Krav til datasikkerhet og personvern i internettilkoblet radioutstyr
(Under forberedelse) Delegert kommisjonsforordning (EU) .../... om internettilkoblet radioutstyr og radioutstyr som bæres på kroppen
(In preparation) Commision Delegated Regulation (EU) .../... on Internet-connected radio equipment and wearable radio equipment
EØS-notat offentliggjort 4.4.2019
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 26.3.2019)
Sammendrag av innhold
Kommisjonen har satt i gang en utredningsprosess for å vurdere mulig regulering etter artikkel 3(3)(e) og (f) i Radioutstyrsdirektivet 2014/53/EU, om krav til datasikkerhet og personvern i internettilkoblet radioutstyr, herunder utstyr som skal bæres på kroppen, eksempelvis smartklokker. Kommisjonen har publisert et veikart for videre utredning https://ec.europa.eu/info/law/better-regulation/initiatives/ares-2018-6426936_en Konsekvensutredningen skal danne grunnlag for å vurdere behovet for regulering og vil sluttføres i desember 2019. Reguleringsinitiativet kommer som følge av et ønske om å sikre grunnleggende krav til datasikkerhet og personvern i utstyr som skal kobles mot internett. Tilgjengliggjøring av internettoppkoblede produkter øker i omfang i et raskt tempo og brukes blant annet av sårbare brukergrupper som barn. Det er avdekket eksempler på at smartklokker og leketøy som kobles til internett er enkle å hacke seg inn i og ta kontroll over for utenforstående. Det er derfor et ønske om at slike og tilsvarende produkter skal ha innebygget sikkerhet for å avverge svindel og misbruk av personopplysninger, når det gjøres tilgjengelig på markedet i EU/EØS.
Merknader
Hovedrettsakten, direktiv 2014/53/EU er hjemlet i traktatens artikkel 100 a.
Rettslige konsekvenser
Direktiv 2014/53/EU er gjennomført i norsk rett ved forskrift 15. april 2016 nr. 377 om EØS-krav til radioutstyr. Eventuell tilleggsregulering under direktivet artikkel 3(3)(e) og (f) vil gjennomføres ved endringer i nevnte forskrift.
Økonomiske og administrative konsekvenser
Gjennomføring av en eventuell rettsakt anses ikke å ha økonomiske og/eller administrative konsekvenser for offentlige myndigheter utover den nevnte forskriftsendringen. Rettsakten innebærer plikter for produsenter og andre markedsaktører som gjør radioutstyr tilgjengelig på markedet i EU/EØS. Konsekvensutredningen som er igangsatt av Kommisjonen vil belyse konsekvenser for markedsaktørene.
Sakkyndige instansers merknader
En eventuell rettsakt vil mest sannsynlig følge hurtigprosedyren og dermed ikke bli behandlet i Spesialutvalg. Samferdselsdepartementet og Nasjonal kommunikasjonsmyndighet vil vurdere EØS-relevans og om en eventuell rettsakt er akseptabel.
Status
Kommisjonen har publisert et veikart for videre utredning. Konsekvensutredningen skal danne grunnlag for å vurdere behovet for regulering og vil sluttføres i desember 2019. Reguleringsinitiativet vil bli behandlet i Telecommunications Conformity Assessment and Market Surveillance Committee (TCAM) og Radio Equipment Expert Group (RED EG). Nasjonal kommunikasjonsmyndighet deltar i disse gruppene.
Sammendrag av innhold
Kommisjonen har satt i gang en utredningsprosess for å vurdere mulig regulering etter artikkel 3(3)(e) og (f) i Radioutstyrsdirektivet 2014/53/EU, om krav til datasikkerhet og personvern i internettilkoblet radioutstyr, herunder utstyr som skal bæres på kroppen, eksempelvis smartklokker. Kommisjonen har publisert et veikart for videre utredning https://ec.europa.eu/info/law/better-regulation/initiatives/ares-2018-6426936_en Konsekvensutredningen skal danne grunnlag for å vurdere behovet for regulering og vil sluttføres i desember 2019. Reguleringsinitiativet kommer som følge av et ønske om å sikre grunnleggende krav til datasikkerhet og personvern i utstyr som skal kobles mot internett. Tilgjengliggjøring av internettoppkoblede produkter øker i omfang i et raskt tempo og brukes blant annet av sårbare brukergrupper som barn. Det er avdekket eksempler på at smartklokker og leketøy som kobles til internett er enkle å hacke seg inn i og ta kontroll over for utenforstående. Det er derfor et ønske om at slike og tilsvarende produkter skal ha innebygget sikkerhet for å avverge svindel og misbruk av personopplysninger, når det gjøres tilgjengelig på markedet i EU/EØS.
Merknader
Hovedrettsakten, direktiv 2014/53/EU er hjemlet i traktatens artikkel 100 a.
Rettslige konsekvenser
Direktiv 2014/53/EU er gjennomført i norsk rett ved forskrift 15. april 2016 nr. 377 om EØS-krav til radioutstyr. Eventuell tilleggsregulering under direktivet artikkel 3(3)(e) og (f) vil gjennomføres ved endringer i nevnte forskrift.
Økonomiske og administrative konsekvenser
Gjennomføring av en eventuell rettsakt anses ikke å ha økonomiske og/eller administrative konsekvenser for offentlige myndigheter utover den nevnte forskriftsendringen. Rettsakten innebærer plikter for produsenter og andre markedsaktører som gjør radioutstyr tilgjengelig på markedet i EU/EØS. Konsekvensutredningen som er igangsatt av Kommisjonen vil belyse konsekvenser for markedsaktørene.
Sakkyndige instansers merknader
En eventuell rettsakt vil mest sannsynlig følge hurtigprosedyren og dermed ikke bli behandlet i Spesialutvalg. Samferdselsdepartementet og Nasjonal kommunikasjonsmyndighet vil vurdere EØS-relevans og om en eventuell rettsakt er akseptabel.
Status
Kommisjonen har publisert et veikart for videre utredning. Konsekvensutredningen skal danne grunnlag for å vurdere behovet for regulering og vil sluttføres i desember 2019. Reguleringsinitiativet vil bli behandlet i Telecommunications Conformity Assessment and Market Surveillance Committee (TCAM) og Radio Equipment Expert Group (RED EG). Nasjonal kommunikasjonsmyndighet deltar i disse gruppene.