(1)

Protecția împotriva prejudicierii rețelei sau a funcționării acesteia, protecția datelor cu caracter personal și a vieții private a utilizatorilor și a abonaților și protecția împotriva fraudelor sunt elemente care sprijină protecția împotriva riscurilor în materie de securitate cibernetică.

(2)

Astfel cum se menționează în considerentul 13 din Directiva 2014/53/UE, protecția datelor cu caracter personal și a vieții private a utilizatorilor și a abonaților la echipamente radio și protecția împotriva fraudelor poate fi sporită prin caracteristici speciale ale echipamentelor radio. Conform aceluiași considerent, echipamentele radio trebuie, deci, în cazurile corespunzătoare, să fie concepute astfel încât să fie compatibile cu aceste caracteristici.

(3)

Tehnologia 5G va juca un rol-cheie în dezvoltarea economiei și a societății digitale în Uniune în anii următori și este posibil să influențeze aproape toate aspectele vieții cetățenilor UE. Documentul intitulat „Securitatea cibernetică a rețelelor 5G – Setul de instrumente cu măsuri de atenuare a riscurilor al UE” (2) identifică un posibil set comun de măsuri pentru atenuarea principalelor riscuri pentru securitatea cibernetică a rețelelor 5G și oferă orientări pentru alegerea măsurilor cărora trebuie să li se acorde prioritate în cadrul planurilor de atenuare la nivel național și la nivelul Uniunii. Pe lângă aceste măsuri, este foarte importantă adoptarea unei abordări armonizate a cerințelor esențiale referitoare la elementele de asigurare a securității cibernetice aplicabile echipamentelor radio 5G la introducerea acestora pe piața UE.

(4)

Nivelul de securitate aplicabil în temeiul cerințelor esențiale ale Uniunii prevăzute la articolul 3 alineatul (3) literele (d), (e) și (f) pentru a asigura protecția rețelei, sisteme pentru protecția datelor cu caracter personal și a vieții private și protecția împotriva fraudelor nu subminează nivelul ridicat de securitate solicitat la nivel național pentru rețelele inteligente descentralizate în domeniul energiei în care sunt utilizate contoare inteligente care fac obiectul cerințelor respective și pentru echipamentele de rețea 5G utilizate de furnizorii de rețele publice de comunicații electronice și de servicii de comunicații electronice destinate publicului în sensul Directivei (UE) 2018/1972 a Parlamentului European și a Consiliului (3).

(5)

Au fost exprimate, de asemenea, numeroase îngrijorări legate de creșterea riscurilor în materie de securitate cibernetică ca urmare a utilizării sporite de către profesioniști și consumatori, inclusiv copii, a echipamentelor radio care: (i) pot comunica prin internet, fie direct, fie prin intermediul oricărui alt echipament („echipamente radio conectate la internet”), adică aceste echipamente conectate la internet utilizează protocoale necesare pentru a schimba date cu internetul direct sau prin intermediul unui echipament intermediar; (ii) pot fi jucării cu funcție radio care intră, de asemenea, sub incidența Directivei 2009/48/CE a Parlamentului European și a Consiliului (4) sau care sunt concepute sau destinate exclusiv îngrijirii copiilor, cum ar fi sistemele de monitorizare pentru copii; sau (iii) sunt concepute sau destinate, exclusiv sau neexclusiv, pentru a fi purtate pe, prinse sau atârnate de orice parte a corpului (inclusiv cap, gât, trunchi, brațe, mâini și picioare) sau de orice articole de îmbrăcăminte (inclusiv articole pentru acoperirea capului, a mâinilor și încălțăminte) purtate de persoane, cum ar fi echipamente radio sub formă de ceasuri de mână, inele, brățări, căști cu fixare pe cap și cu fixare pe ureche sau ochelari („echipamente radio portabile”).

(6)

În acest sens, orice echipament radio pentru îngrijirea copiilor, orice echipament radio reglementat de Directiva 2009/48/CE sau orice echipament radio portabil care poate comunica prin internet, fie direct, fie prin intermediul oricărui alt echipament, trebuie să fie considerat echipament radio conectat la internet. Implanturile, de exemplu, nu trebuie considerate echipamente radio portabile, deoarece nu sunt purtate pe, prinse sau atârnate de nicio parte a corpului sau de niciun articol de îmbrăcăminte. Totuși, implanturile trebuie să fie considerate echipamente radio conectate la internet dacă sunt capabile să comunice prin internet, fie direct, fie prin intermediul oricărui alt echipament.

(7)

Având în vedere îngrijorările exprimate ca urmare a faptului că echipamentele radio nu asigură protecția împotriva unor elemente de risc la adresa securității cibernetice, este necesară aplicarea, în cazul echipamentelor radio care aparțin anumitor categorii sau clase, a cerințelor esențiale prevăzute în Directiva 2014/53/UE legate de protecția împotriva prejudicierii rețelei, protecția datelor cu caracter personal și a vieții private a utilizatorilor și a abonaților, precum și protecția împotriva fraudelor.

(8)

Directiva 2014/53/UE se aplică produselor care corespund definiției „echipamentelor radio” de la articolul 2 din directiva respectivă, sub rezerva excluderilor specifice menționate la articolul 1 alineatul (2) și la articolul 1 alineatul (3) din directiva respectivă. În timp ce definiția echipamentelor radio de la articolul 2 din Directiva 2014/53/UE se referă la echipamentele care pot realiza comunicații prin intermediul undelor radio, nicio cerință din directiva amintită nu face distincție între funcțiile radio și cele non-radio ale echipamentelor radio și, prin urmare, toate aspectele și componentele echipamentelor trebuie să respecte cerințele esențiale prevăzute în prezentul regulament delegat.

(9)

În ceea ce privește prejudicierea rețelei sau a funcționării acesteia ori utilizarea în mod necorespunzător a resurselor acesteia, deteriorarea inacceptabilă a serviciilor poate fi cauzată de echipamentele radio conectate la internet care nu garantează faptul că rețelele nu vor fi prejudiciate sau că resursele acestora nu vor fi utilizate în mod necorespunzător. De exemplu, un atacator rău-intenționat poate inunda cu date rețeaua de internet pentru a împiedica traficul legitim de rețea, poate întrerupe conexiunile dintre două produse radio, împiedicând astfel accesul la un serviciu, poate împiedica o anumită persoană să acceseze un serviciu, poate întrerupe un serviciu către un anumit sistem sau o anumită persoană sau poate perturba informațiile. Deteriorarea serviciilor online poate duce astfel la atacuri cibernetice rău-intenționate, care vor determina creșterea costurilor și vor genera inconveniente sau riscuri pentru operatori, prestatori de servicii sau utilizatori. Prin urmare, articolul 3 alineatul (3) litera (d) din Directiva 2014/53/UE, care prevede cerința ca echipamentele radio să nu prejudicieze rețeaua sau funcționarea acesteia și să nu utilizeze în mod necorespunzător resursele acesteia, provocând astfel o deteriorare inacceptabilă a serviciului, trebuie să se aplice echipamentelor radio conectate la internet.

(10)

Au fost exprimate îngrijorări și în ceea ce privește protecția datelor cu caracter personal și a vieții private a utilizatorilor și a abonaților la echipamentele radio conectate la internet, având în vedere faptul că acestea pot înregistra, stoca și partaja informații, pot interacționa cu utilizatorul, inclusiv cu copiii, atunci când în echipamentele radio respective sunt integrate difuzoare, microfoane și alți senzori. Aceste îngrijorări se referă în special la capacitatea echipamentelor radio respective de a înregistra fotografii, videoclipuri, date de localizare, date referitoare la joc, precum și ritmul cardiac, obiceiurile de somn sau alte date cu caracter personal. De exemplu, setările avansate ale echipamentelor radio pot fi accesate printr-o parolă implicită în cazul în care conexiunea sau datele nu sunt criptate sau dacă nu este implementat un mecanism solid de autentificare.

(11)

Prin urmare, este important ca echipamentele radio conectate la internet introduse pe piața Uniunii să includă sisteme pentru asigurarea protecției datelor cu caracter personal și a vieții private în cazul în care sunt capabile să prelucreze date cu caracter personal, astfel cum sunt definite la articolul 4 punctul 1 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (5), sau datele definite la articolul 2 literele (b) și (c) din Directiva 2002/58/CE a Parlamentului European și a Consiliului (6). Așadar, articolul 3 alineatul (3) litera (e) din Directiva 2014/53/UE trebuie să se aplice echipamentelor radio conectate la internet.

(12)

În plus, în ceea ce privește protecția datelor cu caracter personal și a vieții private, echipamentele radio pentru îngrijirea copiilor, echipamentele radio care intră sub incidența Directivei 2009/48/CE și echipamentele radio portabile prezintă riscuri de securitate chiar și în cazul în care nu sunt conectate la internet. Datele cu caracter personal pot fi interceptate atunci când echipamentele radio emit sau recepționează unde radio și nu dispun de sisteme care să asigure protecția datelor cu caracter personal și a vieții private. Echipamentele radio pentru îngrijirea copiilor, echipamentele radio care intră sub incidența Directivei 2009/48/CE și echipamentele radio portabile pot monitoriza și înregistra în timp o serie de date sensibile (cu caracter personal) ale utilizatorului și le pot retransmite prin intermediul unor tehnologii de comunicare care ar putea fi nesecurizate. Echipamentele radio pentru îngrijirea copiilor, echipamentele radio care intră sub incidența Directivei 2009/48/CE și echipamentele radio portabile trebuie, de asemenea, să asigure protecția datelor cu caracter personal și a vieții private în cazul în care sunt capabile să prelucreze, în sensul articolului 4 punctul 2 din Regulamentul (UE) 2016/679, date cu caracter personal, astfel cum sunt definite la articolul 4 punctul 1 din Regulamentul (UE) 2016/679, sau date de transfer și date de localizare, astfel cum sunt definite la articolul 2 literele (b) și (c) din Directiva 2002/58/CE. Prin urmare, articolul 3 alineatul (3) litera (e) din Directiva 2014/53/UE trebuie să se aplice echipamentelor radio respective.

(13)

În ceea ce privește riscul de fraude, din echipamentele radio conectate la internet care nu asigură protecția împotriva fraudelor pot fi furate informații, inclusiv date cu caracter personal. Mai multe tipuri specifice de fraude se referă la echipamentele radio conectate la internet care sunt utilizate pentru efectuarea de plăți online. Costurile pot fi ridicate, și nu doar pentru victima respectivei fraude, ci și pentru întreaga societate (de exemplu, costul anchetei derulate de poliție, costurile serviciilor de sprijin pentru victime, costurile proceselor pentru identificarea vinovaților). Prin urmare, este necesar să se asigure tranzacții sigure și să se reducă la minimum riscul de pierderi financiare pentru utilizatorii de echipamente radio conectate la internet care efectuează plăți prin intermediul echipamentelor radio respective și pentru destinatarul plății efectuate prin intermediul acestor echipamente.

(14)

Echipamentele radio conectate la internet introduse pe piața UE trebuie să includă caracteristici care asigură protecția împotriva fraudelor atunci când deținătorul sau utilizatorul transferă prin intermediul acestora bani, valori monetare sau monede virtuale, astfel cum sunt definite la articolul 2 litera (d) din Directiva (UE) 2019/713 a Parlamentului European și a Consiliului (7). Prin urmare, articolul 3 alineatul (3) litera (f) din Directiva 2014/53/UE trebuie să se aplice echipamentelor radio respective.

(15)

Regulamentul (UE) 2017/745 al Parlamentului European și al Consiliului (8) stabilește norme privind dispozitivele medicale, iar Regulamentul (UE) 2017/746 al Parlamentului European și al Consiliului (9) stabilește norme privind dispozitivele medicale pentru diagnostic in vitro. Atât Regulamentul (UE) 2017/745, cât și Regulamentul (UE) 2017/746 abordează anumite elemente de risc la adresa securității cibernetice asociate cu riscurile prevăzute la articolul 3 alineatul (3) literele (d), (e) și (f) din Directiva 2014/53/UE. Prin urmare, echipamentele radio care intră sub incidența oricăruia dintre cele două regulamente nu trebuie să se încadreze în categoriile sau clasele de echipamente radio care trebuie să respecte cerințele esențiale prevăzute la articolul 3 alineatul (3) literele (d), (e) și (f) din Directiva 2014/53/UE.

(16)

Regulamentul (UE) 2019/2144 al Parlamentului European și al Consiliului (10) stabilește cerințele pentru omologarea de tip a autovehiculelor, precum și a sistemelor și componentelor acestora. În plus, principalul obiectiv al Regulamentului (UE) 2018/1139 al Parlamentului European și al Consiliului (11) este stabilirea și menținerea unui nivel ridicat și uniform al siguranței aviației civile în Uniune. De asemenea, Directiva (UE) 2019/520 a Parlamentului European și a Consiliului (12) stabilește condițiile pentru interoperabilitatea sistemelor de taxare rutieră electronică și pentru facilitarea schimbului transfrontalier de informații cu privire la neplata taxelor rutiere în cadrul Uniunii. Regulamentele (UE) 2019/2144 și (UE) 2018/1139 și Directiva (UE) 2019/520 abordează elemente de risc la adresa securității cibernetice asociate cu riscurile prevăzute la articolul 3 alineatul (3) literele (e) și (f) din Directiva 2014/53/UE. Prin urmare, echipamentele radio care intră sub incidența Regulamentelor (UE) 2019/2144 și (UE) 2018/1139 sau a Directivei (UE) 2019/520 nu trebuie să se încadreze în categoriile sau clasele de echipamente radio care trebuie să respecte cerințele esențiale prevăzute la articolul 3 alineatul (3) literele (e) și (f) din Directiva 2014/53/UE.

(17)

Articolul 3 din Directiva 2014/53/UE prevede cerințe esențiale pe care trebuie să le îndeplinească operatorii economici. Pentru a facilita evaluarea conformității cu aceste cerințe, directiva prevede o prezumție de conformitate pentru echipamentele radio care respectă standardele armonizate voluntare adoptate în conformitate cu Regulamentul (UE) nr. 1025/2012 al Parlamentului European și al Consiliului (13) în scopul formulării specificațiilor tehnice detaliate ale cerințelor respective. Specificațiile vor lua în considerare și vor aborda nivelul riscurilor asociate utilizării preconizate a fiecărei categorii sau clase de echipamente radio vizate de regulamentul respectiv.

(18)

Operatorilor economici trebuie să li se acorde suficient timp pentru a se adapta la cerințele prevăzute de prezentul regulament. Prin urmare, aplicarea prezentului regulament trebuie să fie amânată. Prezentul regulament nu trebuie să împiedice respectarea acestuia de către operatorii economici după data intrării sale în vigoare.

(19)

Comisia a efectuat consultări adecvate în cursul activității sale de elaborare a măsurilor prevăzute în prezentul regulament și a consultat Grupul de experți privind echipamentele radio,