(1)

Der Schutz des Netzes oder seines Betriebs vor Schaden, der Schutz personenbezogener Daten und der Privatsphäre des Nutzers und des Teilnehmers sowie der Schutz vor Betrug sind Elemente, die den Schutz vor Risiken für die Cybersicherheit unterstützen.

(2)

Wie in Erwägungsgrund 13 der Richtlinie 2014/53/EU ausgeführt, können der Schutz personenbezogener Daten und der Privatsphäre der Nutzer von und Teilnehmer an Funkanlagen sowie der Schutz vor Betrug durch besondere Funktionen der Anlagen verbessert werden. Nach diesem Erwägungsgrund sollten Funkanlagen daher im geeigneten Fall so konzipiert sein, dass sie diese Funktionen unterstützen.

(3)

5G wird in den kommenden Jahren eine Schlüsselrolle bei der Entwicklung der digitalen Wirtschaft und Gesellschaft der Union spielen und sich potenziell auf fast alle Aspekte des Lebens der Unionsbürgerinnen und -bürger auswirken. Im Dokument „EU-Instrumentarium für die 5G-Cybersicherheit“ (2) wird eine Reihe möglicher gemeinsamer Maßnahmen identifiziert, mit denen die größten Risiken für die Cybersicherheit von 5G-Netzen gemindert werden können, und es bietet eine Orientierungshilfe bei der Auswahl von Maßnahmen, die in den nationalen und EU-Risikominderungsplänen priorisiert werden sollten. Zusätzlich zu diesen Maßnahmen ist es sehr wichtig, einen harmonisierten Ansatz für die grundlegenden Anforderungen in Bezug auf Elemente der Bewahrung der Cybersicherheit zu verfolgen, die für 5G-Funkgeräte gelten sollen, wenn diese auf dem Unionsmarkt in Verkehr gebracht werden.

(4)

Das nach den grundlegenden Anforderungen der Union gemäß Artikel 3 Absatz 3 Buchstaben d, e und f geltende Sicherheitsniveau zur Gewährleistung des Schutzes des Netzes, der Sicherheitsvorrichtungen für den Schutz personenbezogener Daten und der Privatsphäre sowie des Schutzes vor Betrug darf das auf nationaler Ebene geforderte hohe Sicherheitsniveau für dezentrale intelligente Netze im Energiebereich, wo intelligente Zähler verwendet werden sollen, die diesen Anforderungen unterliegen, und für 5G-Netzgeräte, die von Anbietern öffentlicher elektronischer Kommunikationsnetze und öffentlich zugänglicher elektronischer Kommunikationsdienste im Sinne der Richtlinie (EU) 2018/1972 des Europäischen Parlaments und des Rates (3) verwendet werden, nicht beeinträchtigen.

(5)

Zahlreiche Bedenken wurden auch in Bezug auf die zunehmenden Risiken für die Cybersicherheit geäußert, die sich daraus ergeben, dass Fachleute und Verbraucher, darunter auch Kinder, zunehmend Funkanlagen nutzen, die: i) selbst in der Lage sind, über das Internet zu kommunizieren, unabhängig davon, ob sie direkt oder über ein anderes Gerät kommunizieren („mit dem Internet verbundene Funkanlagen“), d. h. solche mit dem Internet verbundene Geräte arbeiten mit Protokollen, die für den Datenaustausch mit dem Internet entweder direkt oder über ein Zwischengerät erforderlich sind; ii) entweder Spielzeuge mit Funkfunktion sind, die auch in den Anwendungsbereich der Richtlinie 2009/48/EG des Europäischen Parlaments und des Rates (4) fallen, oder ausschließlich für die Kinderbetreuung konzipiert oder bestimmt sind, wie z. B. Babyfone; oder iii) ausschließlich oder nicht ausschließlich dazu konzipiert oder bestimmt sind, an einem Teil des menschlichen Körpers (einschließlich Kopf, Hals, Rumpf, Arme, Hände, Beine und Füße) oder an von Menschen getragenen Kleidungsstücken (einschließlich Kopfbedeckungen, Handschuhen und Schuhen) getragen, festgeschnallt oder befestigt zu werden, wie z. B. Funkanlagen in Form einer Armbanduhr, eines Rings, eines Armbands, eines Headsets, eines Kopfhörers oder einer Brille („tragbare Funkanlagen“).

(6)

In diesem Zusammenhang sollten Funkanlagen für die Kinderbetreuung, Funkanlagen, die unter die Richtlinie 2009/48/EG fallen, oder tragbare Funkanlagen, die selbst in der Lage sind, über das Internet zu kommunizieren, unabhängig davon, ob sie direkt oder über ein anderes Gerät kommunizieren, als mit dem Internet verbundene Funkanlagen gelten. Implantate sollten beispielsweise nicht als tragbare Funkanlagen gelten, da sie weder am Körper noch an der Kleidung getragen, festgeschnallt oder befestigt werden. Implantate sollten jedoch als mit dem Internet verbundene Funkanlagen gelten, wenn sie selbst in der Lage sind, über das Internet zu kommunizieren, unabhängig davon, ob sie direkt oder über ein anderes Gerät kommunizieren.

(7)

Angesichts der Bedenken aufgrund der Tatsache, dass Funkanlagen keinen Schutz vor Risikoelementen für die Cybersicherheit bieten, ist es erforderlich, auf Funkanlagen bestimmter Kategorien oder Klassen die grundlegenden Anforderungen der Richtlinie 2014/53/EU in Bezug auf den Schutz des Netzes vor Schaden, den Schutz personenbezogener Daten und der Privatsphäre des Nutzers und des Teilnehmers sowie den Schutz vor Betrug anzuwenden.

(8)

Die Richtlinie 2014/53/EU gilt für Produkte, die der Definition des Begriffs „Funkanlagen“ in Artikel 2 entsprechen, vorbehaltlich besonderer Ausnahmen gemäß Artikel 1 Absatz 2 und Artikel 1 Absatz 3. Während sich die Definition von Funkanlagen in Artikel 2 der Richtlinie 2014/53/EU auf Anlagen bezieht, die per Funkwellen kommunizieren können, wird in den Anforderungen der Richtlinie 2014/53/EU nicht zwischen den funkbasierten und nicht funkbasierten Funktionen der Funkanlage unterschieden; daher sollten alle Aspekte und Teile der Anlage die in dieser Delegierten Verordnung vorgesehenen grundlegenden Anforderungen erfüllen.

(9)

Was die schädlichen Auswirkungen auf das Netz oder seinen Betrieb oder eine missbräuchliche Nutzung von Netzressourcen betrifft, so kann eine unannehmbare Beeinträchtigung des Dienstes durch mit dem Internet verbundene Funkanlagen verursacht werden, von denen nicht gewährleistet wird, dass Netze keinen Schaden erleiden oder missbraucht werden. Beispielsweise kann ein Angreifer eine mutwillige Überlastung der Netzinfrastruktur herbeiführen, um den regulären Netzverkehr zu behindern, die Verbindungen zwischen zwei Funkprodukten stören und so den Zugang zu einem Dienst verhindern, eine bestimmte Person am Zugang zu einem Dienst hindern, einen Dienst für ein bestimmtes System oder eine bestimmte Person unterbrechen oder den Informationsfluss stören. Die Beeinträchtigung der Online-Dienste kann somit zu böswilligen Cyberangriffen führen, die mit höheren Kosten, Unannehmlichkeiten oder Risiken für Betreiber, Diensteanbieter oder Nutzer verbunden sind. Die Anforderung aus Artikel 3 Absatz 3 Buchstabe d der Richtlinie 2014/53/EU, dass Funkanlagen weder schädliche Auswirkungen auf das Netz oder seinen Betrieb haben noch eine missbräuchliche Nutzung von Netzressourcen ermöglichen, die eine unannehmbare Beeinträchtigung des Dienstes verursachen würde, sollte daher für mit dem Internet verbundene Funkanlagen gelten.

(10)

Bedenken wurden auch hinsichtlich des Schutzes personenbezogener Daten und der Privatsphäre des Nutzers und des Teilnehmers von mit dem Internet verbundenen Funkanlagen geäußert, da diese Funkanlagen in der Lage sind, Informationen aufzuzeichnen, zu speichern und weiterzugeben und mit dem Nutzer, auch Kindern, zu interagieren, wenn Lautsprecher, Mikrofone und andere Sensoren in diese Funkanlage integriert sind. Diese Bedenken beziehen sich besonders auf die Fähigkeit dieser Funkanlagen, Fotos, Videos, Lokalisierungsdaten, Daten im Zusammenhang mit der Spielerfahrung sowie die Herzfrequenz, Schlafgewohnheiten oder andere personenbezogene Daten aufzuzeichnen. So kann beispielsweise über ein Standardpasswort auf erweiterte Einstellungen des Funkgeräts zugegriffen werden, wenn die Verbindung oder die Daten nicht verschlüsselt sind oder wenn es keinen starken Authentifizierungsmechanismus gibt.

(11)

Daher ist es wichtig, dass mit dem Internet verbundene Funkanlagen, die auf dem Unionsmarkt in Verkehr gebracht werden, sofern sie personenbezogene Daten im Sinne von Artikel 4 Absatz 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (5) oder Daten im Sinne von Artikel 2 Buchstaben b und c der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (6) verarbeiten können, über Sicherheitsvorrichtungen verfügen, die gewährleisten, dass personenbezogene Daten und die Privatsphäre geschützt werden. Artikel 3 Absatz 3 Buchstabe e der Richtlinie 2014/53/EU sollte daher für mit dem Internet verbundene Funkanlagen gelten.

(12)

Darüber hinaus stellen Funkanlagen für die Kinderbetreuung, Funkanlagen, die unter den Anwendungsbereich der Richtlinie 2009/48/EG fallen, sowie tragbare Funkanlagen hinsichtlich des Schutzes personenbezogener Daten und der Privatsphäre auch ohne Verbindung mit dem Internet Sicherheitsrisiken dar. Personenbezogene Daten können abgefangen werden, wenn Funkanlagen Funkwellen ausstrahlen oder empfangen und über keine Sicherheitsvorrichtungen verfügen, die den Schutz personenbezogener Daten und den Schutz der Privatsphäre gewährleisten. Funkanlagen für die Kinderbetreuung, Funkanlagen, die unter den Anwendungsbereich der Richtlinie 2009/48/EG fallen, sowie tragbare Funkanlagen können mit der Zeit eine Reihe sensibler (personenbezogener) Daten des Nutzers beobachten und speichern und sie über möglicherweise unsichere Kommunikationstechnologien weiterleiten. Funkanlagen für die Kinderbetreuung, Funkanlagen, die unter den Anwendungsbereich der Richtlinie 2009/48/EG fallen, sowie tragbare Funkanlagen sollten auch den Schutz personenbezogener Daten und der Privatsphäre gewährleisten, wenn sie gemäß Artikel 4 Absatz 2 der Verordnung (EU) 2016/679 personenbezogene Daten im Sinne von Artikel 4 Absatz 1 der Verordnung (EU) 2016/679 oder Verkehrsdaten und Standortdaten im Sinne von Artikel 2 Buchstaben b und c der Richtlinie 2002/58/EG verarbeiten können. Artikel 3 Absatz 3 Buchstabe e der Richtlinie 2014/53/EU sollte daher für diese Funkanlagen gelten.

(13)

Was Betrug betrifft, können Informationen, einschließlich personenbezogener Daten, aus mit dem Internet verbundenen Funkanlagen gestohlen werden, die keinen Schutz vor Betrug bieten. Bestimmte Arten von Betrug betreffen mit dem Internet verbundene Funkanlagen, wenn sie für Zahlungen über das Internet verwendet werden. Damit können nicht nur auf die Person, die den Betrug erlitten hat, sondern auch auf die Gesellschaft als Ganzes hohe Kosten (z. B. Kosten für polizeiliche Ermittlungen, für Opferdienste oder Prozesskosten zur Feststellung der Verantwortlichen) zukommen. Es ist daher notwendig, vertrauenswürdige Transaktionen zu gewährleisten und das Risiko von finanziellen Verlusten für die Nutzer von mit dem Internet verbundenen Funkanlagen, die Zahlungen über diese Funkanlage ausführen, und die Empfänger der über diese Funkanlage geleisteten Zahlungen zu minimieren.

(14)

Mit dem Internet verbundene Funkanlagen, die auf dem Unionsmarkt in Verkehr gebracht werden, sollten im Fall, dass sie dem Besitzer oder Nutzer ermöglichen, Geld, monetäre Werte oder virtuelle Währungen im Sinne von Artikel 2 Buchstabe d der Richtlinie (EU) 2019/713 des Europäischen Parlaments und des Rates (7) zu übertragen, Funktionen zum Schutz vor Betrug unterstützen. Artikel 3 Absatz 3 Buchstabe f der Richtlinie 2014/53/EU sollte daher für diese Funkanlagen gelten.

(15)

Die Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates (8) enthält Vorschriften für Medizinprodukte und die Verordnung (EU) 2017/746 des Europäischen Parlaments und des Rates (9) enthält Vorschriften für In-vitro-Diagnostika. Sowohl in der Verordnung (EU) 2017/745 als auch in der Verordnung (EU) 2017/746 werden bestimmte Aspekte der Risiken für die Cybersicherheit behandelt, die mit den in Artikel 3 Absatz 3 Buchstaben d, e und f der Richtlinie 2014/53/EU genannten Risiken verbunden sind. Funkanlagen, auf die eine dieser Verordnungen Anwendung findet, sollten daher nicht unter die Kategorien oder Klassen von Funkanlagen fallen, die den grundlegenden Anforderungen gemäß Artikel 3 Absatz 3 Buchstaben d, e und f der Richtlinie 2014/53/EU entsprechen sollten.

(16)

Die Verordnung (EU) 2019/2144 des Europäischen Parlaments und des Rates (10) legt die Anforderungen für die Typgenehmigung von Kraftfahrzeugen sowie von Systemen und Bauteilen für diese Fahrzeuge fest. Außerdem besteht das Hauptziel der Verordnung (EU) 2018/1139 des Europäischen Parlaments und des Rates (11) in der Festlegung und Aufrechterhaltung eines hohen einheitlichen Niveaus der Flugsicherheit in der Union. Des Weiteren sind in der Richtlinie (EU) 2019/520 des Europäischen Parlaments und des Rates (12) die Bedingungen für die Interoperabilität elektronischer Mautsysteme und die Erleichterung des grenzüberschreitenden Informationsaustauschs über die Nichtzahlung von Straßenbenutzungsgebühren in der Union festgelegt. In den Verordnungen (EU) 2019/2144 und (EU) 2018/1139 sowie in der Richtlinie (EU) 2019/520 werden Aspekte von Risiken für die Cybersicherheit behandelt, die mit den in Artikel 3 Absatz 3 Buchstaben e und f der Richtlinie 2014/53/EU genannten Risiken verbunden sind. Funkanlagen, für die die Verordnungen (EU) 2019/2144 und (EU) 2018/1139 oder die Richtlinie (EU) 2019/520 gelten, sollten daher nicht unter die Kategorien oder Klassen von Funkanlagen fallen, die den grundlegenden Anforderungen gemäß Artikel 3 Absatz 3 Buchstaben e und f der Richtlinie 2014/53/EU entsprechen sollten.

(17)

In Artikel 3 der Richtlinie 2014/53/EU sind grundlegende Anforderungen, die die Wirtschaftsakteure erfüllen müssen, festgelegt. Um die Konformitätsbewertung in Bezug auf diese Anforderungen zu erleichtern, ist darin eine Konformitätsvermutung für Funkanlagen vorgesehen, die den freiwilligen harmonisierten Normen entspricht, die nach der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates (13) für die Festlegung genauer technischer Spezifikationen zu diesen Anforderungen angenommen werden. In den Spezifikationen würde das auf die bestimmungsgemäße Verwendung der einzelnen von dieser Verordnung betroffenen Kategorien oder Klassen von Funkanlagen bezogene Risikoniveau berücksichtigt und behandelt.

(18)

Den Wirtschaftsakteuren sollte ausreichend Zeit für die Anpassung an die Anforderungen dieser Verordnung eingeräumt werden. Diese Verordnung sollte daher erst nach einer gewissen Zeit in Kraft treten und sollte eine Einhaltung ab dem Zeitpunkt ihres Inkrafttretens durch die Wirtschaftsteilnehmer nicht behindern.

(19)

Die Kommission hat bei den vorbereitenden Arbeiten zu den Maßnahmen, wie sie in dieser Verordnung festgelegt sind, angemessene Konsultationen durchgeführt und die Sachverständigengruppe für Funkanlagen konsultiert —