DECYZJA WYKONAWCZA KOMISJI (EU) 2025/138
z dnia 28 stycznia 2025 r.
zmieniająca decyzję wykonawczą (UE) 2022/2191 w odniesieniu do norm zharmonizowanych na potrzeby spełnienia zasadniczych wymagań dyrektywy Parlamentu Europejskiego i Rady 2014/53/UE dotyczących cyberbezpieczeństwa, dla kategorii i klas urządzeń radiowych określonych w rozporządzeniu delegowanym (UE) 2022/30
(Tekst mający znaczenie dla EOG)
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1025/2012 z dnia 25 października 2012 r. w sprawie normalizacji europejskiej, zmieniające dyrektywy Rady 89/686/EWG i 93/15/EWG oraz dyrektywy Parlamentu Europejskiego i Rady 94/9/WE, 94/25/WE, 95/16/WE, 97/23/WE, 98/34/WE, 2004/22/WE, 2007/23/WE, 2009/23/WE i 2009/105/WE oraz uchylające decyzję Rady 87/95/EWG i decyzję Parlamentu Europejskiego i Rady nr 1673/2006/WE (1), w szczególności jego art. 10 ust. 6,
a także mając na uwadze, co następuje:
| (1) | Zgodnie z art. 16 dyrektywy Parlamentu Europejskiego i Rady 2014/53/UE (2) w przypadku urządzeń radiowych zgodnych z normami zharmonizowanymi (lub z ich częściami), do których odniesienia opublikowano w Dzienniku Urzędowym Unii Europejskiej, zakłada się, że spełniają one zasadnicze wymagania określone w art. 3 tej dyrektywy i objęte tymi normami lub ich częściami. |
| (2) | Decyzją wykonawczą C(2022)5637 (3) Komisja wystosowała wniosek do Europejskiego Komitetu Normalizacyjnego (CEN) i Europejskiego Komitetu Normalizacyjnego Elektrotechniki (CENELEC) o opracowanie nowych norm zharmonizowanych na potrzeby art. 3 ust. 3 akapit pierwszy lit. d), e) i f) dyrektywy 2014/53/UE w odniesieniu do kategorii i klas urządzeń radiowych określonych w rozporządzeniu delegowanym Komisji (UE) 2022/30 (4) („wniosek”). |
| (3) | Na podstawie tego wniosku CEN i CENELEC opracowały normy zharmonizowane: EN 18031-1:2024 w sprawie wspólnych wymogów bezpieczeństwa dla urządzeń radiowych podłączonych do internetu, na potrzeby spełnienia zasadniczych wymagań określonych w art. 3 ust. 3 akapit pierwszy lit. d) dyrektywy 2014/53/UE; EN 18031-2:2024 w sprawie wspólnych wymogów bezpieczeństwa dla urządzeń radiowych podłączonych do internetu, urządzeń radiowych do opieki nad dziećmi, zabawkowych urządzeń radiowych i urządzeń radiowych do noszenia na ciele, na potrzeby spełnienia zasadniczych wymagań określonych w art. 3 ust. 3 akapit pierwszy lit. e) dyrektywy 2014/53/UE; oraz EN 18031-3:2024 w sprawie wspólnych wymogów bezpieczeństwa dla urządzeń radiowych podłączonych do internetu do obsługi walut wirtualnych lub wartości pieniężnych, na potrzeby spełnienia zasadniczych wymagań określonych w art. 3 ust. 3 akapit pierwszy lit. f) dyrektywy 2014/53/UE. |
| (4) | Komisja wraz z CEN i CENELEC oceniła zgodność tych norm zharmonizowanych z wnioskiem. |
| (5) | Normy zharmonizowane EN 18031-1:2024, EN 18031-2:2024 i EN 18031-3:2024 zawierają liczne sekcje zatytułowane „Rationale” (Zasadność) i „Guidance” (Wytyczne). Sekcja zatytułowana „Rationale” służy uzasadnieniu potrzeby przeciwdziałania niektórym zagrożeniom. Sekcja zatytułowana „Guidance” zawiera przykłady i komentarze dotyczące możliwości wdrożenia niektórych środków łagodzących. Żadna z tych dwóch wspomnianych powyżej sekcji nie określa specyfikacji. Ponadto sekcje zatytułowane „Guidance” zawierają odniesienia do dokumentów normalizacyjnych krajowych organizacji normalizacyjnych. Co do zasady normy zharmonizowane nie powinny zawierać odniesień normatywnych do tego rodzaju dokumentów normalizacyjnych. |
| (6) | Klauzule 6.2.5.1 i 6.2.5.2 norm zharmonizowanych EN 18031-1:2024, EN 18031-2:2024 i EN 18031-3:2024 dotyczą haseł domyślnych. Klauzule te dają producentom możliwość dopuszczenia nieustawiania ani nieużywania przez użytkownika żadnego hasła. Uznaje się, że w przypadku wdrożenia tego wariantu odpowiednie zagrożenia związane z uwierzytelnianiami nie zostaną odpowiednio uwzględnione, a zatem nie zostanie zapewniona zgodność z zasadniczymi wymaganiami określonymi w art. 3 ust. 3 akapit pierwszy lit. d), e) i f) dyrektywy 2014/53/UE. |
| (7) | Klauzule 6.1.3, 6.1.4, 6.1.5 i 6.1.6 normy zharmonizowanej EN 18031-2:2024 zawierają specyfikacje dotyczące mechanizmu kontroli dostępu do zabawkowych urządzeń radiowych oraz urządzeń radiowych do opieki nad dziećmi. Dokładniej rzecz ujmując, kategorie wdrożenia opisane w podsekcjach „kryteria oceny” są następujące: kontrola dostępu oparta na roli, wybiórcza kontrola dostępu, obowiązkowa kontrola dostępu lub inne. Niektóre z tych kategorii mogą nie być zgodne z kontrolą ze strony rodzica lub opiekuna. Uznaje się, że w takim przypadku w razie niewdrożenia kontroli ze strony rodzica lub opiekuna, odpowiednie zagrożenia związane z uwierzytelnianiami nie zostaną uwzględnione, a zatem nie zostanie zapewniona zgodność z zasadniczym wymaganiem określonym w art. 3 ust. 3 akapit pierwszy lit. e) dyrektywy 2014/53/UE. |
| (8) | Klauzula 6.3.2.4 normy zharmonizowanej EN 18031-3:2024 zawiera kryteria oceny bezpiecznych aktualizacji. Określono cztery różne kategorie wdrożenia, oparte na podpisach cyfrowych, mechanizmach bezpiecznej komunikacji, mechanizmach kontroli dostępu lub innych rozwiązaniach. Żadna z tych metod nie jest sama w sobie wystarczająca w kontekście obsługi aktywów finansowych. Uznaje się, że kryteria oceny nie uwzględniają w odpowiedni sposób odpowiednich zagrożeń związanych z uwierzytelnieniami, a zatem nie mogą zapewnić zgodności z zasadniczym wymaganiem określonym w art. 3 ust. 3 akapit pierwszy lit. f) dyrektywy 2014/53/UE. |
| (9) | Odniesienia do norm zharmonizowanych EN 18031-1:2024, EN 18031-2:2024 i EN 18031-3:2024 należy zatem opublikować w Dzienniku Urzędowym Unii Europejskiej z zastrzeżeniami. |
| (10) | Załącznik I do decyzji wykonawczej Komisji (UE) 2022/2191 (5) zawiera wykaz odniesień do norm zharmonizowanych, zgodność z którymi stanowi podstawę do domniemania zgodności z dyrektywą 2014/53/UE. Aby wszystkie odniesienia do norm zharmonizowanych opracowanych na potrzeby dyrektywy 2014/53/UE były wymienione w jednym akcie, należy włączyć do tego załącznika odniesienia do norm zharmonizowanych EN 18031-1:2024, EN 18031-2:2024 i EN 18031-3:2024 z zastrzeżeniami. |
| (11) | Należy zatem odpowiednio zmienić decyzję wykonawczą (UE) 2022/2191. |
| (12) | Zgodność z normą zharmonizowaną stanowi podstawę do domniemania zgodności z odpowiednimi zasadniczymi wymaganiami określonymi w unijnym prawodawstwie harmonizacyjnym od dnia publikacji odniesienia do takiej normy w Dzienniku Urzędowym Unii Europejskiej. Niniejsza decyzja powinna zatem wejść w życie z dniem jej opublikowania, |
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
W załączniku I do decyzji wykonawczej (UE) 2022/2191 wprowadza się zmiany zgodnie z załącznikiem do niniejszej decyzji.
Artykuł 2
Niniejsza decyzja wchodzi w życie z dniem jej opublikowania w Dzienniku Urzędowym Unii Europejskiej.
Sporządzono w Brukseli dnia 28 stycznia 2025 r.
W imieniu Komisji
Przewodnicząca
Ursula VON DER LEYEN
(1) Dz.U. L 316 z 14.11.2012, s. 12, ELI: http://data.europa.eu/eli/reg/2012/1025/oj.
(2) Dyrektywa Parlamentu Europejskiego i Rady 2014/53/UE z dnia 16 kwietnia 2014 r. w sprawie harmonizacji ustawodawstw państw członkowskich dotyczących udostępniania na rynku urządzeń radiowych i uchylająca dyrektywę 1999/5/WE (Dz.U. L 153 z 22.5.2014, s. 62, ELI: http://data.europa.eu/eli/dir/2014/53/oj).
(3) Decyzja wykonawcza Komisji C(2022)5637 z dnia 5 sierpnia 2022 r. w sprawie wniosku o normalizację do Europejskiego Komitetu Normalizacyjnego oraz do Europejskiego Komitetu Normalizacyjnego Elektrotechniki w odniesieniu do urządzeń radiowych na potrzeby dyrektywy Parlamentu Europejskiego i Rady 2014/53/UE i rozporządzenia delegowanego Komisji (UE) 2022/30.
(4) Rozporządzenie delegowane Komisji (UE) 2022/30 z dnia 29 października 2021 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady 2014/53/UE w odniesieniu do stosowania zasadniczych wymagań, o których mowa w art. 3 ust. 3 lit. d), e) i f) tej dyrektywy (Dz.U. L 7 z 12.1.2022, s. 6, ELI: http://data.europa.eu/eli/reg_del/2022/30/oj).
(5) Decyzja wykonawcza Komisji (UE) 2022/2191 z dnia 8 listopada 2022 r. w sprawie norm zharmonizowanych dotyczących urządzeń radiowych, opracowanych na potrzeby dyrektywy Parlamentu Europejskiego i Rady 2014/53/UE (Dz.U. L 289 z 10.11.2022, s. 7, ELI: http://data.europa.eu/eli/dec_impl/2022/2191/oj).
ZAŁĄCZNIK
W załączniku I do decyzji wykonawczej (EU) 2022/2191 dodaje się wiersze w brzmieniu:
| Nr | Odniesienie do normy |
| „164. | EN 18031-1:2024 Wspólne wymogi bezpieczeństwa dla urządzeń radiowych - Część 1: Urządzenia radiowe podłączone do internetu Uwaga 1: sekcje tej normy zharmonizowanej zatytułowane „Rationale” (Zasadność) oraz „Guidance” (Wytyczne) nie stanowią podstawy do domniemania zgodności z zasadniczym wymaganiem określonym w art. 3 ust. 3 akapit pierwszy lit. d) dyrektywy 2014/53/UE. Uwaga 2: ta norma zharmonizowana nie stanowi podstawy do domniemania zgodności z zasadniczym wymaganiem określonym w art. 3 ust. 3 akapit pierwszy lit. d) dyrektywy 2014/53/UE, jeżeli przez zastosowanie jej klauzul 6.2.5.1 i 6.2.5.2 użytkownik może nie ustawiać ani nie używać żadnego hasła. |
| 165. | EN 18031-2:2024 Wspólne wymogi bezpieczeństwa dla urządzeń radiowych - Część 2: Urządzenia radiowe przetwarzające dane, a mianowicie urządzenia radiowe podłączone do internetu, radiowe urządzenia do opieki nad dziećmi, zabawkowe urządzenia radiowe i urządzenia radiowe do noszenia na ciele Uwaga 1: sekcje tej normy zharmonizowanej zatytułowane „Rationale” (Zasadność) oraz „Guidance” (Wytyczne) nie stanowią podstawy do domniemania zgodności z zasadniczym wymaganiem określonym w art. 3 ust. 3 akapit pierwszy lit. e) dyrektywy 2014/53/UE. Uwaga 2: ta norma zharmonizowana nie stanowi podstawy do domniemania zgodności z art. 3 ust. 3 akapit pierwszy lit. e) dyrektywy 2014/53/UE, jeżeli przez zastosowanie jej klauzul 6.2.5.1 i 6.2.5.2 użytkownik może nie ustawiać ani nie używać żadnego hasła. Uwaga 3: jeśli chodzi o klasy lub kategorie urządzeń radiowych objęte klauzulą 6.1.3, 6.1.4, 6.1.5 lub 6.1.6 tej normy zharmonizowanej, norma ta nie stanowi podstawy do domniemania zgodności z zasadniczym wymaganiem określonym w art. 3 ust. 3 akapit pierwszy lit. e) dyrektywy 2014/53/UE, jeżeli przez zastosowanie jej klauzul 6.1.3.4.2, 6.1.4.4.2, 6.1.5.4.2 i 6.1.6.4.2 nie zapewniono kontroli dostępu ze strony rodzica lub opiekuna. |
| 166. | EN 18031-3:2024 Wspólne wymogi bezpieczeństwa dla urządzeń radiowych - Część 3: Urządzenia radiowe podłączone do internetu do obsługi walut wirtualnych lub wartość pieniężnych Uwaga 1: sekcje tej normy zharmonizowanej zatytułowane „Rationale” (Zasadność) oraz „Guidance” (Wytyczne) nie stanowią podstawy do domniemania zgodności z zasadniczym wymaganiem określonym w art. 3 ust. 3 akapit pierwszy lit. f) dyrektywy 2014/53/UE. Uwaga 2: ta norma zharmonizowana nie stanowi podstawy do domniemania zgodności z zasadniczym wymaganiem określonym w art. 3 ust. 3 akapit pierwszy lit. f) dyrektywy 2014/53/UE, jeżeli przez zastosowanie jej klauzul 6.2.5.1 i 6.2.5.2 użytkownik może nie ustawiać ani nie używać żadnego hasła. Uwaga 3: jeśli chodzi o kryteria oceny określone w klauzuli 6.3.2.4 tej normy zharmonizowanej, norma ta nie stanowi podstawy do domniemania zgodności z zasadniczym wymaganiem określonym w art. 3 ust. 3 akapit pierwszy lit. f) dyrektywy 2014/53/UE.” |
POTRZEBUJESZ POMOCY?Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00
