KOMISJA EUROPEJSKA,uwzględniając Traktat o funkcjonowaniu Unii Europejskiej
uwzględniając dyrektywę Parlamentu Europejskiego i Rady 2014/53/UE z dnia 16 kwietnia 2014 r. w sprawie harmonizacji ustawodawstw państw członkowskich dotyczących udostępniania na rynku urządzeń radiowych i uchylającą dyrektywę 1999/5/WE 1 , w szczególności jej art. 3 ust. 3 akapit drugi w związku z art. 3 ust. 3 akapit pierwszy lit. d), e) i f),
a także mając na uwadze, co następuje:
(1) Ochrona sieci lub jej funkcjonowania przed szkodliwością, ochrona danych osobowych i prywatności użytkownika i abonenta oraz ochrona przed oszustwami to elementy wzmacniające ochronę przed ryzykiem w cyberprzestrzeni.
(2) Jak stwierdzono w motywie 13 dyrektywy 2014/53/UE, dzięki szczególnym funkcjom urządzeń radiowych możliwe jest wzmocnienie ochrony danych osobowych i prywatności użytkowników urządzeń radiowych i abonentów oraz ochrony przed oszustwami. Zgodnie z tym motywem w stosownych przypadkach urządzenia radiowe należy zatem projektować w taki sposób, aby były wyposażone w takie funkcje.
(3) W nadchodzących latach sieć 5G będzie odgrywać kluczową rolę w rozwoju gospodarki cyfrowej i społeczeństwa cyfrowego UE i może wpływać na niemal każdy aspekt życia obywateli Unii. W dokumencie zatytułowanym "Unijny zestaw narzędzi na potrzeby cyberbezpieczeństwa sieci 5G" 2 wskazano możliwy wspólny zestaw środków mogących ograniczać główne rodzaje cyberryzyka sieci 5G oraz przedstawiono wytyczne w zakresie doboru środków, którym należy nadać priorytet w planach ograniczania ryzyka na szczeblu krajowym i unijnym. Oprócz określenia tych środków należy przyjąć zharmonizowane podejście do zasadniczych wymagań dotyczących elementów ochrony cyberbezpieczeństwa stosowanych do urządzeń radiowych sieci 5G w chwili wprowadzenia ich do obrotu w Unii.
(4) Poziom bezpieczeństwa wyznaczony przez zasadnicze wymagania Unii określone w art. 3 ust. 3 lit. d), e) i f) w celu zapewnienia ochrony sieci, zabezpieczeń służących ochronie danych osobowych i prywatności oraz ochrony przed oszustwami nie może osłabiać wysokiego poziomu bezpieczeństwa wymaganego na szczeblu krajowym w odniesieniu do zdecentralizowanych inteligentnych sieci energetycznych, w których mają być stosowane inteligentne liczniki podlegające tym wymogom, oraz w odniesieniu do urządzeń sieci 5G wykorzystywanych przez dostawców publicznych sieci łączności elektronicznej i publicznie dostępnych usług łączności elektronicznej w rozumieniu dyrektywy Parlamentu Europejskiego i Rady (UE) 2018/1972 3 .
(5) Wyrażono również liczne obawy w związku z rosnącym ryzykiem w cyberprzestrzeni wynikającym z coraz powszechniejszego korzystania przez specjalistów i konsumentów, w tym przez dzieci, z urządzeń radiowych, które: (i) potrafią same komunikować się przez internet, czy to bezpośrednio, czy za pośrednictwem jakichkolwiek innych urządzeń ("urządzenia radiowe podłączone do internetu"), tj. takie urządzenia podłączone do internetu obsługują protokoły niezbędne do wymiany danych z internetem bezpośrednio lub za pomocą urządzeń pośrednich; (ii) mogą być zabawkami wyposażonymi w funkcję radiową, które są również objęte zakresem dyrektywy Parlamentu Europejskiego i Rady 2009/48/WE 4 albo zostały zaprojektowane lub są przeznaczone wyłącznie do opieki nad dziećmi, takie jak nianie elektroniczne; lub (iii) zostały zaprojektowane lub są przeznaczone, wyłącznie lub nie, do noszenia na dowolnej części ciała ludzkiego (w tym głowie, szyi, tułowiu, ramionach, rękach, nogach i stopach) lub na odzieży (w tym nakryciach głowy, okryciach dłoni i obuwiu), przypinania lub przywieszania do nich, takie jak urządzenia radiowe w postaci zegarków na rękę, obręczy, opasek na nadgarstek, zestawów słuchawkowych, słuchawek nagłownych lub okularów ("urządzenia radiowe do noszenia na ciele").
(6) W związku z tym wszelkie urządzenia radiowe do opieki nad dziećmi, urządzenia radiowe objęte zakresem dyrektywy 2009/48/WE lub urządzenia radiowe do noszenia na ciele, które potrafią komunikować się przez internet, czy to bezpośrednio, czy za pośrednictwem jakichkolwiek innych urządzeń, należy uznać za urządzenia radiowe podłączone do internetu. Na przykład implantów nie należy zaliczać do urządzeń radiowych do noszenia na ciele, ponieważ nie nosi się ich na żadnej części ciała ludzkiego lub odzieży, nie przypina ani do nich nie przywiesza. Implanty należy jednak uznać za urządzenia radiowe podłączone do internetu, o ile potrafią komunikować się za pośrednictwem internetu, czy to bezpośrednio, czy za pośrednictwem jakichkolwiek innych urządzeń.
(7) Biorąc pod uwagę wyrażone obawy, że urządzenia radiowe nie zapewniają ochrony przed elementami ryzyka w cyberprzestrzeni, w odniesieniu do urządzeń radiowych należących do pewnych kategorii lub klas należy zastosować zasadnicze wymagania dyrektywy 2014/53/UE związane z ochroną przed niepożądanym wpływem na sieć, ochroną danych osobowych i prywatności użytkowników i abonentów oraz ochroną przed oszustwami.
(8) Dyrektywę 2014/53/UE stosuje się do produktów, które mieszczą się w definicji "urządzeń radiowych" zawartej w art. 2 tej dyrektywy, z zastrzeżeniem konkretnych wyłączeń określonych w art. 1 ust. 2 i 3 tej dyrektywy. Choć definicja urządzenia radiowego zawarta w art. 2 dyrektywy 2014/53/UE odnosi się do urządzeń, które mogą komunikować się za pomocą fal radiowych, żadne z wymagań dyrektywy 2014/53/UE nie zawiera rozróżnienia pomiędzy funkcjami radiowymi a funkcjami nieradiowymi urządzeń radiowych, a zatem wszystkie aspekty i części tych urządzeń powinny być zgodne z zasadniczymi wymaganiami określonymi w niniejszym rozporządzeniu delegowanym.
(9) Jeżeli chodzi o niepożądany wpływ na sieć i jej funkcjonowanie lub wykorzystywanie zasobów sieciowych w nieodpowiedni sposób, niedopuszczalne obniżenie poziomu usług może być wywołane przez takie urządzenia radiowe podłączone do internetu, które nie zapewniają ochrony przed tym niepożądanym wpływem na sieć lub przed wykorzystywaniem sieci w nieodpowiedni sposób. Przykładowo sprawca może w złej wierze zalać sieć internetową, aby zatrzymać legalny ruch sieciowy, zakłócić łączność pomiędzy dwoma urządzeniami radiowymi, uniemożliwiając w ten sposób dostęp do usługi, pozbawić daną osobę dostępu do usługi, zakłócić realizację usługi w odniesieniu do danego systemu lub danej osoby lub zakłócać informacje. Skutkiem pogorszenia jakości usług online mogą być zatem złośliwe cyberataki, które spowodują wzrost kosztów, niedogodności lub ryzyko dla operatorów, dostawców usług lub użytkowników. W związku z powyższym do urządzeń radiowych podłączonych do internetu należy stosować art. 3 ust. 3 lit. d) dyrektywy 2014/53/UE, który wymaga, aby urządzenia radiowe nie wywierały niepożądanego wpływu na sieć i jej funkcjonowanie ani też nie wykorzystywały zasobów sieciowych w nieodpowiedni sposób, powodując tym samym niedopuszczalne obniżenie poziomu usług.
(10) Wyrażono również obawy dotyczące ochrony danych osobowych i prywatności użytkownika i abonenta urządzeń radiowych podłączonych do internetu, ze względu na to, że urządzenia te mogą rejestrować, przechowywać i wymieniać informacje, wchodzić w interakcje z użytkownikiem, w tym z dziećmi, jeżeli głośniki, mikrofony i inne czujniki są zintegrowane z tymi urządzeniami radiowymi. Obawy te dotyczą w szczególności możliwości rejestrowania przez te urządzenia radiowe zdjęć, nagrań wideo, danych dotyczących lokalizacji, danych związanych z udziałem w zabawie, a także tętna, nawyków snu lub innych danych osobowych. Na przykład dostęp do zaawansowanych ustawień urządzenia radiowego można uzyskać za pomocą domyślnego hasła, o ile połączenie lub dane nie są zaszyfrowane lub jeżeli nie ma silnego mechanizmu uwierzytelniania.
(11) Dlatego też istotne jest, aby urządzenia radiowe podłączone do internetu, które są wprowadzane do obrotu w Unii, miały wbudowane zabezpieczenia w celu zapewnienia ochrony danych osobowych i prywatności, jeżeli urządzenia te mogą przetwarzać dane osobowe w rozumieniu art. 4 pkt 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 5 lub dane w rozumieniu art. 2 lit. b) i c) dyrektywy Parlamentu Europejskiego i Rady 2002/58/WE 6 . Art. 3 ust. 3 lit. e) dyrektywy 2014/53/UE powinien zatem mieć zastosowanie do urządzeń radiowych podłączonych do internetu.
(12) Ponadto, jeżeli chodzi o ochronę danych osobowych i prywatności, urządzenia radiowe do opieki nad dziećmi, urządzenia radiowe objęte zakresem dyrektywy 2009/48/WE oraz urządzenia radiowe do noszenia na ciele stwarzają ryzyko dla bezpieczeństwa nawet przy braku połączenia internetowego. Dane osobowe mogą być przechwytywane, gdy te urządzenia radiowe emitują lub odbierają fale radiowe oraz nie posiadają wbudowanych zabezpieczeń, które zapewniają ochronę danych osobowych i prywatności. Urządzenia radiowe do opieki nad dziećmi, urządzenia radiowe objęte zakresem dyrektywy 2009/48/WE oraz urządzenia radiowe do noszenia na ciele mogą monitorować i rejestrować szereg wrażliwych danych (osobowych) użytkownika w dłuższym czasie oraz przekazywać je za pośrednictwem technologii komunikacyjnych, które mogą być niezabezpieczone. Urządzenia radiowe do opieki nad dziećmi, urządzenia radiowe objęte dyrektywą 2009/48/WE oraz urządzenia radiowe do noszenia na ciele powinny również zapewniać ochronę danych osobowych i prywatności, jeżeli mogą one przetwarzać - w rozumieniu art. 4 pkt 2 rozporządzenia (UE) 2016/679 - dane osobowe zgodnie z definicją w art. 4 pkt 1 rozporządzenia (UE) 2016/679 lub dane o ruchu i dane dotyczące lokalizacji zgodnie z definicją w art. 2 lit. b) i c) dyrektywy 2002/58/WE. Art. 3 ust. 3 lit. e) dyrektywy 2014/53/UE powinien zatem mieć zastosowanie do takich urządzeń radiowych.
(13) Jeżeli chodzi o oszustwa, informacje, w tym dane osobowe, mogą zostać skradzione z urządzeń radiowych podłączonych do internetu niezapewniających ochrony przed oszustwami. Szczególne rodzaje oszustw występują w odniesieniu do urządzeń radiowych podłączonych do internetu, gdy są one wykorzystywane do dokonywania płatności przez internet. Koszty mogą być wysokie i dotyczą nie tylko osoby, która padła ofiarą oszustwa, lecz obciążają także całe społeczeństwo (na przykład koszty dochodzeń policyjnych, koszty usług na rzecz ofiar, koszty procesów sądowych w celu ustalenia odpowiedzialności). Należy zatem zapewnić, aby transakcje przeprowadzane były w sposób wiarygodny, oraz zminimalizować ryzyko ponoszenia strat finansowych przez użytkowników urządzeń radiowych podłączonych do internetu, którzy dokonują płatności za pośrednictwem tych urządzeń radiowych, oraz przez odbiorców płatności dokonywanych za pośrednictwem tych urządzeń radiowych.
(14) Urządzenia radiowe podłączone do internetu wprowadzane do obrotu w Unii powinny być wyposażone w funkcje zapewniające ochronę przed oszustwami, jeżeli umożliwiają one posiadaczowi lub użytkownikowi przekazanie środków pieniężnych, wartości pieniężnych lub waluty wirtualnej zdefiniowanej w art. 2 lit. d) dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/713 7 . Art. 3 ust. 3 lit. f) dyrektywy 2014/53/UE powinien zatem mieć zastosowanie do tych urządzeń radiowych.
(15) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2017/745 8 ustanawia przepisy dotyczące wyrobów medycznych, a rozporządzenie Parlamentu Europejskiego i Rady (UE) 2017/746 9 ustanawia przepisy dotyczące wyrobów medycznych do diagnostyki in vitro. Oba rozporządzenia (UE) 2017/745 i (UE) 2017/746 dotyczą niektórych elementów ryzyka w cyberprzestrzeni, związanych z rodzajami ryzyka, o których mowa w art. 3 ust. 3 lit. d), e) i f) dyrektywy 2014/53/UE. Urządzenia radiowe, do których stosuje się jedno z tych rozporządzeń, nie powinny zatem należeć do kategorii lub klas urządzeń radiowych mających spełniać zasadnicze wymagania określone w art. 3 ust. 3 lit. d), e) i f) dyrektywy 2014/53/UE.
(16) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/2144 10 ustanawia wymogi dotyczące homologacji typu pojazdów oraz ich układów i komponentów. Ponadto podstawowym celem rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1139 11 jest ustanowienie i utrzymanie wysokiego, jednolitego poziomu bezpieczeństwa lotnictwa cywilnego w Unii. Poza tym dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/520 12 określa warunki zapewnienia interoperacyjności systemów elektronicznego poboru opłat drogowych i ułatwiania transgranicznej wymiany informacji na temat przypadków nieuiszczenia opłat drogowych w Unii. Rozporządzenia (UE) 2019/2144 i (UE) 2018/1139 oraz dyrektywa (UE) 2019/520 dotyczą elementów ryzyka w cyberprzestrzeni związanych z rodzajami ryzyka, o których mowa w art. 3 ust. 3 lit. e) i f) dyrektywy 2014/53/UE. Urządzenia radiowe, do których stosuje się rozporządzenia (UE) 2019/2144 i (UE) 2018/1139 lub dyrektywę (UE) 2019/520, nie powinny zatem należeć do kategorii lub klas urządzeń radiowych mających spełniać zasadnicze wymagania określone w art. 3 ust. 3 lit. e) i f) dyrektywy 2014/53/UE.
(17) W art. 3 dyrektywy 2014/53/UE określono zasadnicze wymagania, które powinny spełniać podmioty gospodarcze. Aby ułatwić dokonanie oceny zgodności z tymi wymaganiami, przepisy te przewidują domniemanie zgodności w przypadku urządzeń radiowych, które są zgodne z dobrowolnymi normami zharmonizowanymi przyjętymi zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 1025/2012 13 w celu określenia szczegółowych specyfikacji technicznych związanych z tymi wymaganiami. W specyfikacjach zostanie przeanalizowany i uwzględniony poziom ryzyka odpowiadającego zamierzonemu zastosowaniu każdej kategorii lub klasy urządzeń radiowych objętych zakresem niniejszego rozporządzenia.
(18) Podmiotom gospodarczym należy zapewnić wystarczająco dużo czasu, aby dostosowały się do wymogów niniejszego rozporządzenia. Wobec powyższego należy odroczyć datę rozpoczęcia stosowania niniejszego rozporządzenia. Niniejsze rozporządzenia nie stoi na przeszkodzie temu, aby podmioty gospodarcze stosowały się do niego od daty jego wejścia w życie.
(19) Komisja przeprowadziła odpowiednie konsultacje podczas prac przygotowawczych w zakresie środków określonych w niniejszym rozporządzeniu oraz zasięgnęła opinii grupy ekspertów ds. urządzeń radiowych,