet. Le protesi e gli impianti, ad esempio, non dovrebbero essere considerati apparecchiature radio indossabili in quanto non vengono indossati, né assicurati o appesi a parti del corpo umano o indumenti. Essi dovrebbero tuttavia essere considerati apparecchiature radio connesse a internet se sono in grado di comunicare tramite internet, indipendentemente dal fatto che comunichino direttamente o tramite qualsiasi altra apparecchiatura.

(7)Date le preoccupazioni sollevate dal fatto che le apparecchiature radio non garantiscono la protezione da elementi di rischio per la cibersicurezza, è necessario rendere applicabili, per le apparecchiature radio appartenenti a determinate categorie o classi, i requisiti essenziali della direttiva 2014/53/UE relativi alla protezione dai danni alla rete, alla protezione dei dati personali e della vita privata degli utenti e degli abbonati e alla tutela dalle frodi.

(8)La direttiva 2014/53/UE si applica ai prodotti che corrispondono alla definizione di "apparecchiatura radio" di cui all'articolo 2 di tale direttiva, fatte salve le esclusioni specifiche di cui all'articolo 1, paragrafi 2 e 3, di tale direttiva. Sebbene la definizione di apparecchiatura radio di cui all'articolo 2 della direttiva 2014/53/UE faccia riferimento alle apparecchiature in grado di comunicare con onde radio, nessuna disposizione della direttiva 2014/53/UE opera una distinzione tra le funzioni radio e non radio delle apparecchiature radio e pertanto tutti gli aspetti e le parti dell'apparecchiatura dovrebbero essere conformi ai requisiti essenziali di cui al presente regolamento delegato.

(9)Per quanto riguarda i danni alla rete o al suo funzionamento, o l'abuso delle risorse di rete, un deterioramento inaccettabile dei servizi può essere causato da apparecchiature radio connesse a internet che non garantiscono che le reti non siano danneggiate o non siano utilizzate in modo improprio. Un attacco malevolo può ad esempio saturare la rete internet per impedire il traffico di rete legittimo, perturbare le connessioni tra due prodotti radio, impedendo in questo modo l'accesso a un servizio, impedire a una determinata persona di accedere a un servizio, perturbare un servizio destinato a un sistema o a una persona specifici o alterare le informazioni. Il deterioramento dei servizi online può quindi portare a attacchi informatici malevoli, con conseguente aumento dei costi, dei disagi o dei rischi per gli operatori, i fornitori di servizi o gli utenti. L'articolo 3, paragrafo 3, lettera d), della direttiva 2014/53/UE, che impone che le apparecchiature radio non danneggino la rete o il suo funzionamento né abusino delle risorse di rete, arrecando quindi un deterioramento inaccettabile del servizio, dovrebbe pertanto applicarsi alle apparecchiature radio connesse a internet.

(10)Sono state sollevate preoccupazioni anche per quanto riguarda la protezione dei dati personali e della vita privata dell'utente delle apparecchiature radio connesse a internet e dell'abbonato alle stesse a causa della capacità di tali apparecchiature radio di registrare, conservare e condividere informazioni e di interagire con gli utenti, compresi i bambini, quando in tali apparecchiature radio sono integrati altoparlanti, microfoni e altri sensori. Tali preoccupazioni riguardano, in particolare, la capacità di tali apparecchiature radio di registrare foto, video, dati di localizzazione, dati legati all'esperienza di gioco nonché frequenza cardiaca, abitudini legate al sonno o altri dati personali. Se la connessione o i dati non sono criptati o se non è presente un meccanismo di autenticazione forte, una password predefinita è sufficiente, ad esempio, per accedere alle impostazioni avanzate dell'apparecchiatura radio.

(11)È pertanto importante che le apparecchiature radio connesse a internet immesse sul mercato dell'Unione includano elementi di salvaguardia per garantire che i dati personali e la vita privata siano protetti se tali apparecchiature possono trattare i dati personali definiti all'articolo 4, punto 1, del regolamento (UE) 2016/679 21 o i dati definiti all'articolo 2, lettere b) e c), della direttiva 2002/58/CE 22 . L'articolo 3, paragrafo 3, lettera e), della direttiva 2014/53/UE dovrebbe pertanto applicarsi alle apparecchiature radio connesse a internet.

(12)Inoltre, per quanto riguarda la protezione dei dati personali e della vita privata, le apparecchiature radio per la cura dei bambini, le apparecchiature radio disciplinate dalla direttiva 2009/48/CE e le apparecchiature radio indossabili presentano rischi per la sicurezza anche in assenza di una connessione internet. I dati personali possono essere intercettati quando tali apparecchiature radio emettono o ricevono onde radio e non dispongono di elementi di salvaguardia che garantiscano la protezione dei dati personali e della vita privata. Le apparecchiature radio per cura dei bambini, le apparecchiature radio disciplinate dalla direttiva 2009/48/CE e le apparecchiature radio indossabili possono monitorare e registrare nel tempo una serie di dati sensibili (personali) dell'utente e ritrasmetterli attraverso tecnologie di comunicazione che potrebbero non essere sicure. Le apparecchiature radio per la cura dei bambini, le apparecchiature radio disciplinate dalla direttiva 2009/48/CE e le apparecchiature radio indossabili dovrebbero inoltre garantire la protezione dei dati personali e della vita privata se tali apparecchiature possono effettuare il trattamento, ai sensi dell'articolo 4, punto 2, del regolamento (UE) 2016/679, di dati personali quali definiti all'articolo 4, punto 1, del regolamento (UE) 2016/679, o di dati relativi al traffico e dati relativi all'ubicazione, quali definiti all'articolo 2, lettere b) e c), della direttiva 2002/58/CE. L'articolo 3, paragrafo 3, lettera e), della direttiva 2014/53/UE dovrebbe pertanto applicarsi a tali apparecchiature radio.

(13)Per quanto riguarda le frodi, le informazioni, compresi i dati personali, possono essere sottratte alle apparecchiature radio connesse a internet, che non garantiscono la tutela dalle frodi. Tipi specifici di frode riguardano le apparecchiature radio connesse a internet utilizzate per effettuare pagamenti tramite internet. I costi di questi tipi di frode possono essere elevati e riguardare non solo la persona che ha subito la frode, ma anche la società nel suo insieme (ad esempio, i costi delle indagini di polizia, i costi dei servizi alle vittime, i costi dei processi per stabilire le responsabilità). È pertanto necessario garantire transazioni affidabili e ridurre al minimo il rischio di perdite finanziarie per gli utenti delle apparecchiature radio connesse a internet che effettuano pagamenti tramite tali apparecchiature radio e per i destinatari dei pagamenti così effettuati.

(14)Le apparecchiature radio connesse a internet immesse sul mercato dell'Unione dovrebbero supportare caratteristiche atte a garantire la tutela dalle frodi quando tali apparecchiature consentono al detentore o all'utente di trasferire denaro, valore monetario o valuta virtuale quale definita all'articolo 2, lettera d), della direttiva (UE) 2019/713 del Parlamento europeo e del Consiglio 23 . L'articolo 3, paragrafo 3, lettera f), della direttiva 2014/53/UE dovrebbe pertanto applicarsi a tali apparecchiature radio.

(15)Il regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio 24 stabilisce norme relative ai dispositivi medici e il regolamento (UE) 2017/746 del Parlamento europeo e del Consiglio stabilisce norme relative ai dispositivi medico-diagnostici in vitro 25 . Entrambi i regolamenti (UE) 2017/745 e (UE) 2017/746 affrontano determinati elementi di rischio per la cibersicurezza associati ai rischi di cui all'articolo 3, paragrafo 3, lettere d), e) ed f), della direttiva 2014/53/UE. Le apparecchiature radio cui si applica l'uno o l'altro di tali regolamenti non dovrebbero pertanto rientrare nelle categorie o classi di apparecchiature radio che dovrebbero soddisfare i requisiti essenziali di cui all'articolo 3, paragrafo 3, lettere d), e) ed f), della direttiva 2014/53/UE.

(16)Il regolamento (UE) 2019/2144 del Parlamento europeo e del Consiglio 26 stabilisce i requisiti di omologazione dei veicoli, nonché dei loro sistemi e componenti. Inoltre il regolamento (UE) 2018/1139 del Parlamento europeo e del Consiglio 27 ha come obiettivo principale stabilire e mantenere un livello elevato ed uniforme di sicurezza aerea nell'Unione. La direttiva (UE) 2019/520 del Parlamento europeo e del Consiglio 28 stabilisce infine le condizioni per l'interoperabilità dei sistemi di telepedaggio stradale e per agevolare lo scambio transfrontaliero di informazioni sul mancato pagamento dei pedaggi stradali nell'Unione. I regolamenti (UE) 2019/2144 e (UE) 2018/1139 e la direttiva (UE) 2019/520 affrontano elementi di rischio per la cibersicurezza associati ai rischi di cui all'articolo 3, paragrafo 3, lettere e) ed f), della direttiva 2014/53/UE. Le apparecchiature radio cui si applicano i regolamenti (UE) 2019/2144 e (UE) 2018/1139 o la direttiva (UE) 2019/520 non dovrebbero pertanto rientrare nelle categorie o classi di apparecchiature radio che devono soddisfare i requisiti essenziali di cui all'articolo 3, paragrafo 3, lettere e) ed f), della direttiva 2014/53/UE.

(17)L'articolo 3 della direttiva 2014/53/UE stabilisce i requisiti essenziali a cui gli operatori economici devono conformarsi. Per agevolare la valutazione della conformità a tali requisiti, essa prevede una presunzione di conformità per le apparecchiature radio che sono conformi alle norme armonizzate volontarie adottate ai sensi del regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio 29 al fine di formulare specifiche tecniche dettagliate per tali requisiti. Le specifiche terranno conto e affronteranno i livelli di rischio che corrispondono all'uso previsto per ciascuna categoria o classe di apparecchiature radio interessata dal presente regolamento.

(18)Agli operatori economici dovrebbe essere concesso un periodo di tempo sufficiente per adeguarsi ai requisiti del presente regolamento. L'applicazione del presente regolamento dovrebbe pertanto essere differita. Il presente regolamento non impedisce agli operatori economici di conformarsi allo stesso a decorrere dalla data della sua entrata in vigore.

(19)Durante i lavori preparatori delle misure di cui al presente regolamento la Commissione ha svolto adeguate consultazioni e ha consultato il gruppo di esperti sulle apparecchiature radio,

HA ADOTTATO IL PRESENTE REGOLAMENTO:

Articolo 1

1. Il requisito essenziale di cui all'articolo 3, paragrafo 3, lettera d), della direttiva 2014/53/UE si applica a qualsiasi apparecchiatura radio che può di per sé comunicare tramite internet, sia direttamente sia tramite qualsiasi altra apparecchiatura ("apparecchiature radio connesse a internet").

2. Il requisito essenziale di cui all'articolo 3, paragrafo 3, lettera e), della direttiva 2014/53/UE si applica a una qualsiasi delle seguenti apparecchiature radio, se queste ultime possono effettuare il trattamento, ai sensi dell'articolo 4, punto 2, del regolamento (UE) 2016/679, di dati personali quali definiti all'articolo 4, punto 1, del regolamento (UE) 2016/679, o di dati relativi al traffico e dati relativi all'ubicazione, quali definiti all'articolo 2, lettere b) e c), della direttiva 2002/58/CE:

a)apparecchiature radio connesse a internet, diverse dalle apparecchiature di cui alle lettere b), c) o d);

b)apparecchiature radio progettate o destinate esclusivamente alla cura dei bambini;

c)apparecchiature radio disciplinate dalla direttiva 2009/48/CE;

d)apparecchiature radio progettate o destinate, esclusivamente o non esclusivamente, ad essere indossate oppure ad essere assicurate o appese:

i)a qualsiasi parte del corpo umano, compresi la testa, il collo, il tronco, le braccia, le mani, le gambe e i piedi;

ii)a qualsiasi indumento, compresi copricapi, guanti e calzature, indossato da esseri umani.

3. Il requisito essenziale di cui all'articolo 3, paragrafo 3, lettera f), della direttiva 2014/53/UE si applica a qualsiasi apparecchiatura radio connessa a internet, se tale apparecchiatura consente al detentore o all'utente di trasferire denaro, valore monetario o valuta virtuale quale definita all'articolo 2, lettera d), della direttiva (UE) 2019/713.

Articolo 2

1. In deroga all'articolo 1, i requisiti essenziali di cui all'articolo 3, paragrafo 3, lettere d), e) ed f), della direttiva 2014/53/UE non si applicano alle apparecchiature radio alle quali si applica anche una delle seguenti normative dell'Unione:

a)il regolamento (UE) 2017/745;

b)il regolamento (UE) 2017/746.

2. In deroga all'articolo 1, paragrafi 2 e 3, i requisiti essenziali di cui all'articolo 3, paragrafo 3, lettere e) ed f), della direttiva 2014/53/UE non si applicano alle apparecchiature radio alle quali si applica anche una delle seguenti normative dell'Unione:

a)il regolamento (UE) 2018/1139;

b)il regolamento (UE) 2019/2144;

c)la direttiva (UE) 2019/520.

Articolo 3

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Esso si applica a decorrere dal … [OP: inserire la data corrispondente a 30 mesi dopo la data di entrata in vigore del presente regolamento].

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, il 29.10.2021

(1)    Conclusioni del Consiglio sull'importanza del 5G per l'economia europea e sulla necessità di attenuare i relativi rischi per la sicurezza, https://data.consilium.europa.eu/doc/document/ST-14517-2019-INIT/it/pdf . Conclusioni del Consiglio sull'importanza del 5G per l'economia europea e sulla necessità di attenuare i relativi rischi per la sicurezza, https://www.europarl.europa.eu/legislative-train/api/stages/report/current/theme/connected-digital-single-market/file/cyber-security-package . https://www.forbrukerradet.no/siste-nytt/connected-toys-violate-consumer-laws/ .     http://www.beuc.eu/publications/beuc-x-2018-017_cybersecurity_for_connected_products.pdf .

(2)    In particolare: i) il regolamento generale sulla protezione dei dati (UE) 2016/679 (GDPR), ii) la direttiva 2002/58/CE relativa alla vita privata e alle comunicazioni elettroniche (direttiva e-privacy), iii) il regolamento (UE) 2019/881 (regolamento sulla cibersicurezza), iv) la direttiva (UE) 2019/713 relativa alla lotta contro le frodi e le falsificazioni di mezzi di pagamento diversi dai contanti (direttiva sui mezzi di pagamento diversi dai contanti), v) la direttiva 2013/40/UE relativa agli attacchi contro i sistemi di informazione (direttiva sugli attacchi informatici), vi) la direttiva (UE) 2016/1148 relativa alla sicurezza delle reti e dei sistemi informativi (direttiva NIS) e vii) il regolamento (UE) n. 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (regolamento eIDAS).

(3)     https://www.forbrukerradet.no/siste-nytt/connected-toys-violate-consumer-laws/ .

(4)     http://www.beuc.eu/publications/beuc-x-2018-017_cybersecurity_for_connected_products.pdf .

(5)    Direttiva 2014/53/UE del Parlamento europeo e del Consiglio, del 16 aprile 2014, concernente l'armonizzazione delle legislazioni degli Stati membri relative alla messa a disposizione sul mercato di apparecchiature radio e che abroga la direttiva 1999/5/CE (GU L 153 del 22.5.2014, pag. 62).

(6)    Regolamento (UE) 2019/2144 del Parlamento europeo e del Consiglio, del 27 novembre 2019, relativo ai requisiti di omologazione dei veicoli a motore e dei loro rimorchi, nonché sistemi, componenti ed entità tecniche destinati a tali veicoli, per quanto riguarda la loro sicurezza generale e la protezione degli occupanti dei veicoli e degli utenti vulnerabili della strada, che modifica il regolamento (UE) 2018/858 del Parlamento europeo e del Consiglio e abroga i regolamenti (CE) n. 78/2009, (CE) n. 79/2009 e (CE) n. 661/2009 del Parlamento europeo e del Consiglio e i regolamenti della Commissione (CE) n. 631/2009, (UE) n. 406/2010, (UE) n. 672/2010, (UE) n. 1003/2010, (UE) n. 1005/2010, (UE) n. 1008/2010, (UE) n. 1009/2010, (UE) n. 19/2011, (UE) n. 109/2011, (UE) n. 458/2011, (UE) n. 65/2012, (UE) n. 130/2012, (UE) n. 347/2012, (UE) n. 351/2012, (UE) n. 1230/2012 e (UE) 2015/166 (GU L 325 del 16.12.2019, pag. 1). 

(7)    Regolamento (UE) 2018/1139 del Parlamento europeo e del Consiglio, del 4 luglio 2018, recante norme comuni nel settore dell'aviazione civile, che istituisce un'Agenzia dell'Unione europea per la sicurezza aerea e che modifica i regolamenti (CE) n. 2111/2005, (CE) n. 1008/2008, (UE) n. 996/2010, (UE) n. 376/2014 e le direttive 2014/30/UE e 2014/53/UE del Parlamento europeo e del Consiglio, e abroga i regolamenti (CE) n. 552/2004 e (CE) n. 216/2008 del Parlamento europeo e del Consiglio e il regolamento (CEE) n. 3922/91 del Consiglio (GU L 212 del 22.8.2018, pag. 1). 

(8)    Direttiva (UE) 2019/520 del Parlamento europeo e del Consiglio, del 19 marzo 2019, concernente l'interoperabilità dei sistemi di telepedaggio stradale e intesa ad agevolare lo scambio transfrontaliero di informazioni sul mancato pagamento dei pedaggi stradali nell'Unione (GU L 91 del 29.3.2019, pag. 45).

(9)    Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

(10)    Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37).

(11)    JOIN(2020) 18 final.

(12)     https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/2018-Smartwatches-and-connected-toys .

(13)     https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/2018-Smartwatches-and-connected-toys/public-consultation .

(14)     https://circabc.europa.eu/ui/group/43315f45-aaa7-44dc-9405-a86f639003fe/library/f6e8f574-6864-4350-94bb-1719fe29a6c0?p=1&n=10&sort=modified_DESC .

(15)    JOIN(2020) 18 final.

(16)    https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/2018-Apparecchiature-radio-connesse-a-Internet-e-apparecchiature-radio-portatili_it.

(17)    Lettera d): protezione della rete, lettera e): protezione dei dati personali e della vita privata, lettera f): tutela dalle frodi.

(18)    GU L 153 del 22.5.2014, pag. 62.

(19)    Cybersecurity of 5G networks - EU Toolbox of risk mitigating measures, 29 gennaio 2020, https://ec.europa.eu/digital-single-market/en/nis-cooperation-group.

(20)    Direttiva 2009/48/CE del Parlamento europeo e del Consiglio, del 18 giugno 2009, sulla sicurezza dei giocattoli (GU L 170 del 30.6.2009, pag. 1).

(21)    Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

(22)    Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37).

(23)    Direttiva (UE) 2019/713 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativa alla lotta contro le frodi e le falsificazioni di mezzi di pagamento diversi dai contanti e che sostituisce la decisione quadro 2001/413/GAI del Consiglio (GU L 123 del 10.5.2019, pag. 18).

(24)    Regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio, del 5 aprile 2017, relativo ai dispositivi medici, che modifica la direttiva 2001/83/CE, il regolamento (CE) n. 178/2002 e il regolamento (CE) n. 1223/2009 e che abroga le direttive 90/385/CEE e 93/42/CEE del Consiglio (GU L 117 del 5.5.2017, pag. 1).

(25)    Regolamento (UE) 2017/746 del Parlamento europeo e del Consiglio, del 5 aprile 2017, relativo ai dispositivi medico-diagnostici in vitro e che abroga la direttiva 98/79/CE e la decisione 2010/227/UE della Commissione (GU L 117 del 5.5.2017, pag. 176).

(26)    Regolamento (UE) 2019/2144 del Parlamento europeo e del Consiglio, del 27 novembre 2019, relativo ai requisiti di omologazione dei veicoli a motore e dei loro rimorchi, nonché sistemi, componenti ed entità tecniche destinati a tali veicoli, per quanto riguarda la loro sicurezza generale e la protezione degli occupanti dei veicoli e degli utenti vulnerabili della strada, che modifica il regolamento (UE) 2018/858 del Parlamento europeo e del Consiglio e abroga i regolamenti (CE) n. 78/2009, (CE) n. 79/2009 e (CE) n. 661/2009 del Parlamento europeo e del Consiglio e i regolamenti della Commissione (CE) n. 631/2009, (UE) n. 406/2010, (UE) n. 672/2010, (UE) n. 1003/2010, (UE) n. 1005/2010, (UE) n. 1008/2010, (UE) n. 1009/2010, (UE) n. 19/2011, (UE) n. 109/2011, (UE) n. 458/2011, (UE) n. 65/2012, (UE) n. 130/2012, (UE) n. 347/2012, (UE) n. 351/2012, (UE) n. 1230/2012 e (UE) 2015/166 (GU L 325 del 16.12.2019, pag. 1).

(27)    Regolamento (UE) 2018/1139 del Parlamento europeo e del Consiglio, del 4 luglio 2018, recante norme comuni nel settore dell'aviazione civile, che istituisce un'Agenzia dell'Unione europea per la sicurezza aerea e che modifica i regolamenti (CE) n. 2111/2005, (CE) n. 1008/2008, (UE) n. 996/2010, (UE) n. 376/2014 e le direttive 2014/30/UE e 2014/53/UE del Parlamento europeo e del Consiglio, e abroga i regolamenti (CE) n. 552/2004 e (CE) n. 216/2008 del Parlamento europeo e del Consiglio e il regolamento (CEE) n. 3922/91 del Consiglio (GU L 212 del 22.8.2018, pag. 1). 

(28)    Direttiva (UE) 2019/520 del Parlamento europeo e del Consiglio, del 19 marzo 2019, concernente l'interoperabilità dei sistemi di telepedaggio stradale e intesa ad agevolare lo scambio transfrontaliero di informazioni sul mancato pagamento dei pedaggi stradali nell'Unione (GU L 91 del 29.3.2019, pag. 45).

(29)    Regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, sulla normazione europea, che modifica le direttive 89/686/CEE e 93/15/CEE del Consiglio nonché le direttive 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE e 2009/105/CE del Parlamento europeo e del Consiglio e che abroga la decisione 87/95/CEE del Consiglio e la decisione n. 1673/2006/CE del Parlamento europeo e del Consiglio (GU L 316 del 14.11.2012, pag. 12).