Nowa technologia, nowe zagrożenia

Symbolem dwóch pierwszych dekad XXI wieku jest dynamiczny rozwój technologii cyfrowych, które znalazły zastosowanie niemal we wszystkich dziedzinach życia. Ich sercem jest internet, który pozwala na wymianę danych pomiędzy ludźmi i urządzeniami, w wielu przypadkach w czasie rzeczywistym. Doprowadziło to do sytuacji, w której technologie i usługi będące do niedawna „wykorzystywane” wyłącznie w literaturze science-fiction stały się codziennością obywateli i obywatelek Unii Europejskiej. Są wśród nich telekonferencje, roboty przeprowadzające operacje, sieci energetyczne sterowane przez sztuczną inteligencję oraz smartfony. W fazie testów znajdują się pojazdy autonomiczne, zaawansowana wirtualna rzeczywistość czy komputery kwantowe.

Zmiany te nie pozostały niezauważone przez Unię Europejską. Szczególne miejsce zjawiska te uzyskały w wytycznych politycznych przewodniczącej Komisji Europejskiej Ursuli von der Leyen, która wskazała, że Europa ma być gotowa na Wiek Cyfrowy (Europe fit for the Digital Age)^[1]. Założenie to jest precyzowane w kolejnych dokumentach takich jak „Nowa strategia przemysłowa dla Europy”^[2], „Kształtowanie cyfrowej przyszłości Europy”^[3], „Strategia MŚP na rzecz zrównoważonej i cyfrowej Europy”[4]. Szczególne znaczenie dla osiągnięcia tych planów ma rozwój Jednolitego Rynku Cyfrowego, który uznaje się za punkt wyjścia do zachowania konkurencyjności UE i rozwoju w kierunku przywództwa cyfrowego^[5].

Jednocześnie cyfryzacja życia niesie ze sobą różnego rodzaju zagrożenia. Należą do nich znane z niewirtualnego świata oszustwa czy kradzieże, które są dokonywane przy pomocy internetu, ale również niebezpieczeństwa właściwe wyłącznie dla sfery cyfrowej takie jak kradzieże tożsamości czy ataki DDoS[6] uniemożliwiające dostęp do wybranych zasobów sieciowych. Celami ataków są zarówno przedsiębiorcy^[7], instytucje unijne^[8], krajowe ograny władzy publicznej^[9], jak i zwykli obywatele[10]. Napastnikami mogą zaś być przestępcy działający dla zysku, wywiady obcych państw, ekstremiści czy hacktywiści działający – w ich mniemaniu - dla dobra wspólnego^[11]. Można przyjąć, że im bardziej połączona staje się gospodarka i społeczeństwo, tym większa jest podatność na ataki i tym szersze są ich skutki. Konsekwencje takich ataków pociągają za sobą nie tylko skutki finansowe, ale mogą również stanowić niebezpieczeństwo dla demokracji i europejskich wartości[12]. Dlatego zapewnienie cyberbezpieczeństwa stało się jednym z priorytetów UE. Szczegółowe cele w tym obszarze zostały wyznaczone w Europejskiej Unii Bezpieczeństwa 2020-2025[13] i opublikowanej w grudniu 2020 unijnej strategii cyberbezpieczeństwa[14].

Problem cyberbezpieczeństwa urządzeń bezprzewodowych i jego skala

Urządzenia, które bezprzewodowo łączą się z siecią nazywane są Internetem Rzeczy (Internet of Things, IoT)^[15]. W skład IoT wchodzi całe spektrum produktów, wśród których można wskazać czujniki stosowane automatyce przemysłowej i medycynie, samochody autonomiczne, niektóre urządzenia AGD tzw. smart-AGD, nowoczesne liczniki prądu, wirtualnych asystentów jak popularna Alexa firmy Amazon, zabawki, smartfony czy urządzenia do noszenia (wearables) takie jak smartwatche, bransoletki mierzące aktywność organizmu czy opaski wzywające pomoc w nagłych wypadkach.

Szacuje się, że do końca 2021 roku liczba takich urządzeń osiągnie 25 miliardów^[16], a wysokość nakładów na wdrażanie tej technologii jest oceniane na 740 miliardów dolarów w 2020 roku, z perspektywą kilkunastoprocentowych wzrostów w kolejnych latach^[17]. Cechą charakterystyczną IoT jest ilość generowanych danych^[18]. Trzeba pamiętać, że technologia ta ma cały czas duży potencjał rozwojowy głównie dzięki implementacji technologii 5G, która pozwala na większą niż dotychczasowa prędkość przesyłania danych bez zauważalnych opóźnień oraz podłączenie do sieci do miliona urządzeń na kilometr kwadratowy. Tym samym w najbliższym czasie nowe produkty i usługi, takie jak chociażby dostarczanie paczek przez autonomiczne drony, mają szanse na szerokie wdrożenie praktyczne.

Mimo znacznego rozpowszechnienia technologii IoT, nie stworzono do tej pory regulacji prawnych dla niej dedykowanych. Oznacza to, że wymagania prawne dla urządzeń IoT należy oceniać według przepisów dotyczących określonych kategorii produktów – przykładowo bezpieczeństwa wyrobów medycznych[19], maszyn[20], zabawek[21] czy środków ochrony indywidualnej[22]. Biorąc pod uwagę różnorodność możliwych sposobów wykorzystania IoT trzeba uznać, że są obszary pozostające poza zainteresowaniem prawodawcy. Fakt ten wskazuje się jako jeden z powodów używania IoT w sposób wątpliwy etycznie jak na przykład w ramach systemów broni autonomicznej^[23] lub nadzorowania pacjentów domów opieki bez ich wiedzy[24]. Brak regulacji jest również jedną z przyczyn niskiego poziomu cyberbezpieczeństwa Internetu Rzeczy, mimo że, jak się wskazuje, jest to technologia szczególnie wrażliwa na tego rodzaju zagrożenia^[25].

Wyróżnić można dwa podstawowe sposoby naruszania bezpieczeństwa IoT. W pierwszym urządzenia te nie są celem samym w sobie, lecz służą jako wektor ataku przy pomocy którego przejmuje się kontrolę nad systemem informatycznym, do którego urządzenie jest podłączone. Jako przykład można przywołać atak na kasyno za pośrednictwem żarówki do oświetlania akwarium^[26]. Urządzenie IoT może też służyć do prowadzenia ataków typu DDoS czego przykładem było wykorzystanie wirusa Mirai infekującego urządzenia IoT zabezpieczone domyślnym hasłem, które były następnie wykorzystywane do przesyłania pakietów danych blokujących dostęp do stron internetowych^[27].

Drugim sposobem naruszenia bezpieczeństwa IoT jest atak bezpośrednio na urządzenie. Jego celem może być jego zniszczenie czy uszkodzenie, co w przypadku wyrobów medycznych może doprowadzić nawet do śmierci pacjenta^[28]. Atak może też mieć na celu kradzież danych zgromadzonych w urządzeniu, które mogą następnie posłużyć do szantażowania właściciela, przeanalizowania jego zachowań, na przykład w celu ustalenia kiedy przebywa w domu aby móc dokonać włamania, albo tworzenia fałszywej tożsamości w celu wyłudzania kredytów lub dokonywania oszustw na portalach aukcyjnych. Ofiarami kradzieży danych mogą być również dzieci korzystające z zabawek podłączonych do internetu albo nadzorowane przez urządzenia typu elektroniczna niania. Warto w tym miejscu przywołać przykład urządzenia Safe-KID-One^[29], które zostało stworzone by monitorować miejsca przebywania dziecka oraz pozwalać na kontakt z nim. Analiza jego funkcjonowania wykazała jednak, że nie ma ono odpowiednich zabezpieczeń, co może doprowadzić do uzyskania informacji o miejscu pobytu dziecka oraz umożliwić nieautoryzowany kontakt z nim[30].

Unijna propozycja rozwiązania tego problemu

Unia Europejska postrzega cyberbezpieczeństwo jako jedną z podstaw realizacji swoich celów w zakresie digitalizacji. Ma to odbicie w przyjmowanych strategiach, ale też w tworzeniu ram prawnych, które stanowią ich realizację. Jednocześnie dotychczas przepisy nie odnosiły się do regulacji bezpieczeństwa urządzeń bezprzewodowych, mimo świadomości powstawania przywołanych powyżej problemów. Zdumiewało to o tyle, że osoby badające zagadnienia cyberbezpieczeństwa podkreślają, że system jest tak bezpieczny jak jego najsłabsze ogniwo. Zauważyć również należy, że stosowne regulacje zostały już przyjęte w Kalifornii wpływając na zachowanie światowych gigantów mających siedzibę w Krzemowej Dolinie[31]. W październiku 2021 roku sytuacja ta uległa zmianie dzięki przyjęciu Rozporządzenia Delegowanego Komisji[32] do Dyrektywy w sprawie urządzeń radiowych[33].

Wybór tej formy prawnej jest podyktowany względami praktycznymi. Pierwszym z nich jest większa szybkość przyjęcia odpowiednich rozwiązań względem procedury legislacyjnej, która miałaby na celu uchwalenie rozporządzenia lub dyrektywy. Drugim jest techniczna specyfika IoT, które w łączeniu się z internetem najczęściej korzystają z fal radiowych, tym samym wchodzą w zakres wspomnianej dyrektywy. Jednocześnie Komisja zdaje sobie sprawę, że taka regulacja tylko częściowo rozwiąże problem, w związku z tym zostanie ono uzupełnione aktem dotyczącym cyberodporności zapowiedzianym przez przewodniczącą Ursulę von der Leyen w przemówieniu będącym orędziem o stanie Unii.

Nowa regulacja nakłada na producentów obowiązek spełnienia wymagań zasadniczych dotyczących niepożądanego wpływu na sieć. Dodatkowo, w przypadku wskazanych urządzeń, takich jak wearables czy systemu nadzoru nad dziećmi, wymóg wbudowania systemów zabezpieczających w celu ochrony danych osobowych i prywatności. Natomiast jeżeli urządzenie umożliwia przekazywanie środków pieniężnych, jak na przykład opaski do płatności zbliżeniowych lub smartfony urządzenie trzeba będzie wyposażyć w funkcje, które zapewniają ochronę przed oszustwami.

Wymagania zasadnicze mają swoje źródło w normach technicznych i stanowią wzór do którego porównuje się właściwości wyrobu[34]. Jednocześnie zgodnie z rozporządzeniem 1025/2012[35] za normę uważa się dobrowolne specyfikacje techniczne lub jakościowe, z którymi mogą być zgodne obecne lub przyszłe produkty, procesy produkcyjne lub usługi. Zatem producenci mają dowolność w doborze środków, o ile będą one gwarantować standard przewidziany w określonej normie. Nie mają przy tym obowiązku wdrożenia normy w znaczeniu posługiwania się nią we wszystkich procesach biznesowych.

Warto zauważyć, że przewidziano aż 30-miesięczny okres przejściowy na zagwarantowanie zgodności z rozporządzeniem. Jednocześnie urządzenia, które zostaną wprowadzone na rynek przed tym terminem dalej będą mogły być sprzedawane i nie trzeba będzie ich modyfikować pod kątem nowych wymogów prawnych. Nie będzie również żadnego terminu co do którego mogą być one używane lub wspierane przez producenta nowymi wersjami oprogramowania.

Ocena regulacji

Reguły dotyczące bezpieczeństwa urządzeń IoT są bez wątpienia potrzebne. Dopóki była to niszowa technologia znajdująca zastosowanie głównie w logistyce do śledzenia towarów wystarczały standardy branżowe lub reguły umowne. W obecnej chwili jest ona powszechnie wykorzystywana, a użytkownikami są osoby niezdające sobie sprawy ani z ilości danych jakie te urządzenia gromadzą ani z faktu, że są one relatywnie słabo zabezpieczone. Należy sobie zadać pytanie dlaczego UE dopiero teraz wprowadziła odpowiednie regulacje oraz dlaczego wejdą one w życie najwcześniej w 2024 roku.

Odnosząc się do pierwszego zagadnienia trzeba pamiętać, że pierwotnie kwestię cyberbezpieczeństwa łączono głównie z bezpieczeństwem narodowym, a jest to obszar, w którym UE w zasadzie nie ma kompetencji. Dopiero zmiana spojrzenia i przyjęcie założenia, że cyberbezpieczeństwo jest fundamentem jednolitego rynku cyfrowego i ochrony konsumentów umożliwiły podjęcie prac legislacyjnych zakończonych uchwaleniem w 2016 roku Dyrektywy NIS, która tworzy podwaliny europejskiego systemu cyberbezpieczeństwa. Objęcie funkcji Przewodniczącej KE przez Ursulę von der Leyen przyspieszyło działania legislacyjne w tym obszarze cyfryzacji, które dodatkowo zdynamizowały wobec wyzwań jakie postawiał pandemia Covid-19. Można w tym świetle postawić tezę, że lepiej podjąć działania legislacyjne późno niż wcale, tym bardziej że problemy związane z IoT będą się nawarstwiać, a nie maleć. Mimo że rozporządzanie delegowane wyklucza niektóre z urządzeń łączących się z siecią ze swojego zakresu zastosowania to i tak obejmuje zdecydowaną większość rynku takich produktów. Za jego niewątpliwą zaletę uznać należy również to, że w jasny sposób zapowiedziano w nim, że to będzie ono częścią innej, bardziej kompleksowej, regulacji prawnej.

Wyznaczenie tak długiego okresu vacatio legis jest kontrowersyjne. Z jednej strony dostosowanie się do wymagań zasadniczych w krótszym czasie może stanowić poważne wzywanie zwłaszcza dla mniejszych firm czy startupów. Trzeba pamiętać, że w grę może wchodzić przeprojektowanie całych urządzeń lub oprogramowania co jest czaso- i zasobochłonne. Z drugiej strony należy zauważyć, że przynajmniej w odniesieniu do urządzeń przetwarzających dane osobowe wymogi w zakresie bezpieczeństwa i prywatności obowiązują od wejścia w życie RODO tj. już od 2018 roku. Trzeba mieć również na względzie interes konsumentów, którzy potencjalnie są słabo chronieni do chwili wejścia w życie nowych rozwiązań. Wydaje się, że KE mogła zaproponować różne daty obowiązywania aktu w zależności od wielości podmiotu zakładając, że byłby on szybszy dla dużych firm, które dysponują zasobami pozwalającymi na szybszą reakcję, a także są dominujące w wielu segmentach rynku. Wydaje się, że należało również wprowadzić ograniczenie czasowe sprzedaży nowych urządzeń, które nie spełniają uchwalonych standardów.

Natomiast warto docenić KE za regulacje, która odnosi się do wymagań zasadniczych. Wydaje się to dobrym wyborem zarówno dla producentów, jak i konsumentów. Pierwsi zyskują pewność prawną, gdyż wymagania te są systemem istniejącym od wielu lat i dobrze znanym w środowisku osób technicznych. Ponadto proces tworzenia i rewizji norm jest transparentny i odbywa się z udziałem zainteresowanych podmiotów branżowych, co powoduje, że rynek ma do nich zaufanie. W przypadku konsumentów zauważyć należy, że uzyskają oni wyższy poziom ochrony, który będzie nie tylko wynikał z deklaracji producenta, ale będzie poddany kontroli zarówno przez państwowe organy nadzoru, jak i niezależne jednostki notyfikowane. Wreszcie, dzięki zaproponowanym rozwiązaniom zyska sama Unia Europejska. Skutkiem ich implementacji będzie bowiem podniesienie poziomu cyberodporności, a także uniknięcie tworzenia barier na jednolitym rynku, które niewątpliwie powstawałyby gdyby poszczególne państwa członkowskie uznały, że będą regulować omawianą kwestię.

*Jarosław Greser - doktor nauk prawnych, adiunkt na UAM w Poznaniu w zakresie prawa nowych technologii i regulacji wschodzących technologii. Wykładowca Politechnice Wrocławskiej. Konsultuje od strony prawnej projekty wdrażania urządzeń IoT, nowoczesnych metod uwierzytelniania i cyberbezpieczeństwa. Autor publikacji naukowych na temat prywatności, ochrony danych osobowych i cyberbezpieczeństwa. Członek Team Europe.

[1] A Union that strives for more. My agenda for Europe by candidate for President of the European Commission Ursula von der Leyen. Political Guidelines For The Next European Commission 2019-2024 https://ec.europa.eu/commission/sites/beta-political/files/political-gu… [dostęp: 10.11.2021].

[2] Komunikat Komisji z 10.03.2020 r. do Parlamentu Europejskiego, Rady Europejskiej, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów „Nowa strategia przemysłowa dla Europy COM(2020) 102 final.

[3] Komunikat Komisji z 19.2.2020 r. do Parlamentu Europejskiego, Rady Europejskiej, Rady, Komitetu Ekonomiczno-Społecznego i Komitetu Regionów „Kształtowanie cyfrowej przyszłości Europy”, COM(2020) 67 final.

[4] Komunikat Komisji z 10.03.2020 r. do Parlamentu Europejskiego, Rady Europejskiej, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów „Strategia MŚP na rzecz zrównoważonej i cyfrowej Europy”, COM(2020) 103 final.

[5] Komunikat Komisji z 10.03.2020 r do Parlamentu Europejskiego, Rady Europejskiej, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów „w sprawie określenia i usuwania barier na jednolitym rynku”, COM(2020) 93 final, s. 1.

[6] Distributed denial of service - rozproszona odmowa usługi atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów, przeprowadzany równocześnie z wielu komputerów za: Wikipedia https://pl.wikipedia.org/wiki/DDoS

[7] Co najmniej 30 000 organizacji w USA zhackowanych w przeciągu ostatnich paru dni. Ogromna operacja cyberszpiegowska,https://sekurak.pl/co-najmniej-30-000-organizacji-w-usa-zhackowanych-w-… 10.11.2021].

[8] Cyberataki na Europejską Agencję Leków. Media: To byli chińscy i rosyjscy hakerzy, „Dziennik Gazeta Prawna”

6.03.2021 [online], https://technologia.dziennik.pl/internet/artykuly/8113887,europejska-ag… [dostęp: 10.11.2021].

[9] Zhakowano Urząd Marszałkowski w Krakowie, https://www.cyberdefence24.pl/zhakowano-urzad-marszalkowski-w-krakowie [dostęp: 10.11.2021].

[10] Uwaga na proste, perfidne i niezwykle skuteczne oszustwo z Paczkomatem w tle, https://zaufanatrzeciastrona.pl/post/uwaga-na-proste-perfidne-i-niezwyk… [dostęp: 10.11.2021].

[11] J. P. Kesan, C. Mullins Hayes, Bugs in the Market: Creating a Legitimate, Transparent, and Vendor-focused Market for Software Vulnerabilities, „Arizona Law Review”, 2016 , nr 58, s. 769-770.

[12] Jednym z przykładów jest działanie firmy Cambridge Analytica i jej wpływ na zachowania ludzi w trakcie wyborów prezydenckich w Stanach Zjednoczonych w 2016 roku i referendum w sprawie wyjścia Wielkiej Brytanii z Unii Europejskiej. Niektóre źródła wskazują, że na celowe działania państw trzecich mających na celu nielegalny wpływ na wynik wyborów. Zob. A. Hern, Cambridge Analytica did work for Leave. EU, emails show,. The Guardian,https://www.theguardian.com/uk-news/2019/jul/30/cambridge-analytica-did… [dostęp: 10.11.2021].

[13] https://ec.europa.eu/info/strategy/priorities-2019-2024/promoting-our-e… 10.11.2021].

[14] Komunikat Komisji z 16.12.2020 r. do Parlamentu Europejskiego, Rady Europejskiej, Rady, Komitetu Ekonomiczno-Społecznego i Komitetu Regionów „The EU’s Cybersecurity Strategy for the Digital Decade”, JOIN(2020) 18 final.

[15] Zob. definicja opracowana przez Sektor Normalizacji Telekomunikacji (ITU-T). https://www.itu.int/ITU-T/recommendations/rec.aspx?rec=y.2060 [dostęp: 10.11.2021].

[16] Gartner forecasts that 14.2 billion connected things will be in use in 2019, and that the total will reach 25 billion by 2021, https://www.gartner.com/en/newsroom/press-releases/2018-11-07-gartner-i… [dostęp: 10.11.2021].

[17] M. De Saulles, Internet of Things Statistics, https://informationmatters.net/internet-of-things-statistics/, (dostęp: 18.02.2021 r.).

[18] Europejska strategia w zakresie danych. Prognozy na 2025 r. https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_pl (dostęp: 18.02.2021 r.).

[19] Wyroby medyczne są zasadniczo wyłączone spod regulacji rozporządzenia wykonawczego, ponieważ mają własne bardzo szczegółowe rozwiązania dotyczące bezpieczeństwa. Por. J. Greser, Cyberbezpieczeństwo wyrobów medycznych w świetle rozporządzenia 2017/745, „Internetowy Kwartalnik Antymonopolowy i Regulacyjny” 2020/2.

[20] Dyrektywa Parlamentu Europejskiego i Rady 2014/33/UE z dnia 26 lutego 2014 r. w sprawie harmonizacji ustawodawstw państw członkowskich dotyczących dźwigów i elementów bezpieczeństwa do dźwigów (Dz. Urz. UE L 96/251).

[21] Dyrektywa Parlamentu Europejskiego i Rady 2009/48/WE z dnia 18 czerwca 2009 r. w sprawie bezpieczeństwa zabawek (Dz. Urz. UE L 170/1).

[22] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/425 z dnia 9 marca 2016 r. w sprawie środków ochrony indywidualnej oraz uchylenia dyrektywy Rady 89/686/EWG (Dz. Urz. UE L 81/51).

[23] C. Heyns, Human Rights and the use of Autonomous Weapons Systems (AWS) During Domestic Law Enforcement, „Human Rights Quaterly” 2016, No. 38, s. 350-378; I. Bode, H. H., Autonomus weapons and changing the norms of international relations, „Review of International Studies” 2018, No. 44, s. 393-413.

[24] J. Greser, Medyczny Internet rzeczy a organizacje pozarządowe – wyzwania prawne, Trzeci Sektor 52, s.18-32, https://kwartalnik3sektor.pl/pl/wszystkie-numery/kwartalnik-trzeci-sekt…

[25] Baseline Security Recommendations for Internet of Things in the context of critical information infrastructures, s. 22-23. https://www.enisa.europa.eu/publications/baseline-security-recommendati… (dostęp: 18.02.2021 r.).

[26] A. Stando, Żarówki Philips Hue z poważną luką. Pozwoliła na włamanie do sieci komputerowej, https://www.dobreprogramy.pl/Zarowki-Philips-Hue-z-powazna-luka.-Pozwol… (dostęp: 18.02.2021 r.).

[27] A. Green, The Mirai Botnet Attack and Revenge of the Internet of Things, https://www.varonis.com/blog/the-mirai-botnet-attack-and-revenge-of-the… (dostęp: 18.02.2021 r.).

[28] J. Butts, B. Rios, Security Evaluation of the Implantable Cardiac Device Ecosystem Architecture and Implementation Interdependencies, https://drive.google.com/file/d/0B_GspGER4QQTYkJfaVlBeGVCSW8/view

(dostęp: 18.02.2021 r.).

[29]https://www.enoxgroup.de/our-products/smartwatches/safe-kid-one/

[30] Ze względu na swoje właściwości produkt został wpisany na listę Wspólnotowego Systemu Szybkiej Informacji (RAPEX) https://ec.europa.eu/consumers/consumers_safety/safety_products/rapex/a… (dostęp: 30.04.2019).

[31] Senate Bill No. 327, https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=2…

[32] Rozporządzenie Delegowane Komisji (UE) z dnia 29.10.2021 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady 2014/53/UE w odniesieniu do stosowania zasadniczych wymagań, o których mowa w art. 3 ust. 3 lit. d), e) i f) tej dyrektywy. Akt wejdzie w życie po dwumiesięcznym okresie kontroli, jeżeli Rada i Parlament nie wniosą wobec niego sprzeciwu.

[33] Dyrektywa Parlamentu Europejskiego i Rady 2014/53/UE z dnia 16 kwietnia 2014 r. w sprawie harmonizacji ustawodawstw państw członkowskich dotyczących udostępniania na rynku urządzeń radiowych i uchylająca dyrektywę 1999/5/WE (Dz. Urz. UE L 153/62).

[34] A. Żywicka, Uwarunkowania prawne bezpieczeństwa wyrobów medycznych. Certyfikacja wyrobów medycznych w świetle rozporządzenia Parlamentu Europejskiego i Rady 2017/745 UE [w:] Jakość w opiece medycznej. Zastosowanie nowoczesnych technologii w czasie pandemii, red. J. Greser, K. Kokocińska, Warszawa 2021.

[35] Rozporządzenie Parlamentu Europejskiego i Rady (UE) NR 1025/2012 z dnia 25 października 2012 r. w sprawie normalizacji europejskiej, zmieniające dyrektywy Rady 89/686/EWG i 93/15/EWG oraz dyrektywy Parlamentu Europejskiego i Rady 94/9/WE, 94/25/WE, 95/16/WE, 97/23/WE, 98/34/WE, 2004/22/WE, 2007/23/WE, 2009/23/WE i 2009/105/WE oraz uchylające decyzję Rady 87/95/EWG i decyzję Parlamentu Europejskiego i Rady nr 1673/2006/WE (Dz. Urz. UE L 316/12).