Uitvoeringsbesluit (EU) 2025/138 van de Commissie van 28 januari 2025 tot wijziging van Uitvoeringsbesluit (EU) 2022/2191 wat betreft geharmoniseerde normen ter ondersteuning van de essentiële eisen van Richtlijn 2014/53/EU van het Europees Parlement en de Raad met betrekking tot cyberbeveiliging, voor de in Gedelegeerde Verordening (EU) 2022/30 gespecificeerde categorieën en klassen van radioapparatuur

DE EUROPESE COMMISSIE,

Gezien het Verdrag betreffende de werking van de Europese Unie,

Gezien Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad van 25 oktober 2012 betreffende Europese normalisatie, tot wijziging van de Richtlijnen 89/686/EEG en 93/15/EEG van de Raad alsmede de Richtlijnen 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG en 2009/105/EG van het Europees Parlement en de Raad en tot intrekking van Beschikking 87/95/EEG van de Raad en Besluit nr. 1673/2006/EG van het Europees Parlement en de Raad⁽¹⁾, en met name artikel 10, lid 6,

Overwegende hetgeen volgt:

1. Overeenkomstig artikel 16 van Richtlijn 2014/53/EU van het Europees Parlement en de Raad⁽²⁾ wordt radioapparatuur die conform is met geharmoniseerde normen of delen ervan, waarvan de referenties in het Publicatieblad van de Europese Unie zijn bekendgemaakt, geacht conform te zijn met de essentiële eisen van artikel 3 van die richtlijn, indien die door die normen of delen ervan worden bestreken.

2. Ter ondersteuning van artikel 3, lid 3, eerste alinea, punten d), e) en f), van Richtlijn 2014/53/EU heeft de Commissie bij Uitvoeringsbesluit C(2022) 5637⁽³⁾ het Europees Comité voor normalisatie (CEN) en het Europees Comité voor elektrotechnische normalisatie (Cenelec) verzocht nieuwe geharmoniseerde normen op te stellen voor de in Gedelegeerde Verordening (EU) 2022/30 van de Commissie⁽⁴⁾ gespecificeerde categorieën en klassen van radioapparatuur (“het verzoek”).

3. Op basis van het verzoek hebben het CEN en het Cenelec de geharmoniseerde normen EN 18031-1:2024 betreffende gemeenschappelijke beveiligingseisen voor met internet verbonden radioapparatuur, ter ondersteuning van de essentiële eis van artikel 3, lid 3, eerste alinea, punt d), van Richtlijn 2014/53/EU; EN 18031-2:2024 betreffende gemeenschappelijke beveiligingseisen voor met internet verbonden radioapparatuur, radioapparatuur voor gebruik bij de kinderzorg, speelgoedradioapparatuur en draagbare radioapparatuur, ter ondersteuning van de essentiële eis van artikel 3, lid 3, eerste alinea, punt e), van Richtlijn 2014/53/EU, en EN 18031-3:2024 betreffende gemeenschappelijke beveiligingseisen voor met internet verbonden radioapparatuur die virtueel geld of monetaire waarde verwerkt, ter ondersteuning van de essentiële eis van artikel 3, lid 3, eerste alinea, punt f), van Richtlijn 2014/53/EU, opgesteld.

4. Samen met het CEN en het Cenelec is de Commissie nagegaan of die geharmoniseerde normen aan het verzoek voldoen.

5. De geharmoniseerde normen EN 18031-1:2024, EN 18031-2:2024 en EN 18031-3:2024 bevatten meerdere afdelingen met het opschrift “Rationale” (Motivering) en “Guidance” (Richtsnoeren). De afdeling met het opschrift “Rationale” is bedoeld om een motivering te geven van de noodzaak om bepaalde risico’s aan te pakken. De afdelingen met het opschrift “Guidance” bevatten voorbeelden van en overwegingen over de mogelijkheden om bepaalde risicobeperkende maatregelen uit te voeren. Geen van de twee bovengenoemde afdelingen bevat specificaties. Daarnaast bevatten de afdelingen met het opschrift “Guidance” verwijzingen naar normalisatieproducten van nationale normalisatieorganisaties. In het algemeen mogen geharmoniseerde normen geen normatieve kruisverwijzingen naar dergelijke normalisatieproducten bevatten.

6. De punten 6.2.5.1 en 6.2.5.2 van de geharmoniseerde normen EN 18031-1:2024, EN 18031-2:2024 en EN 18031-3:2024 hebben betrekking op standaardwachtwoorden. Deze bepalingen bieden fabrikanten de mogelijkheid om een gebruiker toe te staan geen wachtwoord in te stellen of te gebruiken. Er wordt van uitgegaan dat, indien deze optie wordt toegepast, de relevante authenticatierisico’s niet naar behoren zullen worden aangepakt en dat conformiteit met de essentiële eisen van artikel 3, lid 3, eerste alinea, punten d), e) en f), van Richtlijn 2014/53/EU derhalve niet zou worden gewaarborgd.

7. De punten 6.1.3, 6.1.4, 6.1.5 en 6.1.6 van geharmoniseerde norm EN 18031-2:2024 bevatten specificaties voor toegangscontrolemechanismen voor speelgoedradioapparatuur en voor radioapparatuur voor gebruik bij de kinderzorg. Meer in het bijzonder worden in de onderafdelingen met het opschrift “Assessment criteria” (beoordelingscriteria) de volgende de volgende uitvoeringscategorieën beschreven: toegangscontrole op basis van functie, discretionaire toegangscontrole, verplichte toegangscontrole of andere. Sommige van deze categorieën zijn mogelijk niet verenigbaar met de controle door de ouders of voogd. In een dergelijk geval wordt ervan uitgegaan dat, indien er geen sprake is van controle door de ouders of voogd, de relevante authenticatierisico’s niet zullen worden aangepakt en dat conformiteit met de essentiële eis van artikel 3, lid 3, eerste alinea, punt e), van Richtlijn 2014/53/EU derhalve niet zou worden gewaarborgd.

8. Punt 6.3.2.4 van geharmoniseerde norm EN 18031-3:2024 bevat beoordelingscriteria voor beveiligde updates. Er zijn vier verschillende uitvoeringscategorieën vastgesteld, op basis van digitale handtekeningen, beveiligde communicatiemechanismen, toegangscontrolemechanismen of andere oplossingen. Geen van deze methoden is op zichzelf voldoende om financiële activa te behandelen. Er wordt van uitgegaan dat de beoordelingscriteria ontoereikend zijn om de relevante authenticatierisico’s naar behoren aan te pakken en dat derhalve niet kan worden gewaarborgd dat aan de essentiële eis van artikel 3, lid 3, eerste alinea, punt f), van Richtlijn 2014/53/EU wordt voldaan.

9. De referenties van de geharmoniseerde normen EN 18031-1:2024, EN 18031-2:2024 en EN 18031-3:2024 moeten daarom met beperkingen worden bekendgemaakt in het Publicatieblad van de Europese Unie.

10. Bijlage I bij Uitvoeringsbesluit (EU) 2022/2191 van de Commissie⁽⁵⁾ bevat de referenties van geharmoniseerde normen die een vermoeden van overeenstemming met Richtlijn 2014/53/EU vestigen. Om ervoor te zorgen dat de referenties van geharmoniseerde normen die ter ondersteuning van Richtlijn 2014/53/EU zijn opgesteld in één handeling worden vermeld, moeten de referenties van de geharmoniseerde normen EN 18031-1:2024, EN 18031-2:2024 en EN 18031-3:2024 met beperkingen in die bijlage worden opgenomen.

11. Uitvoeringsbesluit (EU) 2022/2191 moet daarom dienovereenkomstig worden gewijzigd.

12. Door naleving van een geharmoniseerde norm wordt een vermoeden van conformiteit gevestigd met de overeenkomstige essentiële eisen die in de harmonisatiewetgeving van de Unie zijn opgenomen vanaf de datum van bekendmaking van het referentienummer van die norm in het Publicatieblad van de Europese Unie. Dit besluit moet derhalve in werking treden op de datum van de bekendmaking ervan,

HEEFT HET VOLGENDE BESLUIT VASTGESTELD: