(1)

A proteção da rede ou do seu funcionamento contra danos, a proteção dos dados pessoais e da privacidade do utilizador e do assinante e a proteção de fraudes são elementos que apoiam a proteção contra riscos de cibersegurança.

(2)

Conforme indicado no considerando 13 da Diretiva 2014/53/UE, a proteção dos dados pessoais e da privacidade dos utilizadores e dos assinantes de equipamentos de rádio e a proteção contra a fraude podem ser reforçadas através de características específicas dos equipamentos de rádio. De acordo com o referido considerando, em certos casos, os equipamentos de rádio deverão assim ser concebidos de forma a incluírem essas funcionalidades.

(3)

A tecnologia 5G desempenhará um papel fundamental no desenvolvimento da economia digital e da sociedade da União nos próximos anos e afetará potencialmente quase todos os aspetos das vidas dos cidadãos da União. O documento com o título «Cybersecurity of 5G networks EU Toolbox of risk mitigating measures» («Conjunto de instrumentos da UE para a cibersegurança das redes 5G») (2) identifica um possível conjunto de medidas comuns que podem atenuar os principais riscos de cibersegurança das redes 5G e fornece orientações para a seleção das medidas às quais deve ser dada prioridade nos planos de atenuação a nível nacional e da União. Além destas medidas, é muito importante seguir uma abordagem harmonizada aos requisitos essenciais relacionados com elementos de proteção da cibersegurança aplicáveis aos equipamentos de rádio 5G quando são colocados no mercado da União.

(4)

O nível de segurança aplicável ao abrigo dos requisitos essenciais da União estabelecidos no artigo 3.o, n.o 3, alíneas d), e) e f), para assegurar a proteção das redes, salvaguardas para a proteção dos dados pessoais e da privacidade e proteção de fraudes não pode comprometer o elevado nível de segurança exigido a nível nacional para redes inteligentes descentralizadas no domínio da energia nos casos em que devam ser utilizados contadores inteligentes sujeitos aos referidos requisitos, e para equipamento de rede 5G utilizado por fornecedores de redes públicas de comunicações eletrónicas e de serviços de comunicações eletrónicas acessíveis ao público na aceção da Diretiva (UE) 2018/1972 do Parlamento Europeu e do Conselho (3).

(5)

Foram igualmente manifestadas diversas preocupações relativamente ao aumento dos riscos de cibersegurança como resultado do aumento da utilização por profissionais e consumidores, incluindo crianças, de equipamentos de rádio: i) capazes, por si só, de comunicar na Internet, independentemente de comunicarem diretamente ou através de qualquer outro equipamento («equipamento de rádio ligado à Internet»), ou seja, esse equipamento ligado à Internet opera protocolos necessários ao intercâmbio de dados com a Internet diretamente ou através de equipamento intermédio, ii) que podem ser um brinquedo com função de rádio que também se enquadra no âmbito de aplicação da Diretiva 2009/48/CE do Parlamento Europeu e do Conselho (4) ou ser concebidos ou destinados exclusivamente a cuidados infantis, tais como monitores de crianças, ou iii) concebidos ou destinados, exclusivamente ou não, a ser usados, presos ou pendurados em qualquer parte do corpo humano (incluindo a cabeça, pescoço, tronco, braços, mãos, pernas e pés) ou qualquer vestuário (incluindo acessórios para a cabeça, para as mãos e calçado) usado por seres humanos, tais como equipamentos de rádio sob a forma de relógio de pulso, anel, pulseira, auscultador, auricular ou óculos («equipamento de rádio usável»).

(6)

A este respeito, qualquer equipamento de rádio para cuidados infantis, equipamento de rádio abrangido pela Diretiva 2009/48/CE ou equipamento de rádio usável, capaz de comunicar por si só na Internet, independentemente de comunicar diretamente ou através de qualquer outro equipamento, deve ser considerado equipamento de rádio ligado à Internet. Os implantes, por exemplo, não devem ser considerados equipamento de rádio usável, uma vez que não são usados, presos ou pendurados em qualquer parte do corpo humano ou qualquer vestuário. Contudo, os implantes devem ser considerados equipamento de rádio ligado à Internet caso sejam capazes por si só de comunicar na Internet, independentemente de comunicarem diretamente ou através de qualquer outro equipamento.

(7)

Dadas as preocupações manifestadas devido ao facto de o equipamento de rádio não assegurar a proteção contra elementos dos riscos de cibersegurança, é necessário tornar aplicáveis, para os equipamentos de rádio abrangidos por determinadas categorias ou classes, os requisitos essenciais da Diretiva 2014/53/UE associados à proteção da rede contra danos, à proteção dos dados pessoais e da privacidade dos utilizadores e dos assinantes e à proteção de fraudes.

(8)

A Diretiva 2014/53/UE aplica-se a produtos que satisfazem a definição de «equipamento de rádio» no artigo 2.o dessa diretiva, sob reserva de exclusões específicas indicadas no artigo 1.o, n.os 2 e 3, dessa diretiva. Embora a definição de equipamento de rádio no artigo 2.o da Diretiva 2014/53/UE se refira a equipamento capaz de comunicar com ondas hertzianas, nenhum requisito da Diretiva 2014/53/UE estabelece uma distinção entre as funções de rádio e não rádio do equipamento de rádio e, por conseguinte, todos os aspetos e partes do equipamento devem cumprir os requisitos essenciais previstos neste regulamento delegado.

(9)

Relativamente aos danos à rede ou ao seu funcionamento ou à utilização inadequada dos recursos da rede, equipamentos de rádio ligados à Internet que não assegurem que as redes não sejam danificadas nem utilizadas inadequadamente podem provocar uma degradação inaceitável dos serviços. Por exemplo, um atacante pode inundar maliciosamente a rede de Internet para evitar o tráfego na rede legítimo, prejudicar as ligações entre dois produtos de rádio e assim bloqueando assim o acesso a um serviço, bloquear o acesso de uma pessoa específica a um serviço, perturbar um serviço para uma pessoa ou um sistema específico ou interferir com informação. Como tal, a degradação de serviços em linha pode resultar em ciberataques maliciosos, que conduzirão ao aumento de custos, transtornos ou riscos para operadores, prestadores de serviços ou utilizadores. Por conseguinte, o artigo 3.o, n.o 3, alínea d), da Diretiva 2014/53/UE, que exige que os equipamentos de rádio não danifiquem a rede nem o seu funcionamento, nem utilizem inadequadamente os recursos da rede, provocando uma degradação inaceitável do serviço, deve aplicar-se aos equipamentos de rádio ligados à Internet.

(10)

Foram igualmente manifestadas preocupações relativamente à proteção dos dados pessoais e da privacidade do utilizador e do assinante dos equipamentos de rádio ligados à Internet devido à capacidade dos referidos equipamentos de rádio de registar, armazenar e partilhar informações, interagir com o utilizador, incluindo crianças, quando estejam integrados altifalantes, microfones e outros sensores nesses equipamentos de rádio. Estas preocupações dizem respeito, em particular, à capacidade desses equipamentos de rádio de registar fotografias, vídeos, dados de localização, dados ligados à experiência de brincar, bem como a frequência cardíaca, os hábitos de sono ou outros dados pessoais. Por exemplo, é possível aceder às configurações avançadas dos equipamentos de rádio através de uma palavra-passe predefinida, se a ligação ou os dados não estiverem encriptados ou se não for usado um mecanismo de autenticação forte.

(11)

Por conseguinte, é importante que os equipamentos de rádio ligados à Internet, colocados no mercado da União, incluam salvaguardas que assegurem a proteção dos dados pessoais e da privacidade quando são capazes de tratar dados pessoais, conforme definidos no artigo 4.o, ponto 1, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (5), ou dados definidos no artigo 2.o, alíneas b) e c), da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho (6). Por conseguinte, o artigo 3.o, n.o 3, alínea e), da Diretiva 2014/53/UE deve aplicar-se aos equipamentos de rádio ligados à Internet.

(12)

Adicionalmente, no que respeita à proteção dos dados pessoais e da privacidade, os equipamentos de rádio para cuidados infantis, os equipamentos de rádio abrangidos pela Diretiva 2009/48/CE e os equipamentos de rádio usáveis apresentam riscos de segurança mesmo na ausência de uma ligação à Internet. Os dados pessoais podem ser intercetados quando esse equipamento de rádio transmite ou recebe ondas hertzianas e não inclui salvaguardas que assegurem a proteção dos dados pessoais e da privacidade. Os equipamentos de rádio para cuidados infantis, os equipamentos de rádio abrangidos pela Diretiva 2009/48/CE e os equipamentos de rádio usáveis podem monitorizar e registar diversos dados (pessoais) sensíveis do utilizador ao longo do tempo e retransmiti-los através de tecnologias das comunicações que podem não ser seguras. Os equipamentos de rádio para cuidados infantis, os equipamentos de rádio abrangidos pela Diretiva 2009/48/CE e os equipamentos de rádio usáveis devem igualmente assegurar a proteção dos dados pessoais e da privacidade, caso sejam capazes de tratar, na aceção do artigo 4.o, ponto 2, do Regulamento (UE) 2016/679, dados pessoais, conforme definidos no artigo 4.o, ponto 1, do Regulamento (UE) 2016/679, ou dados de tráfego e dados de localização, conforme definidos no artigo 2.o, alíneas b) e c), da Diretiva 2002/58/CE. Por conseguinte, o artigo 3.o, n.o 3, alínea e), da Diretiva 2014/53/UE deve aplicar-se aos referidos equipamentos de rádio.

(13)

No que respeita à fraude, podem ser roubadas informações, incluindo dados pessoais, dos equipamentos de rádio ligados à Internet, que não asseguram a proteção de fraudes. Há tipos específicos de fraudes que afetam equipamentos de rádio ligados à Internet quando utilizados para realizar pagamentos na Internet. Os custos podem ser elevados e não afetam apenas a pessoa que sofreu a fraude, mas também a sociedade em geral (por exemplo, o custo da investigação policial, os custos de serviços de apoio à vítima, os custos de julgamentos para apurar responsabilidades). Por conseguinte, é necessário garantir transações fiáveis e minimizar o risco de incorrer em perdas financeiras para os utilizadores de equipamento de rádio ligado à Internet que realizem o pagamento através desse equipamento de rádio e para o destinatário do pagamento realizado através desse equipamento de rádio.

(14)

Os equipamentos de rádio ligados à Internet colocados no mercado da União devem apoiar características que assegurem a proteção de fraudes quando permitem ao titular ou utilizador transferir dinheiro, valor monetário ou moeda virtual, conforme definida no artigo 2.o, alínea d), da Diretiva (UE) 2019/713 do Parlamento Europeu e do Conselho (7). Por conseguinte, o artigo 3.o, n.o 3, alínea f), da Diretiva 2014/53/UE deve aplicar-se aos referidos equipamentos de rádio.

(15)

O Regulamento (UE) 2017/745 do Parlamento Europeu e do Conselho (8) estabelece regras relativas aos dispositivos médicos e Regulamento (UE) 2017/746 do Parlamento Europeu e do Conselho (9) estabelece regras relativas aos dispositivos médicos para diagnóstico in vitro. Ambos os Regulamentos (UE) 2017/745 e (UE) 2017/746 abordam determinados elementos dos riscos de cibersegurança associados aos riscos abrangidos pelo artigo 3.o, n.o 3, alíneas d), e) e f), da Diretiva 2014/53/UE. Por conseguinte, os equipamentos de rádio aos quais se aplica um desses regulamentos não deverão enquadrar-se nas categorias ou classes de equipamentos de rádio que devem cumprir os requisitos essenciais estabelecidos no artigo 3.o, n.o 3, alíneas d), e) e f), da Diretiva 2014/53/UE.

(16)

O Regulamento (UE) 2019/2144 do Parlamento Europeu e do Conselho (10) estabelece requisitos para a homologação de veículos e de respetivos sistemas e componentes. Além disso, o Regulamento (UE) 2018/1139 do Parlamento Europeu e do Conselho (11) tem como objetivo principal estabelecer e manter um nível elevado e uniforme de segurança operacional da aviação civil na União. A Diretiva (UE) 2019/520 do Parlamento Europeu e do Conselho (12) estabelece ainda as condições para a interoperabilidade dos sistemas eletrónicos de portagem rodoviária e para facilitar o intercâmbio transfronteiriço de informações sobre o não pagamento de taxas rodoviárias na União. Os Regulamentos (UE) 2019/2144 e (UE) 2018/1139 e a Diretiva (UE) 2019/520 abordam elementos dos riscos de cibersegurança associados aos riscos estabelecidos no artigo 3.o, n.o 3, alíneas e) e f), da Diretiva 2014/53/UE. Por conseguinte, os equipamentos de rádio aos quais se aplicam os Regulamentos (UE) 2019/2144 e (UE) 2018/1139 ou a Diretiva (UE) 2019/520 não deverão enquadrar-se nas categorias ou classes de equipamentos de rádio que devem cumprir os requisitos essenciais estabelecidos no artigo 3.o, n.o 3, alíneas e) e f), da Diretiva 2014/53/UE.

(17)

O artigo 3.o da Diretiva 2014/53/UE prevê requisitos essenciais que os operadores económicos devem cumprir. A fim de facilitar a avaliação da conformidade com esses requisitos, prevê uma presunção de conformidade para os equipamentos de rádio que cumpram normas harmonizadas voluntárias adotadas nos termos do Regulamento (UE) n.o 1025/2012 do Parlamento Europeu e do Conselho (13), com vista à formulação de especificações técnicas pormenorizadas para esses requisitos. As especificações terão em consideração e abordarão o nível dos riscos que corresponda à utilização prevista de cada categoria ou classe de equipamento de rádio abrangido por este regulamento.

(18)

Os operadores económicos devem dispor de tempo suficiente para se adaptarem aos requisitos do presente regulamento. Por conseguinte, a aplicação do presente regulamento deverá ser diferida. O presente regulamento não impede os operadores económicos de o cumprirem a partir da data da sua entrada em vigor.

(19)

A Comissão realizou consultas adequadas durante o trabalho preparatório das medidas estabelecidas no presente regulamento e consultou o grupo de peritos sobre equipamentos de rádio,