Decyzja wykonawcza 2025/138 zmieniająca decyzję wykonawczą (UE) 2022/2191 w odniesieniu do norm zharmonizowanych na potrzeby spełnienia zasadniczych wymagań dyrektywy Parlamentu Europejskiego i Rady 2014/53/UE dotyczących cyberbezpieczeństwa, dla kategorii i klas urządzeń radiowych określonych w rozporządzeniu delegowanym (UE) 2022/30

(1) Zgodnie z art. 16 dyrektywy Parlamentu Europejskiego i Rady 2014/53/UE 2  w przypadku urządzeń radiowych zgodnych z normami zharmonizowanymi (lub z ich częściami), do których odniesienia opublikowano w Dzienniku Urzędowym Unii Europejskiej, zakłada się, że spełniają one zasadnicze wymagania określone w art. 3 tej dyrektywy i objęte tymi normami lub ich częściami.

(2) Decyzją wykonawczą C(2022)5637 3  Komisja wystosowała wniosek do Europejskiego Komitetu Normalizacyjnego (CEN) i Europejskiego Komitetu Normalizacyjnego Elektrotechniki (CENELEC) o opracowanie nowych norm zharmonizowanych na potrzeby art. 3 ust. 3 akapit pierwszy lit. d), e) i f) dyrektywy 2014/53/UE w odniesieniu do kategorii i klas urządzeń radiowych określonych w rozporządzeniu delegowanym Komisji (UE) 2022/30 4  ("wniosek").

(3) Na podstawie tego wniosku CEN i CENELEC opracowały normy zharmonizowane: EN 18031-1:2024 w sprawie wspólnych wymogów bezpieczeństwa dla urządzeń radiowych podłączonych do internetu, na potrzeby spełnienia zasadniczych wymagań określonych w art. 3 ust. 3 akapit pierwszy lit. d) dyrektywy 2014/53/UE; EN 18031-2:2024 w sprawie wspólnych wymogów bezpieczeństwa dla urządzeń radiowych podłączonych do internetu, urządzeń radiowych do opieki nad dziećmi, zabawkowych urządzeń radiowych i urządzeń radiowych do noszenia na ciele, na potrzeby spełnienia zasadniczych wymagań określonych w art. 3 ust. 3 akapit pierwszy lit. e) dyrektywy 2014/53/UE; oraz EN 18031-3:2024 w sprawie wspólnych wymogów bezpieczeństwa dla urządzeń radiowych podłączonych do internetu do obsługi walut wirtualnych lub wartości pieniężnych, na potrzeby spełnienia zasadniczych wymagań określonych w art. 3 ust. 3 akapit pierwszy lit. f) dyrektywy 2014/53/UE.

(4) Komisja wraz z CEN i CENELEC oceniła zgodność tych norm zharmonizowanych z wnioskiem.

(5) Normy zharmonizowane EN 18031-1:2024, EN 18031-2:2024 i EN 18031-3:2024 zawierają liczne sekcje zatytułowane "Rationale" (Zasadność) i "Guidance" (Wytyczne). Sekcja zatytułowana "Rationale" służy uzasadnieniu potrzeby przeciwdziałania niektórym zagrożeniom. Sekcja zatytułowana "Guidance" zawiera przykłady i komentarze dotyczące możliwości wdrożenia niektórych środków łagodzących. Żadna z tych dwóch wspomnianych powyżej sekcji nie określa specyfikacji. Ponadto sekcje zatytułowane "Guidance" zawierają odniesienia do dokumentów normalizacyjnych krajowych organizacji normalizacyjnych. Co do zasady normy zharmonizowane nie powinny zawierać odniesień normatywnych do tego rodzaju dokumentów normalizacyjnych.

(6) Klauzule 6.2.5.1 i 6.2.5.2 norm zharmonizowanych EN 18031-1:2024, EN 18031-2:2024 i EN 18031-3:2024 dotyczą haseł domyślnych. Klauzule te dają producentom możliwość dopuszczenia nieustawiania ani nieużywania przez użytkownika żadnego hasła. Uznaje się, że w przypadku wdrożenia tego wariantu odpowiednie zagrożenia związane z uwierzytelnianiami nie zostaną odpowiednio uwzględnione, a zatem nie zostanie zapewniona zgodność z zasadniczymi wymaganiami określonymi w art. 3 ust. 3 akapit pierwszy lit. d), e) i f) dyrektywy 2014/53/UE.

(7) Klauzule 6.1.3, 6.1.4, 6.1.5 i 6.1.6 normy zharmonizowanej EN 18031-2:2024 zawierają specyfikacje dotyczące mechanizmu kontroli dostępu do zabawkowych urządzeń radiowych oraz urządzeń radiowych do opieki nad dziećmi. Dokładniej rzecz ujmując, kategorie wdrożenia opisane w podsekcjach "kryteria oceny" są następujące: kontrola dostępu oparta na roli, wybiórcza kontrola dostępu, obowiązkowa kontrola dostępu lub inne. Niektóre z tych kategorii mogą nie być zgodne z kontrolą ze strony rodzica lub opiekuna. Uznaje się, że w takim przypadku w razie niewdrożenia kontroli ze strony rodzica lub opiekuna, odpowiednie zagrożenia związane z uwierzytel- nianiami nie zostaną uwzględnione, a zatem nie zostanie zapewniona zgodność z zasadniczym wymaganiem określonym w art. 3 ust. 3 akapit pierwszy lit. e) dyrektywy 2014/53/UE.

(8) Klauzula 6.3.2.4 normy zharmonizowanej EN 18031-3:2024 zawiera kryteria oceny bezpiecznych aktualizacji. Określono cztery różne kategorie wdrożenia, oparte na podpisach cyfrowych, mechanizmach bezpiecznej komunikacji, mechanizmach kontroli dostępu lub innych rozwiązaniach. Żadna z tych metod nie jest sama w sobie wystarczająca w kontekście obsługi aktywów finansowych. Uznaje się, że kryteria oceny nie uwzględniają w odpowiedni sposób odpowiednich zagrożeń związanych z uwierzytelnieniami, a zatem nie mogą zapewnić zgodności z zasadniczym wymaganiem określonym w art. 3 ust. 3 akapit pierwszy lit. f) dyrektywy 2014/53/UE.

(9) Odniesienia do norm zharmonizowanych EN 18031-1:2024, EN 18031-2:2024 i EN 18031-3:2024 należy zatem opublikować w Dzienniku Urzędowym Unii Europejskiej z zastrzeżeniami.

(10) Załącznik I do decyzji wykonawczej Komisji (UE) 2022/2191 5  zawiera wykaz odniesień do norm zharmonizowanych, zgodność z którymi stanowi podstawę do domniemania zgodności z dyrektywą 2014/53/UE. Aby wszystkie odniesienia do norm zharmonizowanych opracowanych na potrzeby dyrektywy 2014/53/UE były wymienione w jednym akcie, należy włączyć do tego załącznika odniesienia do norm zharmonizowanych EN 18031-1:2024, EN 18031-2:2024 i EN 18031-3:2024 z zastrzeżeniami.

(11) Należy zatem odpowiednio zmienić decyzję wykonawczą (UE) 2022/2191.

(12) Zgodność z normą zharmonizowaną stanowi podstawę do domniemania zgodności z odpowiednimi zasadniczymi wymaganiami określonymi w unijnym prawodawstwie harmonizacyjnym od dnia publikacji odniesienia do takiej normy w Dzienniku Urzędowym Unii Europejskiej. Niniejsza decyzja powinna zatem wejść w życie z dniem jej opublikowania,

PRZYJMUJE NINIEJSZĄ DECYZJĘ: