Gedelegeerde verordening 2022/30 - Aanvulling van Richtlijn 2014/53/EU met betrekking tot de toepassing van de essentiële eisen als bedoeld in artikel 3, lid 3, punten d), e) en f), van die richtlijn - Hoofdinhoud

NL

Publicatieblad van de Europese Unie

L 7/6

Bescherming van het netwerk of de werking ervan tegen schade, bescherming van persoonsgegevens en privacy van gebruikers en abonnees en bescherming tegen fraude zijn elementen die de bescherming tegen cyberbeveiligingsrisico’s ondersteunen.

Zoals vermeld in overweging 13 van Richtlijn 2014/53/EU kunnen de bescherming van de persoonsgegevens en de privacy van de gebruikers en van de abonnees van radioapparatuur en de bescherming tegen fraude worden verbeterd door middel van specifieke kenmerken van radioapparatuur. Volgens die overweging moet radioapparatuur daarom in passende gevallen op zodanige wijze worden ontworpen dat die kenmerken worden ondersteund.

5G zal een sleutelrol spelen bij de ontwikkeling van de digitale economie en samenleving van de Unie in de komende jaren en zal gevolgen kunnen hebben voor bijna elk aspect van het leven van de burgers van de Unie. Het document “Cybersecurity of 5G networks EU Toolbox of risk mitigating measures” (2) noemt een reeks mogelijke gemeenschappelijke maatregelen waarmee de belangrijkste cyberbeveiligingsrisico’s van 5G-netwerken kunnen worden beperkt, en geeft richtsnoeren voor de selectie van maatregelen die prioriteit moeten krijgen in mitigatieplannen op nationaal niveau en op het niveau van de Unie. Naast deze maatregelen is het van groot belang een geharmoniseerde aanpak te volgen voor essentiële eisen met betrekking tot elementen van cyberbeveiliging die van toepassing zijn op 5G-radioapparaten wanneer zij in de Unie in de handel worden gebracht.

Het beveiligingsniveau dat van toepassing is op grond van de essentiële eisen van de Unie als bedoeld in artikel 3, lid 3, punten d), e) en f), om bescherming van het netwerk, van persoonsgegevens en privacy en tegen fraude te waarborgen, mag geen afbreuk doen aan het hoge veiligheidsniveau dat op nationaal niveau wordt gevraagd voor gedecentraliseerde slimme energienetten waar aan die eisen onderworpen slimme meters moeten worden gebruikt, en voor 5G-netwerkapparatuur die wordt gebruikt door aanbieders van openbare elektronischecommunicatienetwerken en openlijk toegankelijke elektronischecommunicatiediensten in de zin van Richtlijn (EU) 2018/1972 van het Europees Parlement en de Raad (3).

Er is ook veel bezorgdheid geuit over de toenemende risico’s op het gebied van cyberbeveiliging als gevolg van het toegenomen gebruik door beroepsbeoefenaars en consumenten, met inbegrip van kinderen, van radioapparatuur die: i) in staat is zelf over het internet te communiceren, ongeacht of dit rechtstreeks geschiedt of via andere apparatuur (“met internet verbonden radioapparatuur”), d.w.z. dat dergelijke met internet verbonden apparatuur protocollen volgt die nodig zijn voor de uitwisseling van gegevens met het internet, hetzij rechtstreeks, hetzij via andere apparatuur; ii) speelgoed met radiofunctie kan zijn dat ook binnen het toepassingsgebied van Richtlijn 2009/48/EG van het Europees Parlement en de Raad (4) valt of dat uitsluitend is ontworpen of bestemd voor gebruik bij de kinderzorg, zoals kindermonitors; of iii) ontworpen of bestemd is om al dan niet uitsluitend te worden gedragen op, vastgemaakt aan of gehangen van enig deel van het menselijk lichaam (met inbegrip van hoofd, hals, romp, armen, handen, benen en voeten) of door mensen gedragen kleding (met inbegrip van hoofddeksels, handschoenen en schoeisel), zoals radioapparatuur in de vorm van een polshorloge, ring, armband, koptelefoon, oortelefoon of bril (“draagbare radioapparatuur”).

In dit verband moet radioapparatuur voor gebruik bij de kinderzorg, radioapparatuur die onder Richtlijn 2009/48/EG valt of draagbare radioapparatuur die zelf via internet kan communiceren, ongeacht of dit rechtstreeks of via andere apparatuur geschiedt, worden beschouwd als met internet verbonden radioapparatuur. Implantaten mogen bijvoorbeeld niet als draagbare radioapparatuur worden beschouwd, aangezien zij niet op, aan of van enig deel van het menselijk lichaam of kleding worden gedragen, vastgemaakt of gehangen. Implantaten moeten echter als met internet verbonden radioapparatuur worden beschouwd indien zij zelf via internet kunnen communiceren, ongeacht of dit rechtstreeks of via andere apparatuur geschiedt.

Gezien het feit dat radioapparatuur geen bescherming biedt tegen elementen van cyberbeveiligingsrisico’s, moeten de essentiële eisen van Richtlijn 2014/53/EU met betrekking tot de bescherming van het netwerk, van persoonsgegevens en de privacy van gebruikers en abonnees en tegen fraude van toepassing worden op binnen bepaalde categorieën of klassen vallende radioapparatuur.

Richtlijn 2014/53/EU is van toepassing op producten die voldoen aan de definitie van “radioapparatuur” in artikel 2 van die richtlijn, met inachtneming van specifieke uitzonderingen als bedoeld in artikel 1, lid 2, en artikel 1, lid 3, van die richtlijn. Hoewel in de definitie van radioapparatuur in artikel 2 van Richtlijn 2014/53/EU wordt verwezen naar apparatuur die met radiogolven kan communiceren, wordt in Richtlijn 2014/53/EU geen onderscheid gemaakt tussen de radio- en niet-radiofuncties van radioapparatuur, dus moeten alle aspecten en onderdelen van de apparatuur voldoen aan de essentiële eisen van deze gedelegeerde verordening.

Wat schade aan het netwerk of de werking ervan of misbruik van netwerkhulpbronnen betreft, kan met het internet verbonden radioapparatuur die niet voorkomt dat netwerken schade ondervinden of worden misbruikt een onaanvaardbare achteruitgang van de dienstverlening veroorzaken. Zo kan een aanvaller het internetnetwerk op kwaadaardige wijze overmatig belasten om legitiem netwerkverkeer te voorkomen, de verbindingen tussen twee radioproducten verstoren waardoor de toegang tot een dienst wordt verhinderd, een bepaalde persoon de toegang tot een dienst ontzeggen, de verlening van een dienst naar een specifiek systeem of specifieke persoon verstoren, of informatie verstoren. De achteruitgang van onlinediensten kan dus leiden tot kwaadwillige cyberaanvallen, wat zal leiden tot hogere kosten, ongemakken of risico’s voor exploitanten, dienstverleners of gebruikers. Artikel 3, lid 3, punt d), van Richtlijn 2014/53/EU, waarin is bepaald dat radioapparatuur het netwerk of de werking ervan niet mag schaden en geen misbruik van netwerkmiddelen mag maken waardoor de dienstverlening onaanvaardbaar wordt aangetast, moet derhalve van toepassing zijn op met het internet verbonden radioapparatuur.

Er is ook bezorgdheid geuit over de bescherming van persoonsgegevens en de privacy van de gebruiker en van de abonnee van met internet verbonden radioapparatuur omdat die radioapparatuur in staat is informatie op te nemen, op te slaan en te delen, en eventueel via luidsprekers, microfoons en andere sensoren met de gebruiker, met inbegrip van kinderen, te communiceren. Het gaat hierbij met name om het vermogen van deze radioapparatuur om foto’s, video’s, lokalisatiegegevens, gegevens in verband met de speelervaring en hartslag, slaapgewoonten of andere persoonsgegevens te registreren. Als de verbinding of de gegevens niet zijn versleuteld of er geen sterk authenticatiemechanisme is, is het bijvoorbeeld mogelijk via een standaardwachtwoord toegang te krijgen tot geavanceerde instellingen van de radioapparatuur.

Het is daarom belangrijk dat aan het internet verbonden radioapparatuur die in de Unie in de handel wordt gebracht waarborgen bevat om ervoor te zorgen dat persoonsgegevens en de privacy worden beschermd wanneer zij in staat zijn persoonsgegevens als gedefinieerd in artikel 4, lid 1, van Verordening (EU) 2016/679 van het Europees Parlement en de Raad (5) of gegevens als gedefinieerd in artikel 2, punten b) en c), van Richtlijn 2002/58/EG van het Europees Parlement en de Raad (6) te verwerken. Artikel 3, lid 3, punt e), van Richtlijn 2014/53/EU moet daarom van toepassing zijn op met internet verbonden radioapparatuur.

Aan radioapparatuur voor gebruik bij de kinderzorg, radioapparatuur die onder Richtlijn 2009/48/EG valt en draagbare radioapparatuur zijn er bovendien veiligheidsrisico’s wat de bescherming van persoonsgegevens en de privacy betreft, zelfs als er geen internetverbinding is. Persoonsgegevens kunnen worden onderschept wanneer die radioapparatuur radiogolven uitzendt of ontvangt en er geen veiligheidsmechanismen zijn die de bescherming van persoonsgegevens en de privacy waarborgen. Radioapparatuur voor gebruik bij de kinderzorg, radioapparatuur die onder Richtlijn 2009/48/EG valt en draagbare radioapparatuur kunnen een aantal gevoelige (persoonlijke) gegevens van de gebruiker in de loop van de tijd monitoren en registreren en deze doorgeven via communicatietechnologieën die mogelijk onveilig zijn. Radioapparatuur voor gebruik bij de kinderzorg, radioapparatuur die onder Richtlijn 2009/48/EG valt en draagbare radioapparatuur moeten ook de bescherming van persoonsgegevens en de privacy waarborgen wanneer zij in staat zijn persoonsgegevens als gedefinieerd in artikel 4, lid 1, van Verordening (EU) 2016/679 of verkeersgegevens en locatiegegevens als gedefinieerd in artikel 2, punt b) en c), van Richtlijn 2002/58/EG te verwerken in de zin van artikel 4, lid 2, van Verordening (EU) 2016/679. Artikel 3, lid 3, punt e), van Richtlijn 2014/53/EU moet daarom op die radioapparatuur van toepassing zijn.

Wat fraude betreft, kan informatie, waaronder persoonsgegevens, worden gestolen van niet tegen fraude beschermde, met internet verbonden radioapparatuur. Specifieke vormen van fraude hebben betrekking op met internet verbonden radioapparatuur wanneer deze wordt gebruikt om betalingen via internet uit te voeren. De kosten kunnen hoog zijn en hebben niet alleen betrekking op de persoon die het slachtoffer is van de fraude, maar ook op de samenleving als geheel (zoals de kosten van politieonderzoek, slachtofferdiensten, en rechtszaken om verantwoordelijkheden vast te stellen). Daarom moet worden gezorgd voor betrouwbare transacties en moet het risico worden beperkt dat degenen die met internet verbonden radioapparatuur gebruiken om betalingen te verrichten of te ontvangen, financieel verlies lijden.

Met internet verbonden radioapparatuur die in de Unie in de handel wordt gebracht, moet voorzieningen ondersteunen om bescherming tegen fraude te waarborgen wanneer zij de houder of gebruiker in staat stellen geld, monetaire waarde of virtuele valuta zoals gedefinieerd in artikel 2, punt d), van Richtlijn (EU) 2019/713 van het Europees Parlement en de Raad (7) over te maken. Artikel 3, lid 3, punt f), van Richtlijn 2014/53/EU moet daarom op die radioapparatuur van toepassing zijn.

Verordening (EU) 2017/745 van het Europees Parlement en de Raad (8) bevat voorschriften voor medische hulpmiddelen en Verordening (EU) 2017/746 van het Europees Parlement en de Raad (9) bevat voorschriften voor medische hulpmiddelen voor in-vitrodiagnostiek. Beide verordeningen pakken bepaalde aspecten van cyberbeveiligingsrisico’s aan die verband houden met de risico’s die worden bestreken door artikel 3, lid 3, punten d), e) en f), van Richtlijn 2014/53/EU. Radioapparatuur waarop een van die verordeningen van toepassing is, mag derhalve niet vallen onder de categorieën of klassen van radioapparatuur die moeten voldoen aan de essentiële eisen van artikel 3, lid 3, punten d), e) en f), van Richtlijn 2014/53/EU.

Verordening (EU) 2019/2144 van het Europees Parlement en de Raad (10) stelt voorschriften vast voor de typegoedkeuring van voertuigen en van de systemen en onderdelen daarvan. De belangrijkste doelstelling van Verordening (EU) 2018/1139 van het Europees Parlement en de Raad (11) is de totstandbrenging en instandhouding van een hoog, uniform veiligheidsniveau in de burgerluchtvaart in de Unie. Verder worden in Richtlijn (EU) 2019/520 van het Europees Parlement en de Raad (12) voorwaarden gesteld voor de interoperabiliteit van elektronische tolheffingssystemen voor het wegverkeer en ter facilitering van de grensoverschrijdende uitwisseling van informatie over niet-betaling van wegentol in de Unie. De Verordeningen (EU) 2019/2144 en (EU) 2018/1139 en Richtlijn (EU) 2019/520 hebben betrekking op aspecten van cyberbeveiligingsrisico’s die verband houden met de risico’s als bedoeld in artikel 3, lid 3, punten e) en f), van Richtlijn 2014/53/EU. Radioapparatuur waarop de Verordeningen (EU) 2019/2144 en (EU) 2018/1139 of Richtlijn (EU) 2019/520 van toepassing zijn, mag derhalve niet vallen onder de categorieën of klassen van radioapparatuur die moeten voldoen aan de essentiële eisen van artikel 3, lid 3, punten e) en f), van Richtlijn 2014/53/EU.

Artikel 3 van Richtlijn 2014/53/EU voorziet in essentiële eisen waaraan marktdeelnemers moeten voldoen. Om de beoordeling van de conformiteit met die eisen te vergemakkelijken, is in die richtlijn voorzien in een vermoeden van conformiteit voor radioapparatuur die voldoet aan vrijwillige geharmoniseerde normen die overeenkomstig Verordening (EU) nr. 1025/2012 van het Europees Parlement en van de Raad (13) zijn of worden vastgesteld met het doel voor die eisen gedetailleerde technische specificaties te formuleren. In de specificaties wordt rekening gehouden met en wordt ingegaan op het risiconiveau dat overeenkomt met het beoogde gebruik van elke categorie of klasse radioapparatuur waarop deze verordening betrekking heeft.

De marktdeelnemers moeten voldoende tijd krijgen om zich aan de voorschriften van deze verordening aan te passen. De toepassing van deze verordening moet daarom worden uitgesteld. Deze verordening mag marktdeelnemers er niet van weerhouden vanaf de datum van inwerkingtreding aan deze verordening te voldoen.

De Commissie heeft tijdens de voorbereidende werkzaamheden voor de in deze verordening vervatte maatregelen op passende wijze overleg gepleegd en de deskundigengroep Radioapparatuur geraadpleegd,

met internet verbonden radioapparatuur, met uitzondering van de onder b), c) of d) bedoelde apparatuur;

radioapparatuur die ontworpen of bedoeld is om uitsluitend bij de kinderzorg te worden gebruikt;

radioapparatuur die onder Richtlijn 2009/48/EG valt;

radioapparatuur die ontworpen of bestemd is om al dan niet uitsluitend te worden gedragen op, vastgemaakt aan of gehangen van:

Verordening (EU) 2017/745;

Verordening (EU) 2017/746.

Verordening (EU) 2018/1139;

Verordening (EU) 2019/2144;

Richtlijn (EU) 2019/520.