This document is an excerpt from the EUR-Lex website
Document 32022R0030
Commission Delegated Regulation (EU) 2022/30 of 29 October 2021 supplementing Directive 2014/53/EU of the European Parliament and of the Council with regard to the application of the essential requirements referred to in Article 3(3), points (d), (e) and (f), of that Directive (Text with EEA relevance)
Kommissionens delegerade förordning (EU) 2022/30 av den 29 oktober 2021 om komplettering av Europaparlamentets och rådets direktiv 2014/53/EU vad gäller tillämpningen av de väsentliga krav som avses i artikel 3.3 d, e och f i det direktivet (Text av betydelse för EES)
Kommissionens delegerade förordning (EU) 2022/30 av den 29 oktober 2021 om komplettering av Europaparlamentets och rådets direktiv 2014/53/EU vad gäller tillämpningen av de väsentliga krav som avses i artikel 3.3 d, e och f i det direktivet (Text av betydelse för EES)
C/2021/7672
EUT L 7, 12.1.2022, p. 6–10
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force: This act has been changed. Current consolidated version: 27/10/2023
Relation | Act | Comment | Subdivision concerned | From | To |
---|---|---|---|---|---|
Completion | 32014L0053 | 01/08/2025 |
Relation | Act | Comment | Subdivision concerned | From | To |
---|---|---|---|---|---|
Corrected by | 32022R0030R(01) | (BG) | |||
Modified by | 32023R2444 | ersätter | artikel 3 stycke 2 | 27/10/2023 | |
Modified by | 32023R2444 | ersätter | artikel 1 punkt 2 mening | 27/10/2023 |
12.1.2022 |
SV |
Europeiska unionens officiella tidning |
L 7/6 |
KOMMISSIONENS DELEGERADE FÖRORDNING (EU) 2022/30
av den 29 oktober 2021
om komplettering av Europaparlamentets och rådets direktiv 2014/53/EU vad gäller tillämpningen av de väsentliga krav som avses i artikel 3.3 d, e och f i det direktivet
(Text av betydelse för EES)
EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt,
med beaktande av Europaparlamentets och rådets direktiv 2014/53/EU av den 16 april 2014 om harmonisering av medlemsstaternas lagstiftning om tillhandahållande på marknaden av radioutrustning och om upphävande av direktiv 1999/5/EG (1), särskilt artikel 3.3 andra stycket jämfört med artikel 3.3 första stycket d, e och f, och
av följande skäl:
(1) |
Skydd av nätet eller dess funktion mot skada, skydd av användarnas och abonnenternas personuppgifter och personliga integritet samt skydd mot bedrägeri är faktorer som utgör ett skydd mot cybersäkerhetsrisker. |
(2) |
Som sägs i skäl 13 i direktiv 2014/53/EU kan skyddet av personuppgifter och privatliv för användare och abonnenter av radioutrustning och skyddet mot bedrägerier förbättras genom särskilda funktioner hos radioutrustningen. Enligt det skälet bör radioutrustning därför i förekommande fall konstrueras på ett sådant sätt att den stöder dessa funktioner. |
(3) |
5G kommer att spela en nyckelroll i utvecklingen av unionens digitala ekonomi och samhälle de kommande åren och kan påverka nästan alla aspekter av unionsinvånarnas liv. I dokumentet Cybersecurity of 5G networks - EU Toolbox of risk mitigating measures (2) anges en möjlig gemensam uppsättning åtgärder som kan minska de största cybersäkerhetsriskerna i 5G-nät, med vägledning för valet av vilka åtgärder som bör prioriteras i riskreduceringsplaner på nationell nivå och unionsnivå. Utöver sådana åtgärder är det mycket viktigt att inta en harmoniserad hållning till väsentliga krav som rör de delar av cybersäkerhetsskyddet som är tillämpliga på 5G-radioutrustning när den släpps ut på unionsmarknaden. |
(4) |
Den säkerhetsnivå som är tillämplig enligt de väsentliga unionskrav som anges i artikel 3.3 d, e och f i direktiv 2014/53/EU för att säkerställa nätskydd, skydd av personuppgifter och personlig integritet och skydd mot bedrägeri får inte motverka den höga säkerhetsnivå som krävs på nationell nivå för decentraliserade smarta elnät där smarta mätare som omfattas av dessa krav ska användas, och för 5G-nätutrustning som används av leverantörer av allmänna elektroniska kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster i den mening som avses i Europaparlamentets och rådets direktiv (EU) 2018/1972 (3). |
(5) |
Många farhågor har också uttryckts när det gäller de ökande cybersäkerhetsriskerna till följd av den ökade användningen bland yrkesmässiga användare och konsumenter, däribland barn, av radioutrustning som i) kan kommunicera via internet, oavsett om den kommunicerar direkt eller via någon annan utrustning (internetansluten radioutrustning), dvs. sådan internetansluten utrustning som använder de protokoll som krävs för att utbyta data med internet, antingen direkt eller via en förmedlande utrustning, ii) kan utgöra en leksak med radiofunktion som också omfattas av Europaparlamentets och rådets direktiv 2009/48/EG (4) eller är konstruerad eller avsedd uteslutande för barnomsorg, t.ex. barnmonitorer, eller iii) är konstruerad eller avsedd att uteslutande eller icke-uteslutande, bäras på, spännas fast på eller hängas på någon del av människokroppen (inbegripet huvud, hals, bål, armar, händer, ben och fötter) eller klädesplagg (inbegripet huvudbonader, handbeklädnader och skodon) som bärs av människor, exempelvis radioutrustning i form av armbandsur, ringar, armband, headsets, hörlurar eller glasögon (kroppsburen radioutrustning). |
(6) |
Radioutrustning för barnomsorg, radioutrustning som omfattas av direktiv 2009/48/EG eller kroppsburen radioutrustning som självständigt kan kommunicera via internet, oavsett om den kommunicerar direkt eller via någon annan utrustning, bör i detta avseende betraktas som internetansluten radioutrustning. Implantat bör däremot inte betraktas som kroppsburen radioutrustning, eftersom de inte bärs på, spänns fast på eller hängs på någon del av människokroppen eller något klädesplagg. Implantat bör dock anses vara internetansluten radioutrustning om de självständigt kan kommunicera via internet, oavsett om de kommunicerar direkt eller via någon annan utrustning. |
(7) |
Med tanke på de farhågor som uppstått på grund av att radioutrustning inte säkerställer skydd mot vissa cybersäkerhetsrisker är det nödvändigt att göra de väsentliga krav i direktiv 2014/53/EU som rör skydd mot nätskada, skydd av användarnas och abonnenternas personuppgifter och personliga integritet samt skydd mot bedrägeri tillämpliga på radioutrustning i vissa kategorier eller klasser. |
(8) |
Direktiv 2014/53/EU är tillämpligt på produkter som uppfyller definitionen av radioutrustning i artikel 2 i det direktivet, med förbehåll för de undantag som anges i artikel 1.2 och artikel 1.3 i det direktivet. Definitionen av radioutrustning i artikel 2 i direktiv 2014/53/EU avser utrustning som kan kommunicera med radiovågor, men det finns inga krav i direktiv 2014/53/EU där någon åtskillnad görs mellan radioutrustningens radiofunktioner och andra funktioner, varför alla aspekter och delar av utrustningen bör uppfylla de väsentliga kraven i denna delegerade förordning. |
(9) |
När det gäller skada på nätet eller dess funktion eller missbruk av nätresurser kan oacceptabel försämring av tjänster orsakas av internetansluten radioutrustning som inte säkerställer att nätet inte skadas eller inte missbrukas. En angripare kan till exempel uppsåtligen överbelasta internet för att förhindra legitim nättrafik, störa förbindelserna mellan två radioprodukter och på så sätt förhindra tillgång till en tjänst, hindra en viss person från att få tillgång till en tjänst, störa en tjänst för ett visst system eller en viss person eller störa informationen. Försämringen av nättjänster kan således leda till skadliga cyberangrepp, vilket medför ökade kostnader, olägenheter eller risker för operatörer, tjänsteleverantörer eller användare. Enligt artikel 3.3 d i direktiv 2014/53/EU krävs att radioutrustning inte skadar nätet eller dess funktion eller missbrukar nätresurser och därmed orsakar en oacceptabel försämring av tjänsten, varför den bestämmelsen bör tillämpas på internetansluten radioutrustning. |
(10) |
Farhågor har också uttryckts när det gäller skyddet av personuppgifter och personlig integritet för användare och abonnenter av internetansluten radioutrustning på grund av radioutrustningens förmåga att registrera, lagra och sprida information och interagera med användaren, inbegripet barn, när högtalare, mikrofoner och andra sensorer är inbyggda i radioutrustningen. Dessa farhågor gäller särskilt radioutrustningens förmåga att registrera fotografier, video, lokaliseringsuppgifter, data kopplade till lekupplevelsen samt hjärtslag, sömnvanor eller andra personuppgifter. Till exempel kan radioutrustningens avancerade inställningar nås via ett standardlösenord om anslutningen eller uppgifterna inte är krypterade eller om en stark autentiseringsmekanism saknas. |
(11) |
Det är därför viktigt att internetansluten radioutrustning som släpps ut på unionsmarknaden innehåller skyddsåtgärder för att säkerställa att personuppgifter och personlig integritet skyddas om utrustningen kan behandla personuppgifter enligt definitionen i artikel 4.1 i Europaparlamentets och rådets förordning (EU) 2016/679 (5) eller uppgifter enligt definitionen i artikel 2 b och c i Europaparlamentets och rådets direktiv 2002/58/EG (6). Artikel 3.3 e i direktiv 2014/53/EU bör därför tillämpas på internetansluten radioutrustning. |
(12) |
När det gäller skydd av personuppgifter och personlig integritet medför dessutom radioutrustning för barnomsorg, radioutrustning som omfattas av direktiv 2009/48/EG och kroppsburen radioutrustning säkerhetsrisker även i avsaknad av internetanslutning. Personuppgifter kan uppsnappas när radioutrustningen sänder eller tar emot radiovågor, om den saknar skyddsåtgärder som säkerställer skydd av personuppgifter och personlig integritet. Radioutrustning för barnomsorg, radioutrustning som omfattas av direktiv 2009/48/EG och kroppsburen radioutrustning kan övervaka och registrera ett antal av användarens känsliga personuppgifter över tid och vidaresända dem med hjälp av kommunikationsteknik som kan vara osäker. Radioutrustning för barnomsorg, radioutrustning som omfattas av direktiv 2009/48/EG och kroppsburen radioutrustning bör också säkerställa skydd för personuppgifter och personligintegritet, om utrustningen i den mening som avses i artikel 4.2 i förordning (EU) 2016/679 kan behandla personuppgifter enligt definitionen i artikel 4.1 i förordning (EU) 2016/679 eller trafikuppgifter och lokaliseringsuppgifter enligt definitionen i artikel 2 b och c i direktiv 2002/58/EG. Artikel 3.3 e i direktiv 2014/53/EU bör därför tillämpas på sådan radioutrustning. |
(13) |
När det gäller bedrägeri kan information, inbegripet personuppgifter, inhämtas från sådan internetansluten radioutrustning som inte garanterar skydd mot bedrägeri. Vissa typer av bedrägerier rör internetansluten radioutrustning som används för betalningar via internet. Kostnaderna kan bli höga, inte bara för den som drabbats av bedrägeriet utan även för samhället som helhet (t.ex. kostnaderna för polisutredningar, kostnaderna för brottsoffertjänster och kostnaderna för rättegångar för att fastställa ansvar). Det är därför nödvändigt att säkerställa tillförlitliga transaktioner och minimera risken för ekonomiska förluster för användare av internetansluten radioutrustning som verkställer betalningar via sådan radioutrustning och för mottagaren av betalningarna som görs via radioutrustningen. |
(14) |
Internetansluten radioutrustning som släpps ut på unionsmarknaden bör stödja funktioner som säkerställer skydd mot bedrägeri om de gör det möjligt för innehavaren eller användaren att överföra pengar, penningvärde eller virtuell valuta enligt definitionen i artikel 2 d i Europaparlamentets och rådets direktiv (EU) 2019/713 (7). Artikel 3.3 f i direktiv 2014/53/EU bör därför tillämpas på sådan radioutrustning. |
(15) |
I Europaparlamentets och rådets förordning (EU) 2017/745 (8) fastställs bestämmelser om medicintekniska produkter och i Europaparlamentets och rådets förordning (EU) 2017/746 (9) fastställs bestämmelser om medicintekniska produkter för in vitro-diagnostik. I både förordning (EU) 2017/745 och förordning (EU) 2017/746 behandlas vissa cybersäkerhetsrisker som har samband med de risker som avses i artikel 3.3 d, e och f i direktiv 2014/53/EU. Därför bör radioutrustning som någon av de förordningarna är tillämplig på inte inordnas i de kategorier eller klasser av radioutrustning som bör uppfylla de väsentliga kraven i artikel 3.3 d, e och f i direktiv 2014/53/EU. |
(16) |
I Europaparlamentets och rådets förordning (EU) 2019/2144 (10) fastställs krav för typgodkännande av fordon och av system och komponenter till fordon. Europaparlamentets och rådets förordning (EU) 2018/1139 (11) syftar i första hand till att fastställa och upprätthålla en hög och enhetlig nivå på flygsäkerheten i unionen. I Europaparlamentets och rådets direktiv (EU) 2019/520 (12) fastställs villkor för driftskompatibilitet mellan elektroniska vägtullsystem och underlättande av gränsöverskridande informationsutbyte om underlåtenhet att betala vägavgifter i unionen. I förordning (EU) 2019/2144, förordning (EU) 2018/1139 och direktiv (EU) 2019/520 behandlas vissa cybersäkerhetsrisker som har samband med de risker som avses i artikel 3.3 e och f i direktiv 2014/53/EU. Radioutrustning på vilken förordning (EU) 2019/2144 och förordning (EU) 2018/1139 eller direktiv (EU) 2019/520 är tillämpliga bör därför inte inordnas i de kategorier eller klasser av radioutrustning som bör uppfylla de väsentliga kraven i artikel 3.3 e och f i direktiv 2014/53/EU. |
(17) |
I artikel 3 i direktiv 2014/53/EU fastställs väsentliga krav som de ekonomiska aktörerna ska uppfylla. För att underlätta bedömningen av överensstämmelse med dessa krav föreskrivs i direktivet presumtion om överensstämmelse för radioutrustning som överensstämmer med frivilliga harmoniserade standarder som har antagits i enlighet med Europaparlamentets och rådets förordning (EU) nr 1025/2012 (13) i syfte att ange detaljerade tekniska specifikationer av dessa krav. I specifikationerna bör den risknivå som motsvarar den avsedda användningen av varje kategori eller klass av radioutrustning som berörs av denna förordning beaktas och åtgärdas. |
(18) |
De ekonomiska aktörerna bör ges tillräckligt med tid för att anpassa sig till kraven i denna förordning. Tillämpningen av denna förordning bör därför senareläggas. Denna förordning är inte avsedd att hindra ekonomiska aktörer från att följa den från och med dagen för dess ikraftträdande. |
(19) |
Kommissionen har genomfört lämpliga samråd under det förberedande arbetet med de åtgärder som fastställs i denna förordning och har samrått med expertgruppen för radioutrustning. |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
1. Det väsentliga krav som anges i artikel 3.3 d i direktiv 2014/53/EU ska tillämpas på all radioutrustning som självständigt kan kommunicera via internet, oavsett om den kommunicerar direkt eller via någon annan utrustning (internetansluten radioutrustning).
2. Det väsentliga krav som anges i artikel 3.3 e i direktiv 2014/53/EU ska tillämpas på all följande radioutrustning, om radioutrustningen i den mening som avses i artikel 4.2 i förordning (EU) 2016/679 kan behandla personuppgifter enligt definitionen i artikel 4.1 i förordning (EU) 2016/679, eller trafikuppgifter och lokaliseringsuppgifter enligt definitionen i artikel 2 b och c i direktiv 2002/58/EG:
a) |
Annan internetansluten radioutrustning än sådan utrustning som avses i leden b, c eller d. |
b) |
Radioutrustning som är konstruerad eller avsedd uteslutande för barnomsorg. |
c) |
Radioutrustning som omfattas av direktiv 2009/48/EG. |
d) |
Radioutrustning som är uteslutande eller icke-uteslutande konstruerad eller avsedd att bäras på, spännas fast vid eller hängas på något av följande:
|
3. Det väsentliga krav som anges i artikel 3.3 f i direktiv 2014/53/EU ska tillämpas på all internetansluten radioutrustning, om utrustningen gör det möjligt för innehavaren eller användaren att överföra pengar, penningvärde eller virtuell valuta enligt definitionen i artikel 2 d i direktiv (EU) 2019/713.
Artikel 2
1. Med avvikelse från artikel 1 ska de väsentliga krav som anges i artikel 3.3 d, e och f i direktiv 2014/53/EU inte tillämpas på radioutrustning som omfattas av någon av följande unionsrättsakter:
a) |
Förordning (EU) 2017/745. |
b) |
Förordning (EU) 2017/746. |
2. Med avvikelse från artikel 1.2 och 1.3 ska de väsentliga krav som anges i artikel 3.3 e och f i direktiv 2014/53/EU inte tillämpas på radioutrustning som omfattas av någon av följande unionsrättsakter:
a) |
Förordning (EU) 2018/1139. |
b) |
Förordning (EU) 2019/2144. |
c) |
Direktiv (EU) 2019/520. |
Artikel 3
Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.
Den ska tillämpas från och med den 1 augusti 2024.
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
Utfärdad i Bryssel den 29 oktober 2021.
På kommissionens vägnar
Ursula VON DER LEYEN
Ordförande
(1) EUT L 153, 22.5.2014, s. 62.
(2) Cybersecurity of 5G networks - EU Toolbox of risk mitigating measures, 29 January 2020. https://ec.europa.eu/digital-singlemarket/en/nis-cooperation-group
(3) Europaparlamentets och rådets direktiv (EU) 2018/1972 av den 11 december 2018 om inrättande av en europeisk kodex för elektronisk kommunikation (EUT L 321, 17.12.2018, s. 36).
(4) Europaparlamentets och rådets direktiv 2009/48/EG av den 18 juni 2009 om leksakers säkerhet (EUT L 170, 30.6.2009, s. 1).
(5) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).
(6) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).
(7) Europaparlamentets och rådets direktiv (EU) 2019/713 av den 17 april 2019 om bekämpande av bedrägeri och förfalskning som rör andra betalningsmedel än kontanter och om ersättande av rådets rambeslut 2001/413/RIF (EUT L 123, 10.5.2019, s. 18).
(8) Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG (EUT L 117, 5.5.2017, s. 1).
(9) Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitro-diagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU (EUT L 117, 5.5.2017, s. 176).
(10) Europaparlamentets och rådets förordning (EU) 2019/2144 av den 27 november 2019 om krav för typgodkännande av motorfordon och deras släpvagnar samt de system, komponenter och separata tekniska enheter som är avsedda för sådana fordon, med avseende på deras allmänna säkerhet och skydd för personer i fordonet och oskyddade trafikanter, om ändring av Europaparlamentets och rådets förordning (EU) 2018/858 och om upphävande av Europaparlamentets och rådets förordningar (EG) nr 78/2009, (EG) nr 79/2009 och (EG) nr 661/2009 samt kommissionens förordningar (EG) nr 631/2009, (EU) nr 406/2010, (EU) nr 672/2010, (EU) nr 1003/2010, (EU) nr 1005/2010, (EU) nr 1008/2010, (EU) nr 1009/2010, (EU) nr 19/2011, (EU) nr 109/2011, (EU) nr 458/2011, (EU) nr 65/2012, (EU) nr 130/2012, (EU) nr 347/2012, (EU) nr 351/2012, (EU) nr 1230/2012 och (EU) 2015/166 (EUT L 325, 16.12.2019, s. 1).
(11) Europaparlamentets och rådets förordning (EU) 2018/1139 av den 4 juli 2018 om fastställande av gemensamma bestämmelser på det civila luftfartsområdet och inrättande av Europeiska unionens byrå för luftfartssäkerhet, och om ändring av Europaparlamentets och rådets förordningar (EG) nr 2111/2005, (EG) nr 1008/2008, (EU) nr 996/2010, (EU) nr 376/2014 och direktiv 2014/30/EU och 2014/53/EU, samt om upphävande av Europaparlamentets och rådets förordningar (EG) nr 552/2004 och (EG) nr 216/2008 och rådets förordning (EEG) nr 3922/91 (EUT L 212, 22.8.2018, s. 1).
(12) Europaparlamentets och rådets direktiv (EU) 2019/520 av den 19 mars 2019 om driftskompatibilitet mellan elektroniska vägtullsystem och underlättande av gränsöverskridande informationsutbyte om underlåtenhet att betala vägavgifter i unionen (EUT L 91, 29.3.2019, s. 45).
(13) Europaparlamentets och rådets förordning (EU) nr 1025/2012 av den 25 oktober 2012 om europeisk standardisering och om ändring av rådets direktiv 89/686/EEG och 93/15/EEG samt av Europaparlamentets och rådets direktiv 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG och 2009/105/EG samt om upphävande av rådets beslut 87/95/EEG och Europaparlamentets och rådets beslut nr 1673/2006/EG (EUT L 316, 14.11.2012, s. 12).