(1)

Tīkla vai tā darbības aizsardzība pret kaitējumu, lietotāja un abonenta persondatu un privātuma aizsardzība un aizsardzība pret krāpšanu ir elementi, kas atbalsta aizsardzību no kiberdrošības apdraudējuma.

(2)

Direktīvas 2014/53/ES 13. apsvērumā norādīts, ka radioiekārtu lietotāju un abonentu persondatu un privātuma aizsardzību un aizsardzību pret krāpšanu var uzlabot ar īpašām radioiekārtu funkcijām. Tādējādi saskaņā ar šo apsvērumu attiecīgos gadījumos radioiekārtas projektējamas tā, lai tām darbotos šīs funkcijas.

(3)

Nākamajos gados svarīga loma Savienības digitālās ekonomikas un sabiedrības attīstībā būs 5G, kas potenciāli ietekmēs gandrīz visus Savienības pilsoņu dzīves aspektus. Dokumentā, kas saucas “5G tīklu kiberdrošība. ES riska mazināšanas pasākumu kopums” (2), noteikta iespējama kopīga pasākumu virkne, kas spētu mazināt 5G tīklu galveno kiberdrošības risku, un doti norādījumi par to pasākumu atlasi, kuriem riska mazināšanas plānos valsts un Savienības līmenī piešķirama prioritāte. Papildus minētajiem pasākumiem ļoti svarīgi ir ievērot saskaņotu pieeju pamatprasībām, kas attiecas uz kiberdrošības aizsardzības elementiem, kurus 5G radioiekārtām piemēro, kad tās laiž Savienības tirgū.

(4)

Drošības līmenim, kas piemērojams saskaņā ar Savienības pamatprasībām, kuras izklāstītas 3. panta 3. punkta pirmās daļas d), e) un f) punktā, lai nodrošinātu tīkla aizsardzību, persondatu aizsardzības un privātuma aizsardzības garantijas un aizsardzību pret krāpšanu, nav jāapdraud augstais drošības līmenis, kas valsts līmenī tiek prasīts no decentralizētiem viedtīkliem enerģētikas jomā, kur jāizmanto viedskaitītāji, uz kuriem attiecas minētās prasības, un 5G tīkla iekārtām, ko izmanto publisko elektronisko sakaru tīklu nodrošinātāji un publiski pieejamu elektronisko sakaru pakalpojumu sniedzēji Eiropas Parlamenta un Padomes Direktīvas (ES) 2018/1972 (3) nozīmē.

(5)

Ir paustas arī bažas sakarā ar kiberdrošības risku pieaugumu, ko rada tas, ka speciālisti un patērētāji, to vidū bērni, arvien vairāk izmanto radioiekārtas, kuras: i) spēj pašas sazināties internetā neatkarīgi no tā, vai sazinās tieši vai caur citu iekārtu (“internetam pieslēgtas radioiekārtas”), proti, tādas internetam pieslēgtas iekārtas izmanto protokolus, kas nepieciešami datu apmaiņai ar internetu tieši vai caur starpiekārtām; ii) ir rotaļlietas ar radiofunkciju, kuras ietilpst arī Eiropas Parlamenta un Padomes Direktīvas 2009/48/EK (4) darbības jomā, vai ir projektētas vai paredzētas tikai bērnu aprūpei, piemēram, bērnu uzraudzīšanai; iii) ir projektētas vai paredzētas tikai vai ne tikai valkāšanai, piesprādzēšanai vai karināšanai pie kādas cilvēka ķermeņa daļas (ieskaitot galvu, kaklu, rumpi, rokas, plaukstas, kājas un pēdas) vai apģērba gabalam (ieskaitot galvassegas, cimdus un apavus), ko valkā cilvēki, piemēram, radioiekārtas rokas pulksteņa, gredzena, aproces, galvas tālruņa, austiņu vai aceņu veidā (turpmāk “valkājamas radioiekārtas”).

(6)

Šajā sakarā par internetam pieslēgtām radioiekārtām uzskatāmas visas bērnu aprūpes radioiekārtas, radioiekārtas, uz kurām attiecas Direktīva 2009/48/EK, un valkājamas radioiekārtas, kuras pašas spēj sazināties internetā tieši vai caur citu iekārtu. Piemēram, implanti nav uzskatāmi par valkājamām radioiekārtām, jo tie netiek uzvilkti, piesprādzēti vai piekarināti kādai cilvēka ķermeņa daļai vai apģērbam. Taču implanti jāuzskata par internetam pieslēgtām radioiekārtām, ja tie spēj paši sazināties internetā, neatkarīgi no tā, vai tie sazinās tieši vai caur citu iekārtu.

(7)

Ņemot vērā problēmas ar to, ka radioiekārtas nenodrošina aizsardzību pret kiberdrošības riska elementiem, attiecībā uz radioiekārtām, kuras ietilpst noteiktās kategorijās vai klasēs, ir jāpadara piemērojamas Direktīvas 2014/53/ES pamatprasības, kas saistītas ar aizsardzību pret kaitējumu tīklam, lietotāju un abonentu persondatu un privātuma aizsardzību un aizsardzību pret krāpšanu.

(8)

Direktīva 2014/53/ES attiecas uz ražojumiem, kas atbilst “radioiekārtu” definīcijai minētās direktīvas 2. pantā, ievērojot specifiskus izņēmumus, kas noteikti minētās direktīvas 1. panta 2. un 3. punktā. Lai gan radioiekārtu definīcija Direktīvas 2014/53/ES 2. pantā attiecas uz iekārtām, kas spēj sazināties radioviļņos, nevienā Direktīvas 2014/53/ES prasībā radioiekārtu radiosakaru funkcijas nav nošķirtas no funkcijām, kas nav radiosakaru funkcijas, tāpēc visiem iekārtu aspektiem un detaļām jāatbilst šajā deleģētajā regulā noteiktajām pamatprasībām.

(9)

Runājot par kaitējumu tīklam vai tā darbībai un par tīkla resursu ļaunprātīgu izmantošanu, pakalpojumu nepieļaujamu pasliktināšanos var izraisīt internetam pieslēgtas radioiekārtas, kuras nenodrošina, ka tīkliem netiek nodarīts kaitējums un tie netiek ļaunprātīgi izmantoti. Piemēram, uzbrucējs var ļaunprātīgi pārplūdināt interneta tīklu, lai apturētu likumīgu tīkla datplūsmu, pārrautu savienojumus starp diviem radiotehnikas ražojumiem, tādējādi neļaujot saņemt pakalpojumu, liegtu kādai personai saņemt pakalpojumu, pārrautu pakalpojuma sniegšanu noteiktai sistēmai vai personai vai traucētu informēšanu. Tādējādi tiešsaistes pakalpojumu pasliktināšanās var izraisīt ļaunprātīgus kiberuzbrukumus, kas radīs augstākas izmaksas, neērtības vai risku operatoriem, pakalpojumu sniedzējiem vai lietotājiem. Tāpēc uz internetam pieslēgtām radioiekārtām jāattiecina Direktīvas 2014/53/ES 3. panta 3. punkta pirmās daļas d) punkts, kur noteikts, ka radioiekārtas nedrīkst kaitēt tīklam un tā darbībai vai ļaunprātīgi izmantot tīkla resursus, tādējādi izraisot nepieņemamu pakalpojuma pasliktināšanos.

(10)

Ir paustas bažas arī par internetam pieslēgtu radioiekārtu lietotāja un abonenta persondatu un privātuma aizsardzību, ņemot vērā šo radioiekārtu spēju ierakstīt, glabāt un kopīgot informāciju, mijdarboties ar lietotājiem, arī bērniem, ja šajās radioiekārtās ir iebūvēti skaļruņi, mikrofoni un citi sensori. Bažas galvenokārt attiecas uz šo radioiekārtu spēju ierakstīt fotoattēlus, video, vietas datus, ar spēlēm saistītus datus, kā arī pulsu, miega paradumus vai citus persondatus. Piemēram, sīkākiem radioiekārtu iestatījumiem var piekļūt ar noklusējuma paroli, ja pieslēgums vai dati nav šifrēti vai nav izveidots drošs autentifikācijas mehānisms.

(11)

Tāpēc ir svarīgi, lai internetam pieslēgtās radioiekārtās, kas tiek laistas Savienības tirgū, būtu iestrādāti aizsardzības pasākumi, kas nodrošina persondatu un privātuma aizsardzību, ja tās spēj apstrādāt persondatus, kas definēti Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (5) 4. panta 1. punktā, vai datus, kas definēti Eiropas Parlamenta un Padomes Direktīvas 2002/58/EK (6) 2. panta b) un c) punktā. Tāpēc internetam pieslēgtām radioiekārtām piemērojams Direktīvas 2014/53/ES 3. panta 3. punkta pirmās daļas e) punkts.

(12)

Turklāt persondatu un privātuma aizsardzības ziņā bērnu aprūpes radioiekārtas, radioiekārtas, uz kurām attiecas Direktīva 2009/48/EK, un valkājamas radioiekārtas rada drošības apdraudējumu pat tad, ja nav interneta pieslēguma. Persondatus var pārtvert, ja radioiekārtas izstaro vai uztver radioviļņus un trūkst aizsardzības pasākumu, kas nodrošina persondatu un privātuma aizsardzību. Bērnu aprūpes radioiekārtas, radioiekārtas, uz kurām attiecas Direktīva 2009/48/EK, un valkājamās radioiekārtas laika gaitā var uzraudzīt un ierakstīt daudzus lietotāja sensitīvos datus (persondatus) un tos pārsūtīt, izmantojot sakaru tehnoloģijas, kas var nebūt drošas. Bērnu aprūpes radioiekārtām, radioiekārtām, uz kurām attiecas Direktīva 2009/48/EK, un valkājamām radioiekārtām jānodrošina arī persondatu un privātuma aizsardzība, ja tās spēj Regulas (ES) 2016/679 4. panta 2. punkta nozīmē apstrādāt persondatus, kas definēti Regulas (ES) 2016/679 4. panta 1. punktā, vai satiksmes datus un vietas datus, kas definēti Direktīvas 2002/58/EK 2. panta b) un c) punktā. Tāpēc minētajām radioiekārtām piemērojams Direktīvas 2014/53/ES 3. panta 3. punkta pirmās daļas e) punkts.

(13)

Runājot par krāpšanu, informāciju ar persondatiem var izzagt no internetam pieslēgtām radioiekārtām, kuras nenodrošina aizsardzību pret krāpšanu. Specifiski krāpšanas veidi apdraud internetam pieslēgtās radioiekārtas, kad tās izmanto maksāšanai internetā. Izmaksas var būt augstas un attiecas ne tikai uz personu, kura cietusi no krāpšanas, bet arī uz visu sabiedrību (piemēram, policijas izmeklēšanas izmaksas, cietušo apkalpošanas izmaksas, tiesvedības izmaksas atbildības noteikšanai). Tādēļ ir nepieciešams nodrošināt uzticamus darījumus un minimalizēt finansiāla zaudējuma risku internetam pieslēgtu radioiekārtu lietotājiem, kuri maksā no šīm radioiekārtām, un no tām veiktā maksājuma saņēmējam.

(14)

Internetam pieslēgtām radioiekārtām, kas laistas Savienības tirgū, jāatbalsta funkcijas, kas nodrošina aizsardzību pret krāpšanu, ja tās dod iespēju turētājam vai lietotājam pārskaitīt naudu, monetāro vērtību vai virtuālo valūtu, kas definēta Eiropas Parlamenta un Padomes Direktīvas (ES) 2019/713 (7) 2. panta d) punktā. Tāpēc minētajām radioiekārtām piemērojams Direktīvas 2014/53/ES 3. panta 3. punkta pirmās daļas f) punkts.

(15)

Eiropas Parlamenta un Padomes Regulā (ES) 2017/745 (8) ir noteikumi par medicīniskajām ierīcēm, un Eiropas Parlamenta un Padomes Regulā (ES) 2017/746 (9) ir noteikumi par in vitro diagnostikas medicīniskajām ierīcēm. Gan Regulā (ES) 2017/745, gan Regulā (ES) 2017/746 ir aplūkoti noteikti kiberdrošības riska elementi, kas saistīti ar Direktīvas 2014/53/ES 3. panta 3. punkta pirmās daļas d), e) un f) punktā aplūkoto risku. Tāpēc radioiekārtām, uz kurām attiecas kāda no minētajām regulām, nav jāietilpst radioiekārtu kategorijās vai klasēs, kurām jāizpilda Direktīvas 2014/53/ES 3. panta 3. punkta pirmās daļas d), e) un f) punktā noteiktās pamatprasības.

(16)

Eiropas Parlamenta un Padomes Regulā (ES) 2019/2144 (10) ir noteiktas transportlīdzekļu, to sistēmu un sastāvdaļu tipa apstiprināšanas prasības. Bez tam Eiropas Parlamenta un Padomes Regulas (ES) 2018/1139 (11) galvenais mērķis ir izveidot un uzturēt vienādi augstu civilās aviācijas drošības līmeni Savienībā. Turklāt Eiropas Parlamenta un Padomes Direktīvā (ES) 2019/520 (12) ir nosacījumi ceļu lietošanas maksas elektroniskās iekasēšanas sistēmu savstarpējai izmantojamībai un informēšanas par ceļu lietošanas maksas nesamaksāšanu pārrobežu apmaiņas veicināšanai Savienībā. Regulas (ES) 2019/2144 un (ES) 2018/1139 un Direktīva (ES) 2019/520 attiecas uz kiberdrošības riska elementiem, kas saistās ar Direktīvas 2014/53/ES 3. panta 3. punkta pirmās daļas e) un f) punktā noteikto risku. Tāpēc radioiekārtām, uz kurām attiecas Regulas (ES) 2019/2144 un (ES) 2018/1139 vai Direktīva (ES) 2019/520, nav jāietilpst radioiekārtu kategorijās vai klasēs, kurām jāizpilda Direktīvas 2014/53/ES 3. panta 3. punkta pirmās daļas e) un f) punktā noteiktās pamatprasības.

(17)

Direktīvas 2014/53/ES 3. pantā ir noteiktas pamatprasības, kuras ekonomikas dalībniekiem ir jāizpilda. Lai atvieglotu atbilstības minētajām prasībām novērtēšanu, tajā paredzēts pieņēmums par to radioiekārtu atbilstību, kuras atbilst brīvprātīgi saskaņotajiem standartiem, kas pieņemti saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 1025/2012 (13) ar mērķi formulēt detalizētas minēto prasību tehniskās specifikācijas. Specifikācijās tiks ņemts vērā un risināts riska līmenis, kas atbilst katrai šīs regulas aptvertajai radioiekārtu kategorijai vai klasei paredzētajam lietojumam.

(18)

Jādod ekonomikas dalībniekiem pietiekami daudz laika, lai tie varētu pielāgoties šīs regulas prasībām. Tādēļ šīs regulas piemērošana jāatliek uz vēlāku laiku. Šī regula neliedz ekonomikas dalībniekiem to ievērot no tās spēkā stāšanās brīža.

(19)

Veicot šajā regulā izklāstīto pasākumu priekšdarbus, Komisija ir rīkojusi attiecīgas konsultācijas un apspriedusies ar Radioiekārtu ekspertu grupu,