Klima-, Energi- og Forsyningsudvalget 2021-22
KEF Alm.del Bilag 98
Offentligt
2490282_0001.png
Notat om delegeret retsakt til Folketingets Europaudvalg
Dato
24. november 2021
Kommissionens delegerede forordning af 29.10.2021 om supplerende
regler til Europa-Parlamentets og Rådets direktiv 2014/53/EU for så vidt
angår anvendelsen af de væsentlige krav, der er omhandlet i nævnte
direktivs artikel 3, stk. 3, litra d), e) og f).
1. Resumé
Kommissionen har den 29. oktober 2021 vedtaget en delegeret forordning om cyber-
sikkerhed i radioudstyr.
Den delegerede forordning skal sikre, at trådløse enheder, der sælges i EU, garan-
terer et tilstrækkeligt niveau af cybersikkerhed. I de senere år er der blevet identifi-
ceret produkter på markedet i EU, som har et svagt sikkerhedsniveau og er sårbare
over for digitale angreb eller tyveri af personoplysninger, eller som gør det muligt at
overvåge eller gribe ind i børns leg. Med den delegerede forordning stilles der krav
om cybersikkerhed til producenter af relevante trådløse produkter.
Den delegerede forordning får direkte virkning i medlemslandene. Den delegerede
forordning skal suppleres af en række standarder, som udarbejdes af europæiske
standardiseringsorganer og gøres tilgængelige i Danmark af Dansk Standard.
De økonomiske konsekvenser af den delegerede forordning vil primært blive påført
erhvervslivet, men den øgede cybersikkerhed vil være til gavn for både virksomheder
og forbrugere. Har virksomhederne ikke tidligere sikret deres radioudstyrs-produkter,
så vil der skulle investeres i en sådan sikring. De virksomheder, der tidligere har
sikret deres produkter, vil skulle kunne dokumentere, at de overholder kravene. Det
skønnes, at ca. 4000 danske virksomheder vil blive omfattet af de nye regler. Det er
ikke umiddelbart muligt at skønne over omfanget af de samlede erhvervsøkonomiske
omkostninger.
Regeringen er positiv over for forordningen og lægger vægt på vigtigheden af, at
cybersikkerhed også sikres af producenter af radioudstyr. Regeringen støtter, at Rå-
det ikke gør indsigelse mod udstedelsen af den delegerede forordning og vil 8 dage
fra oversendelsen af nærværende notat lægge dette til grund. Frist for indsigelse er
to måneder efter forordningens offentliggørelse, dvs. den 29. december 2021.
Side 1/6
KEF, Alm.del - 2021-22 - Bilag 98: Orientering om delegeret retsakt om cybersikkerhed i radioudstyr, fra klima-, energi- og forsyningsministeren
2490282_0002.png
2. Baggrund
Kommissionen har den 29. oktober 2021 vedtaget en delegeret forordning om cyber-
sikkerhed i radioudstyr.
Den delegerede forordning har hjemmel i radioudstyrsdirektivet 2014/53/EU, artikel
3, stk. 3, litra d, e og f, og vedtages efter proceduren i samme direktivs artikel 44, stk.
2. Europa-Parlamentet og Rådet har en frist på to måneder til at gøre indsigelse.
Fristen for indsigelse er den 29. december 2021.
Baggrunden for forordningen er en bekymring i Kommissionen over, at trådløse en-
heder, der sælges i EU, ikke garanterer et tilstrækkeligt niveau af netværksbeskyt-
telse, beskyttelse af personoplysninger og af privatlivets fred for deres brugere (her-
efter ”cybersikkerhed”). I de senere år er der blevet identificeret produkter på marke-
det i EU, som har et svagt sikkerhedsniveau. Visse kategorier af trådløse enheder er
sårbare over for angreb eller tyveri af personoplysninger, eller gør det muligt at over-
våge eller gribe ind i børns leg.
3. Formål og indhold
I de senere år er der blevet identificeret produkter på markedet i EU, som har et svagt
sikkerhedsniveau. Der er et stigende antal sager om brud på cybersikkerhed. Med
den delegerede forordning kan der forholdsvist enkelt sikres en vis cybersikkerhed
for de produkter, der er omfattet af radioudstyrsdirektivet. De nye regler vil sikre, at
80 % af det udstyr, som i dag udsættes for cyberforbrydelser, fremover vil have et
standardiseret minimum af cybersikkerhedsbeskyttelse.
Reglerne om cybersikkerhed vil gælde for følgende typer af radioudstyr:
1. Internetforbundne radioudstyrsprodukter (fx mobiltelefoner, online produkti-
onsfaciliteter, bærbare computere og intelligente hvidevarer).
2. Radioudstyrsprodukter til børn (fx radiobaseret legetøj og babyalarmer).
3. Radiopåklædningsudstyr (fx smart watches, intelligente smykker og intelligent
tøj), som kan bæres på kroppen.
Kravene til radioudstyret afhænger af, hvilke(t) af de tre typer udstyr der er tale om.
For internetforbundet radioudstyr stilles der krav om, at radioudstyret ikke må skade
nettet eller dets funktion eller misbruge netværksressourcer på en sådan måde, at
det medfører en uacceptabel forringelse af tjenesten.
For internetforbundet radioudstyr, for radioudstyr til børn og for radiopåklædningsud-
styr stilles der krav om, at radioudstyret er i stand til at sikre, at personoplysninger
om brugeren og abonnenten og disses privatliv beskyttes.
For alle typer af internetforbundet udstyr, hvor radioudstyreret giver brugeren mulig-
hed for at foretage betaling, overføre penge eller lignende transaktioner, stilles der
Side 2/6
KEF, Alm.del - 2021-22 - Bilag 98: Orientering om delegeret retsakt om cybersikkerhed i radioudstyr, fra klima-, energi- og forsyningsministeren
2490282_0003.png
krav om, at radioudstyret understøtter visse faciliteter, der sikrer beskyttelse mod
svig.
Der kan være sammenfald mellem de tre produkttyper, som vil medføre, at produktet
skal overholde flere krav. Fx kan man forestille sig en intelligent børnesko, der kom-
munikerer via internettet. En sådan intelligent sko vil skulle iagttage de krav, der føl-
ger af at være omfattet af flere produkttyper.
De konkrete krav til cybersikkerhed skal fastlægges i harmoniserede standarder.
Disse standarder skal udarbejdes af det europæiske standardiseringsorgan for kom-
munikation og information, ETSI.
For at sikre, at så mange relevante harmoniserede standarder som muligt kan være
klar, når den delegerede forordning finder anvendelse, finder den delegerede forord-
ning anvendelse 30 måneder efter ikrafttræden, hvor dette ellers typisk er en toårig
periode.
4. Europa-Parlamentets udtalelser
Europa-Parlamentet har mulighed for at gøre indsigelse mod det delegerede forord-
ning i en periode på to måneder efter at have modtaget meddelelse om forordningen.
Europa-Parlamentet har endnu ikke udtalt sig om forordningen.
5. Nærhedsprincippet
Der er tale om en delegeret forordning med henblik på at supplere det allerede ved-
tagne Radioudstyrsdirektiv 2014/53/EU. Det er derfor regeringens overordnede vur-
dering, at det følger heraf, at den delegerede forordning er i overensstemmelse
med nærhedsprincippet.
6. Gældende dansk ret
De eksisterende danske regler for radioudstyr i lov nr. 260 af 16. marts 2016 om
radioudstyr og elektromagnetiske forhold med efterfølgende ændringer indeholder
ikke krav om cybersikkerhed. Der er dermed ikke dansk lovgivning, som skal ændres,
eller som bliver afskaffet.
7. Konsekvenser
Lovgivningsmæssige konsekvenser
Den delegerede forordning får direkte virkning i medlemslandene. Der vil derfor ikke
skulle gennemføres dansk implementering af den delegerede forordning. Den dele-
gerede forordning skal suppleres af en række standarder, som udarbejdes af euro-
pæiske standardiseringsorganer og gøres tilgængelige i Danmark af Dansk Stan-
dard.
Side 3/6
KEF, Alm.del - 2021-22 - Bilag 98: Orientering om delegeret retsakt om cybersikkerhed i radioudstyr, fra klima-, energi- og forsyningsministeren
2490282_0004.png
Økonomiske konsekvenser
Statsfinansielle konsekvenser
Den delegerede forordning vurderes ikke at have statsfinansielle konsekvenser.
Samfundsøkonomiske konsekvenser
Den delegerede forordning forventes at medføre øget cybersikkerhed, herunder for
trådløse økonomiske transaktioner, jf. gennemførsel af et krav om sikring mod svig
for radioudstyr, der bruges til overførsel af digitale penge, digitale værdier eller digi-
tale valutaer.
Dermed vil samfundet være bedre sikret mod økonomisk kriminalitet på dette om-
råde, hvilket vil understøtte den digitale omstilling. Værdien heraf må anses for posi-
tiv, især for private borgere. Kommissionen peger i konsekvensanalysen på en ældre
undersøgelse, der viser, at betalingskortsvindel i EU udgjorde 11.300.000 € (knap
85 mio. dkk) i 2013.
Erhvervsøkonomiske konsekvenser
Den delegerede forordning vil medføre omkostninger for erhvervslivet, og især fabri-
kanter af radioudstyr. Hvis der findes en harmoniseret standard for et givent radio-
udstyr, vil virksomhederne forholdsvis enkelt kunne omsætte denne til konkrete sik-
kerhedstiltag og dokumentere, at deres radioudstyr overholder kravene. Hvis der ikke
findes en standard, vil virksomhederne skulle anvende et bemyndiget organ til at
dokumentere overholdelsen af kravene, hvilket er mere omkostningstungt.
Det skønnes, at knap 4.000 danske virksomheder vil blive omfattet af den delegerede
forordning. Heraf er hovedparten distributører, der i denne sammenhæng blot skal
kontrollere, at kravet om cybersikkerhed er overholdt. Kontrollen vil være ét af mange
andre punkter, som distributøren vil skulle kontrollere, inden produktet bringes i om-
sætning. Der findes ingen opgørelser af, hvor mange produkter der vil blive omfattet
af den delegerede forordnings krav.
Over for udgifterne til at sikre at produkterne overholder de nye krav om cybersikker-
hed står den forbedrede cybersikkerhed, som både vil komme virksomheder og for-
brugere til gavn. Kommissionen skønner, at et databrud i gennemsnit koster 100.000
€ (ca. 750.000 kr.) for en europæisk virksomhed. Kommissionen skønner, at 80 % af
alle sådanne angreb sker via trådløse forbindelser. Dette anskueliggør, hvorfor der
er en stor økonomisk fordel ved at indføre regler på radioudstyrsområdet.
Andre konsekvenser og beskyttelsesniveauet
Den delegerede forordning vil give en forbedret beskyttelse af forbrugere, af inter-
nettet og af virksomheder.
En stor del af det markedsførte radioudstyr i EU er produceret i ikke-EU lande, hvor
der ikke nødvendigvis er tradition for at sikre slutbrugerens sikkerhed og privatliv.
Denne sikring bliver nu et krav.
Side 4/6
KEF, Alm.del - 2021-22 - Bilag 98: Orientering om delegeret retsakt om cybersikkerhed i radioudstyr, fra klima-, energi- og forsyningsministeren
2490282_0005.png
Den delegerede forordning vil ikke sikre alle produkter. Den delegerede forordning
indføres via radioudstyrsdirektivet og vil derfor kun vedrøre produkter, som kommu-
nikerer via radiobølger. Kablede produkter, processer og tjenester vil ikke være om-
fattet af den delegerede forordning.
8. Høring
Den delegerede forordning har ikke været sendt i høring.
9. Generelle forventninger til andre landes holdninger
Kommissionen har taget initiativ til den delegerede forordning på baggrund af et be-
hov, som flere medlemslande har påpeget. Der er derfor en stor gruppe af lande,
som forventes at støtte den delegerede forordning. Der er i denne gruppe flere store
medlemslande, som driver processen. Ingen lande har tilkendegivet at være i mod.
Trods dette er der en bekymring i de fleste lande, også blandt de ovennævnte, for,
om de harmoniserede standarder vil være klar, når den delegerede forordning finder
anvendelse. Det er især lande med højteknologisk industri, der har denne bekymring.
Bekymringen tilskrives især de økonomiske konsekvenser, det har for industrien,
hvis der mangler harmoniserede standarder. Kun et enkelt land ser dette som en
væsentlig bekymring.
10. Regeringens foreløbige generelle holdning
Det er regeringens generelle holdning, at cybersikkerhed bør reguleres horisontalt
og bør dække alle produkter, processer og tjenester. Regulering bør som udgangs-
punkt ikke, som det ses her, ske ved, at man regulerer et enkelt produktområde. I
stedet bør der fastlægges horisontale principper, som sikrer tilstrækkelig cybersik-
kerhed på tværs af sektorer. Med nærværende delegerede forordning risikerer fabri-
kanterne at blive omfattet af yderligere krav om cybersikkerhed, der ikke er koordi-
neret, igennem andre retsakter, hvor der ikke skeles til, om produktet er radioudstyr,
fordi det er processen eller tjenesten, der reguleres.
Heroverfor står dog et hensyn om at handle hurtigt. De manglende horisontale cy-
bersikkerhedsregler har en væsentligt længere tidshorisont og kan ikke gennemføres
tilnærmelsesvist lige så hurtigt som forslaget om cybersikkerhedsregler via radioud-
styrsdirektivet. Kommissionen vurderer, at 80 % af alle cybersikkerhedsbrud sker via
trådløse produkter, som kan omfattes via radioudstyrsdirektivet. Den øgede cyber-
sikkerhed vil være en stor fordel for både virksomheder og forbrugere.
Regeringen mener, at opgaven med at sikre udarbejdelse af harmoniserede stan-
darder bør prioriteres i god tid, idet vedtagelse af harmoniserede standarder på ra-
dioudstyrsområdet kan være en tidskrævende opgave.
Side 5/6
KEF, Alm.del - 2021-22 - Bilag 98: Orientering om delegeret retsakt om cybersikkerhed i radioudstyr, fra klima-, energi- og forsyningsministeren
2490282_0006.png
Regeringen støtter, at Rådet ikke gør indsigelse mod udstedelsen af den delegerede
forordning og vil 8 dage fra oversendelsen af nærværende notat lægge dette til
grund.
11. Tidligere forelæggelse for Folketingets Europaudvalg
Sagen har ikke tidligere været forelagt for Folketingets Europaudvalg.
Side 6/6