lagen.
EU-domstolen

1) Europaparlamentets och rådets direktiv (EU) 2018/1972 av den 11 december 2018 om inrättande av en europeisk kodex för elektronisk kommunikation

CELEX
62024CC0354
Typ
EU-domstolen

Källa

Preliminär utgåva

FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT

TAMARA ĆAPETA

föredraget den 19 mars 2026( 1 )

Mål C ‑ 354/24

Elisa Eesti AS

mot

Vabariigi Valitsuse julgeolekukomisjoni küberjulgeoleku nõukogu,

Tarbijakaitse ja Tehnilise Järelevalve Amet

(begäran om förhandsavgörande från Tallinna Halduskohus (Förvaltningsdomstolen i Tallinn, Estland))

” Begäran om förhandsavgörande – Teletjänster – Direktiv (EU) 2018/1972 – Artiklarna 40.1 och 41.1 – Säkerhet för nät och tjänster – 5G-funktionalitet – Tillståndsförfarande – ’Högriskleverantörer’ av maskinvara och programvara – Förbud mot maskinvara och programvara med ’hög risk’ med hänvisning till nationell säkerhet – Artikel 4.2 FEU – Artikel 17.1 i stadgan – Proportionalitet – Domstolsprövningens omfattning – Positiva åtgärder vid påverkan eller kontroll från tredjelands sida ”

I. Inledning

1. Hur samspelar åtgärder som en medlemsstat vidtar i syfte att skydda sin nationella säkerhet med unionslagstiftning som antagits för att säkerställa en fungerande inre marknaden för elektroniska kommunikationsnät och kommunikationstjänster?

2. Framför allt är frågan om sådana nationella åtgärder är undantagna från tillämpningsområdet för direktiv (EU) 2018/1972 (nedan kallad den europeiska kodexen för elektronisk kommunikation)( 2 ), eftersom de vidtagits av nationella säkerhetsskäl, och om de därmed undgår domstolsprövning av huruvida de är proportionerliga enligt unionsrätten.

3. Dessa frågor har uppkommit i samband med lagstiftning som antagits i Estland för att införa ett förfarande för förhandstillstånd för användning av maskinvara och programvara för tillhandahållande av elektroniska kommunikationsnät och elektroniska kommunikationstjänster. Detta förfarande gör det möjligt för de behöriga myndigheterna att förbjuda användningen av viss utrustning om den anses utgöra en risk för den nationella säkerheten.

4. Klaganden i det nationella målet, Elisa Eesti AS (nedan kallad klaganden), ett dotterbolag till det finska telekommunikationsföretaget Elisa Oyj, är en av tre leverantörer av rikstäckande mobiltelefonnät och mobiltelefontjänster i Estland. Klaganden har till Tallinna Halduskohus (Förvaltningsdomstolen i Tallinn, Estland) (den hänskjutande domstolen) överklagat ett beslut varigenom de behöriga estniska myndigheterna vägrade att bevilja företaget tillstånd att använda viss maskinvara och programvara för 2G–4G och 5G i sitt telekommunikationsnät. Detta beslut fattades bland annat på grundval av att utrustningen tillverkats av ett kinesiskt telekommunikationsföretag, Huawei Corporation (nedan kallat Huawei), som de estniska myndigheterna ansåg vara en ”högriskleverantör” av sådan utrustning.

II. Den rättsliga och faktiska bakgrunden till förevarande mål samt tolkningsfrågorna

A. Bakgrundsinformation om infrastruktur och teknik för 5G-telekommunikation

5. För att man ska förstå bakgrunden till förevarande mål krävs viss basinformation om den infrastruktur som ligger till grund för 5G-funktionaliteten. Det är vad jag kommer att börja med att ge.

6. Ett mobilt telekommunikationsnät består traditionellt av två delar. Den första och centrala delen av denna infrastruktur är stamnätet . Det innehåller den centrala utrustning som styr hela nätet och är utformat som huvudkanalen för sammankoppling av alla trafikens ändpunkter, vilken förenar och överför nättrafik i hög hastighet.( 3 ) Den andra delen av denna infrastruktur är det mobila radionätet . Sistnämnda del består av basstationer som delar upp större tjänsteområden i ”celler”, till vilka cellulära enheter, såsom mobiltelefoner, kan ansluta sig via mobilnätet i en medlemsstat.( 4 ) Denna del av mobilnätet kallas ibland för ”kantnätverket”.

7. I samband med telekommunikationsteknik talar man om ”generationer”. 2G, 3G och 4G är på varandra följande generationer av icke-analog mobilnätsteknik. Den femte generationen av denna teknik – 5G – är avsedd att i framtiden ersätta den nuvarande 4G-standarden.( 5 ) 5G-tekniken kännetecknas av höga hastigheter och hög datakapacitet samt lägre latens (fördröjning).

8. Europeiska kommissionen anser att 5G-tekniken är en viktig komponent i uppbyggnaden av höghastighetsnät med hög kapacitet i unionen, till gagn för ekonomin och samhället i stort.( 6 )

9. Såsom framgår av begäran om förhandsavgörande och av handlingarna i det nationella målet kan 5G-tekniken delas upp i ”icke-fristående” 5G-funktionalitet och ”fristående” 5G-funktionalitet. Icke-fristående 5G är teknik som läggs ovanpå det befintliga nätskiktet av 2G–4G-infrastruktur.( 7 ) Kommunikationen sker därför fortfarande till och från ”kantnätet” och ”stamnätet”. Fristående 5G-nät etablerar sitt eget radionät och är därför varken beroende av den ”äldre” 2G–4G-infrastrukturen eller stamnätet. Fristående 5G-enheter bildar därför sin egen, oberoende nätinfrastruktur, som inte först måste passera genom stamnätet. På så sätt kan de kommunicera direkt med varandra utan att passera genom ”stamnätet” i telekommunikationsinfrastrukturen. Tack vare denna egenskap gör fristående 5G-teknik att fler enheter än någonsin tidigare kommer att kunna anslutas till ”sakernas internet”.( 8 )

10. Av begäran om förhandsavgörande och handlingarna i målet framgår att klagandens stamnät består av maskinvara och programvara som tillverkats av det svenska företaget Telefonaktiebolaget LM Ericsson (nedan kallat Ericsson) och det finska företaget Nokia Corporation (nedan kallat Nokia) och att dess mobila radionät består av maskinvara och programvara som tillverkats av det kinesiska företaget Huawei.

11. Förevarande tvist avser endast klagandens mobila radionät, det vill säga kantnätet.

B. Den rättsliga och faktiska bakgrunden till det nationella målet

12. Den 23 mars 2022( 9 ) ingav klaganden en ansökan till Tarbijakaitse ja Tehnilise järelevalve Amet (myndigheten för konsumentskydd och teknikövervakning) (nedan kallad TTJA) om tillstånd att i sitt kantnät använda i) redan befintlig 2G–4G-maskinvara och -programvara från Huawei, och ii) 5G-maskinvara och -programvara från Huawei som skulle introduceras däri den 1 juni 2022 (nedan tillsammans kallade den omtvistade maskinvaran och programvaran).

13. Denna ansökan ingavs på grundval av Elektroonilise side seadus (den estniska lagen om elektronisk kommunikation) (nedan kallad ESS).( 10 ) Den hänskjutande domstolen har förklarat att ESS bland annat införlivar den europeiska kodexen för elektronisk kommunikation.

14. I kapitel 8 i ESS fastställs vissa krav för tillhandahållande av elektroniska kommunikationstjänster i Estland. I 87 2 § punkt 1 ESS föreskrivs att kommunikationsföretag ska vidta lämpliga tekniska och organisatoriska åtgärder för att hantera säkerhets- och integritetsrelaterade risker i samband med kommunikationstjänster och kommunikationsnät. Enligt 87 3 § punkt 1 ESS får den maskinvara och programvara som används för att tillhandahålla kommunikationstjänster i ett kommunikationsnät inte utgöra ett hot mot den nationella säkerheten. I enlighet därmed är kommunikationsföretag, såsom föreskrivs i 87 3 § punkt 6 ESS, skyldiga att ansöka om tillstånd hos TTJA för att få använda maskinvara eller programvara i ett kommunikationsnät.

15. Enligt 87 3 § punkt 2 ESS kan hot mot den nationella säkerheten fastställas på grundval av den höga risk som tillverkaren eller leverantören av underhålls- eller supporttjänster utgör (led 1 däri) eller på grundval av den risk som maskinvarans eller programvarans tekniska egenskaper eller konfiguration innebär (led 2 däri). Huruvida en tillverkare eller en leverantör av underhålls- eller supporttjänster utgör en hög risk ska bedömas på grundval av 12 kriterier som fastställs i 87 3 § punkt 3 ESS.( 11 )

16. Om maskinvara eller programvara konstateras utgöra ett hot mot den nationella säkerheten föreskrivs vissa fasta övergångsperioder i 196 5 § ESS, nämligen fram till den 31 december 2025 för 5G-teknik( 12 ) och fram till den 31 december 2029 för 2G–4G-maskinvara och -programvara.( 13 )

17. När TTJA mottar en ansökan om tillstånd för användning av maskinvara och programvara i ett kommunikationsnät är denna myndighet enligt 87 4 § ESS skyldig att inhämta ett yttrande från Vabariigi Valitsuse julgeolekukomisjoni küberjulgeoleku nõukogu (cybersäkerhetsrådet inom Republiken Estlands regerings säkerhetskommitté) (nedan kallat KJN) om huruvida den maskinvara och programvara som anges i ansökan utgör ett hot mot den nationella säkerheten.

18. I sitt beslut nr 1 av den 27 oktober 2022 fann KJN att all den omtvistade maskinvaran och programvaran utgjorde ett sådant hot.( 14 ) Enligt begäran om förhandsavgörande konstaterades detta hot föreligga med avseende på alla de tolv kriterier som räknas upp i 87 3 § punkt 3 ESS.( 15 ) Detta organ föreslog även att TTJA skulle bevilja ett användningstillstånd för 5G-funktionalitet till och med den 31 december 2025 och för 2G–4G-funktionalitet till och med den 31 december 2029 (nedan kallat KJN:s beslut).

19. I sitt beslut nr 1–7/22–436 av den 25 november 2022 fann TTJA att all maskinvara och programvara som räknades upp i klagandens ansökan om tillstånd utgjorde ett hot mot Estlands nationella säkerhet. I enlighet med 196 5 § ESS beviljade denna myndighet därför klaganden ett tidsbegränsat användningstillstånd för 5G-funktionalitet till och med den 31 december 2025 och för 2G–4G-funktionalitet till och med den 31 december 2029 (nedan kallat TTJA:s beslut).

20. Den 1 december 2022 överklagade klaganden KJN:s respektive TTJA:s beslut (tillsammans nedan kallade de omtvistade besluten) till den hänskjutande domstolen. Klaganden har bland annat gjort gällande att KJN och TTJA inte har visat att det föreligger ett hot mot Estlands nationella säkerhet, hur stor sannolikheten för att det påstådda hotet förverkligas är eller vilken omfattning som den skada som kan uppstå till följd av den omtvistade maskinvaran och programvaran kan tänkas få. Denna part har också hävdat att de omtvistade besluten, på grund av den korta övergångsperioden, utgör ett retroaktivt förbud mot att använda den omtvistade maskinvaran och programvaran, vilket får till följd att klaganden berövas sin egendom. Detta måste i sin tur föranleda rätt till ersättning. Klaganden har vidare bestritt giltigheten av de omtvistade besluten på den grunden att den lag som ligger till grund för dessa beslut inte anmäldes till kommissionen, vilket innebär att den är oförenlig med direktiv (EU) 2015/1535 (nedan kallat TRIS-direktivet).( 16 ) Slutligen har klaganden hävdat att de omtvistade besluten utgör en begränsning av friheten att tillhandahålla elektroniska kommunikationsnät och kommunikationstjänster i den mening som avses i artikel 12.1 i den europeiska kodexen för elektronisk kommunikation och att varje begränsning av denna frihet ska ha motiverats på ett vederbörligt sätt, vilket de behöriga myndigheterna inte har gjort.

21. KJN och TTJA har bestritt dessa argument. De har i huvudsak hävdat att de omtvistade besluten grundar sig på en riskbedömning, för vars ändamål det är tillräckligt att det föreligger en risk som är sannolik och förutsebar. Dessa beslut faller inom Estlands exklusiva behörighet och kan endast göras föremål för begränsad domstolsprövning. KJN och TTJA har även påpekat att den övergångsperiod som beviljades i de omtvistade besluten utgör den maximalt tillåtna perioden enligt 196 5 § ESS. Slutligen håller dessa parter inte med om att de omtvistade besluten är oförenliga med TRIS-direktivet och den europeiska kodexen för elektronisk kommunikation.

22. Mot bakgrund av dessa omständigheter har Tallinna Halduskohus (Förvaltningsdomstolen i Tallinn, Estland) beslutat att vilandeförklara målet och att ställa följande frågor till EU-domstolen:

”1) Omfattas ett nationellt regelverk (87 3 § punkterna 2, 3, 6, 7 och 8, 87 4 § punkterna 1–4, och 196 5 § punkterna 1–4 i [ESS]) som, för att säkerställa nationell säkerhet, kräver att ett kommunikationsföretag inhämtar tillstånd för att få använda maskinvara och programvara i sitt kommunikationsnät, av tillämpningsområdet för Europaparlamentets och rådets direktiv 2018/1972 om inrättande av en europeisk kodex för elektronisk kommunikation?

2) Om föregående fråga ska besvaras jakande: Ska artikel 1.3 c [i direktiv 2018/1972], jämförd med artikel 4.2 [FEU], tolkas så, att införandet av sådana begränsningar omfattas av medlemsstatens exklusiva behörighet och utgör en rent nationell åtgärd som inte omfattas av bestämmelserna i direktiv 2018/1972?

3) Om fråga 2 ska besvaras nekande: Utgör ett nationellt regelverk (87 3 § punkterna 2, 3, 6, 7 och 8, 87 4 § punkterna 1–4, och 196 5 § punkterna 1–4 ESS), som inte tillåter att ett kommunikationsföretag använder maskinvara och programvara i sitt kommunikationsnät utan att ha inhämtat tillstånd till denna användning från en förvaltningsmyndighet, en begränsning av friheten att tillhandahålla elektroniska kommunikationsnät och kommunikationstjänster i den mening som avses i artikel 12.1 i [direktiv 2018/1972]?

4) Om fråga 3 ska besvaras jakande: Får sådana nationella bestämmelser inte tillämpas om de inte i förväg har anmälts till [kommissionen] i enlighet med artikel 12.1 i [direktiv 2018/1972]?

5) Om fråga 2 ska besvaras jakande: Är det förenligt med artikel 36 FEUF och proportionalitetsprincipen att det enligt nationella bestämmelser, vilka har till syfte att säkerställa den nationella säkerheten, krävs att ett kommunikationsföretag inhämtar tillstånd för att få använda maskinvara och programvara i sitt kommunikationsnät och att förvaltningsmyndigheten, vid bedömningen av det hot som den ifrågavarande högriskklassificerade maskinvaran och programvaran utgör, inte åläggs a) att pröva huruvida de risker som är förknippade med tillverkaren projiceras på den specifika maskinvaran och programvaran, b) att bedöma den specifika maskinvarans och programvarans funktionalitet, lokalisering och betydelse i samband med tillhandahållandet av en kommunikationstjänst, och c) att pröva huruvida de problem som är förknippade med den stat där tillverkaren har sin hemvist projiceras på tillverkaren?

6) Utgör det ett berövande av egendom i den mening som avses i artikel 17.1 andra meningen i Europeiska unionens stadga om de grundläggande rättigheterna [(nedan kallad stadgan)] att bevilja tillstånd för användning av maskinvara eller programvara för en kortare tid än maskinvarans eller programvarans livslängd om denna maskinvara eller programvara redan har funnits och aktivt använts i ett kommunikationsnät innan tillståndskravet infördes och den ifrågavarande maskinvaran eller programvaran har förvärvats på ett lagligt sätt?”

23. Skriftliga yttranden har inkommit till EU-domstolen från klaganden, den tjeckiska, den danska, den estniska, den spanska, den franska, den italienska, den finska och den svenska regeringen samt från kommissionen. Klaganden, KJN, den estniska, den danska, den tyska, den spanska, den franska, den italienska, den finska och den svenska regeringen samt kommissionen yttrade sig muntligen vid förhandlingen den 11 november 2025.

III. Bedömning

24. Jag kommer att lägga upp min analys på följande sätt.

25. Den hänskjutande domstolens två första frågor avser tillämpningsområdet för den europeiska kodexen för elektronisk kommunikation. Nämnda domstol har således ställt den första frågan för att få klarhet i huruvida ett regelverk som kräver förhandstillstånd för användning av maskinvara och programvara i elektroniska kommunikationsnät och kommunikationstjänster, såsom det som införts genom ESS, omfattas av det materiella tillämpningsområdet för den europeiska kodexen för elektronisk kommunikation. Jag kommer att behandla denna fråga i avsnitt III.A nedan. Den andra frågan gäller sedan huruvida sådana åtgärder ändå är undantagna från direktivets tillämpningsområde eftersom de vidtas av skäl som rör den nationella säkerheten. Jag kommer att behandla denna fråga i avsnitt III.B nedan. Min slutsats såvitt avser båda dessa frågor är att den europeiska kodexen för elektronisk kommunikation är tillämplig i förevarande fall.

26. Den hänskjutande domstolen har ställt sin tredje fråga, som ska besvaras eftersom den europeiska kodexen för elektronisk kommunikation är tillämplig, för att få vägledning i fråga om huruvida de omtvistade åtgärderna utgör en begränsning av friheten att tillhandahålla elektroniska kommunikationsnät och kommunikationstjänster i den mening som avses i artikel 12.1 i den europeiska kodexen för elektronisk kommunikation. Jag kommer att besvara denna fråga jakande i avsnitt III.C nedan. Detta för mig till den fjärde frågan, genom vilken den hänskjutande domstolen vill få klarhet i huruvida dessa åtgärder skulle ha anmälts till kommissionen och, om så är fallet, vad som blir följden av att de inte anmälts. Jag kommer att behandla denna fråga i avsnitt III.D nedan.

27. Om de omtvistade nationella åtgärderna utgör en begränsning av friheten att tillhandahålla elektroniska kommunikationsnät och kommunikationstjänster, vilket jag anser att de gör, uppkommer en annan viktig fråga i detta sammanhang, nämligen huruvida och, i förekommande fall, hur sådana åtgärder kan motiveras. Enligt artikel 12.1 i den europeiska kodexen för elektronisk kommunikation, som i detta hänseende hänvisar till artikel 52.1 FEUF, kan sådana åtgärder vara motiverade. Den hänskjutande domstolen har emellertid inte begärt något förtydligande av hur proportionalitetsprövningen enligt artikel 12.1 i den europeiska kodexen för elektronisk kommunikation ska gå till. I stället har nämnda domstol ställt denna fråga, i form av den femte frågan, med avseende på den fria rörligheten för varor och med förbehåll för att EU-domstolen finner att den europeiska kodexen för elektronisk kommunikation inte är tillämplig. Eftersom jag kommer att föreslå att den europeiska kodexen för elektronisk kommunikation är tillämplig, kommer det inte att vara nödvändigt att besvara den femte frågan i den form som den har ställts till EU-domstolen. Icke desto mindre är innehållet i denna fråga relevant för den hänskjutande domstolen i samband med bedömningen av huruvida åtgärderna är motiverade enligt artikel 12.1 i den europeiska kodexen för elektronisk kommunikation, jämförd med artikel 52.1 FEUF. I stället för att besvara den femte frågan såsom den har ställts till EU-domstolen kommer jag därför att föreslå att den omformuleras, så att den avser sistnämnda bestämmelser (och inte artiklarna 34 och 36 FEUF). Jag kommer att behandla sålunda omformulerade denna fråga i avsnitt III.E nedan.

28. Den hänskjutande domstolen har slutligen ställt den sjätte frågan för att få klarhet i huruvida de omtvistade åtgärderna, med hänsyn till omständigheterna i förevarande mål, innebär att klaganden faktiskt berövas sin egendom, i vilket fall den anser att artikel 17.1 i stadgan kräver att skälig ersättning ska utgå. I avsnitt III.F kommer jag att föreslå för EU-domstolen att den omtvistade åtgärden inte innebär ett sådant berövande, utan utgör ett ingrepp i nyttjandet av egendom, vilket dock kan vara motiverat och således inte kräver att ersättning utgår på grundval av artikel 17.1 i stadgan.

A. Den första frågan

29. Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida de berörda bestämmelserna i ESS, på grundval av vilka de omtvistade åtgärderna vidtogs, omfattas av tillämpningsområdet för den europeiska kodexen för elektronisk kommunikation.

30. De parter som har yttrat sig i förevarande mål har olika uppfattningar om hur denna fråga ska besvaras. Klaganden, den estniska och den franska regeringen samt kommissionen anser i huvudsak att den europeiska kodexen för elektronisk kommunikation är tillämplig på de åtgärder som är omtvistade i förevarande mål. Den estniska regeringen har, med stöd av kommissionen, särskilt förklarat att ESS i själva verket antogs i syfte att genomföra den europeiska kodexen för elektronisk kommunikation. Den danska, den tjeckiska, den italienska, den svenska och den finska regeringen har intagit en motsatt ståndpunkt och anser i huvudsak att den europeiska kodexen för elektronisk kommunikation inte är tillämplig, eftersom den omtvistade tillståndsåtgärden vidtogs i syfte att skydda Estlands nationella säkerhet. Den spanska regeringen har för sin del hävdat att åtgärder som vidtas för att skydda den nationella säkerheten faller utanför tillämpningsområdet för den europeiska kodexen för elektronisk kommunikation, men att detta inte befriar medlemsstaterna från skyldigheten att följa detta direktiv, vilket är tillämpligt i förevarande mål.

31. Jag anser att den europeiska kodexen för elektronisk kommunikation är tillämplig och att de omtvistade åtgärderna omfattas av direktivets materiella tillämpningsområde ( ratione materiae ).

32. Den europeiska kodexen för elektronisk kommunikation är den primära rättsakten på området för elektronisk kommunikation. Genom detta direktiv inrättas ett harmoniserat rättsligt ramverk för att säkerställa en inre marknad för elektroniska kommunikationsnät och kommunikationstjänster.( 17 ) I syfte att uppnå detta mål söker den europeiska kodexen för elektronisk kommunikation undanröja hinder för tillhandahållandet av elektroniska kommunikationsnät och kommunikationstjänster genom att förbjuda medlemsstaterna att införa begränsningar och genom att införa gemensamma bestämmelser.( 18 )

33. Detta ramverk är även tillämpligt på mobilnät, såsom det som är omtvistat i förevarande mål.( 19 )

34. Följaktligen omfattas i princip alla nationella bestämmelser som rör reglering av elektroniska kommunikationsnät och kommunikationstjänster av tillämpningsområdet för den europeiska kodexen för elektronisk kommunikation.

35. Ett av målen med den europeiska kodexen för elektronisk kommunikation är att säkerställa säkerheten på den inre marknaden för elektroniska kommunikationsnät och kommunikationstjänster. Målet med detta direktiv är således enligt artikel 1.2 a att ”genomföra en inre marknad för elektroniska kommunikationsnät och kommunikationstjänster som leder till anläggning och nyttjande av nät med mycket hög kapacitet, hållbar konkurrens och interoperabilitet för elektroniska kommunikationstjänster, tillgänglighet, säkerhet för nät och tjänster samt nytta för slutanvändare”.( 20 )

36. I detta syfte åläggs medlemsstaterna i artikel 40.1 i den europeiska kodexen för elektronisk kommunikation uttryckligen att säkerställa att tillhandahållare av allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster vidtar ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att på ett lämpligt sätt hantera risker som hotar näts och tjänsters säkerhet. Med beaktande av den senaste tekniska utvecklingen ska dessa åtgärder säkerställa ”en nivå på säkerheten som är lämplig i förhållande till den föreliggande risken”, vilket innefattar åtgärder som kan förhindra och minimera säkerhetsincidenters inverkan på användare och på andra nät och tjänster.

37. Nationella bestämmelser som antagits för att uppnå målet om ”säkerhet för nät och tjänster” måste därför anses falla inom tillämpningsområdet för den europeiska kodexen för elektronisk kommunikation.

38. Begreppet säkerhet för nät och tjänster definieras i artikel 2 led 21 i den europeiska kodexen för elektronisk kommunikation som ”elektroniska kommunikationsnäts och kommunikationstjänsters förmåga att vid en viss tillförlitlighetsnivå motstå åtgärder som undergräver tillgängligheten, riktigheten, integriteten eller konfidentialiteten hos dessa nät och tjänster, hos lagrade eller överförda eller behandlade uppgifter eller hos de närliggande tjänster som erbjuds genom eller är tillgängliga via dessa elektroniska kommunikationsnät eller kommunikationstjänster”.

39. Denna definition ska läsas tillsammans med definitionerna av begreppen elektroniskt kommunikationsnät ( 21 ) och elektronisk kommunikationstjänst .( 22 )

40. Förstnämnda begrepp är brett formulerat och inbegriper bland annat fysisk utrustning som krävs för att tillhandahålla detta nät (och således även maskinvara och programvara som ingår i detta).( 23 ) Sistnämnda begrepp avser överföring av signaler via fysisk infrastruktur, vilket EU-domstolen har tolkat som att det även omfattar programvara som används för bland annat internetåtkomst.( 24 )

41. Härav följer att begreppet säkerhet för nät och tjänster , såsom det definieras i artikel 2 led 21 i den europeiska kodexen för elektronisk kommunikation, bör förstås så, att det omfattar säkerheten för såväl maskinvarukomponenter som programvarukomponenter i ett elektroniskt kommunikationsnät.

42. Enligt artikel 41.1 i den europeiska kodexen för elektronisk kommunikation ska medlemsstaterna säkerställa att de behöriga myndigheterna har befogenheter att utfärda bindande instruktioner, däribland sådana som rör de åtgärder som krävs för att förhindra att en säkerhetsincident uppstår när ett ”betydande hot” har identifierats.

43. I övrigt saknas det föreskrifter om vilka regler som medlemsstaterna ska anta i detta hänseende. Unionsrätten överlåter således åt medlemsstaterna att besluta om hur dessa krav ska genomföras för att säkerställa säkerheten i deras nät och tjänster.

44. I förevarande fall framgår det av begäran om förhandsavgörande och av de yttranden som ingetts av klaganden samt den estniska regeringen och KJN att den omtvistade lagstiftningen syftar till att genomföra den europeiska kodexen för elektronisk kommunikation, och särskilt artiklarna 40.1 och 41.1 däri, i estnisk rätt, vilket bekräftades vid förhandlingen.

45. Det finns ingen anledning till varför ett förfarande för förhandstillstånd för användning av maskinvara och programvara för tillhandahållande av elektroniska kommunikationsnät och kommunikationstjänster, såsom det som krävs enligt ESS, inte skulle kunna anses vara ett av de möjliga sätten att utforma genomförandet av artiklarna 40.1 och 41.1 i den europeiska kodexen för elektronisk kommunikation.

46. Detta har heller inte ifrågasatts i förevarande mål.

47. Mot bakgrund av vad som anförts ovan föreslår jag att EU-domstolen ska besvara den hänskjutande domstolens första fråga jakande, nämligen på så sätt att den europeiska kodexen för elektronisk kommunikation ska tolkas så, att den omfattar ett nationellt regelverk som, för att säkerställa säkerheten för det nationella elektroniska kommunikationsnätet och dess tjänster, kräver att en operatör som önskar tillhandahålla ett sådant nät och sådana tjänster ska inhämta tillstånd för användning av maskinvara och programvara i sitt kommunikationsnät.

B. Den andra frågan

48. Den hänskjutande domstolen har ställt den andra frågan, som villkoras av ett jakande svar på den första frågan, för att få klarhet i huruvida verkan av artikel 4.2 FEU och artikel 1.3 c i den europeiska kodexen för elektronisk kommunikation är att de omtvistade tillståndsåtgärderna omfattas av medlemsstaternas exklusiva behörighet och faller utanför tillämpningsområdet för nämnda kodex, när dessa åtgärder har vidtagits för att säkerställa den nationella säkerheten.

49. Jag kan fatta mig kort när det gäller den frågan.

50. I artikel 4.2 sista meningen FEU föreskrivs att den nationella säkerheten också i fortsättningen ska vara varje medlemsstats eget ansvar. Enligt artikel 1.3 c i den europeiska kodexen för elektronisk kommunikation påverkar detta direktiv inte åtgärder som medlemsstaterna vidtagit för ändamål som rör allmän ordning och säkerhet samt försvar.

51. Trots de terminologiska skillnaderna mellan dessa båda bestämmelser( 25 ) delar jag därför kommissionens och den franska regeringens uppfattning att artikel 1.3 c i den europeiska kodexen för elektronisk kommunikation i huvudsak utgör ett uttryck för artikel 4.2 FEU.

52. Bör dessa båda bestämmelser tolkas så, att åtgärder som vidtas av nationella säkerhetsskäl ska undantas från tillämpningsområdet för den europeiska kodexen för elektronisk kommunikation?

53. Klaganden, den estniska, den spanska och den franska regeringen samt kommissionen anser att även om det ankommer på medlemsstaterna ensamma att besluta om åtgärder som syftar till att skydda deras nationella säkerhet, så befriar det dem inte från skyldigheten att iaktta den europeiska kodexen för elektronisk kommunikation. Verkan av artikel 4.2 FEU och artikel 1.3 c i den europeiska kodexen för elektronisk kommunikation är således inte att den omtvistade tillståndsåtgärden faller utanför unionsrättens tillämpningsområde. Den danska, den tjeckiska, den italienska, den svenska och den finska regeringen är av motsatt uppfattning och har framhållit att med hänsyn till att de omtvistade åtgärderna vidtogs för att skydda Estlands nationella säkerhet, så är verkan av artikel 4.2 FEU och artikel 1.3 c i den europeiska kodexen för elektronisk kommunikation att unionsrätten inte är tillämplig.

54. Enligt min mening framgår det redan av EU-domstolens praxis att artikel 4.2 FEU inte undantar nationella säkerhetsåtgärder från unionsrättens tillämpningsområde.( 26 )

55. Snarare är det så att denna bestämmelse bekräftar att unionen inte har befogenhet att bestämma vad som krävs för att skydda medlemsstaternas säkerhet och hur detta ska ske. Även om den nationella säkerheten enligt artikel 4.2 FEU också i fortsättningen ska vara varje medlemsstats eget ansvar ”kan inte enbart den omständigheten att en åtgärd vidtagits för att skydda nationell säkerhet medföra att unionsrätten inte är tillämplig och att medlemsstaterna befrias från sin skyldighet att iaktta unionsrätten”.( 27 )

56. Även om Estland antog den omtvistade lagstiftningen för att skydda sin nationella säkerhet, undantar detta således inte denna lagstiftning och de åtgärder som antagits på grundval av den från tillämpningsområdet för den europeiska kodexen för elektronisk kommunikation.

57. När åtgärder som antagits för att skydda den nationella säkerheten strider mot unionsrätten, kan allmänintresset av att skydda den nationella säkerheten med andra ord åberopas för att rättfärdiga denna konflikt. Sådana åtgärder måste dock ändå klara proportionalitetstestet för att vara lagenliga. Jag kommer att återkomma till denna fråga när jag besvarar den femte frågan.

58. I förevarande mål har den estniska regeringen, såsom jag redan har förklarat, uttryckligen intagit ståndpunkten att den omtvistade lagstiftningen skyddar nationella säkerhetsintressen, men att den samtidigt antagits för att genomföra den europeiska kodexen för elektronisk kommunikation.( 28 ) Den estniska regeringen har nämligen, för att motivera sina nationella administrativa beslut att behandla den omtvistade maskinvaran och programvaran som en ”hög risk” för säkerheten i dess telekommunikationsinfrastruktur, åberopat vissa icke-bindande unionsrättsakter som utarbetats av kommissionen( 29 ) och en samarbetsgrupp bestående av nationella säkerhetsorgan.( 30 )

59. Estlands nationella säkerhetsintressen konvergerar således med de säkerhetskrav som fastställts på unionsnivå .

60. Denna omständighet skiljer förevarande mål från målet Ministrstvo za obrambo( 31 ). I sin dom i det målet ansåg EU-domstolen att vissa kategorier av militär verksamhet i sin helhet ska undantas från tillämpningsområdet för direktiv 2003/88/EG om arbetstidens förläggning i vissa avseenden( 32 ) ”när dessa verksamheter kännetecknas av så speciella förhållanden att de alltid kommer att komma i konflikt med de krav som uppställs i direktivet”.( 33 )

61. Mot bakgrund av vad som anförts ovan föreslår jag att EU-domstolen ska besvara den andra frågan nekande och slå fast att artikel 4.2 FEU och artikel 1.3 c i den europeiska kodexen för elektronisk kommunikation ska tolkas så, att en åtgärd som kräver tillstånd för användning av maskinvara och programvara avsedd för tillhandahållande av ett allmänt elektroniskt kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster inte faller utanför tillämpningsområdet för den europeiska kodexen för elektronisk kommunikation, även om denna åtgärd antagits för att skydda nationella säkerhetsintressen.

C. Den tredje frågan

62. Av mina svar på de första två frågorna följer att ESS och de omtvistade besluten, som antogs på grundval av ESS, omfattas av tillämpningsområdet för den europeiska kodexen för elektronisk kommunikation. Detta för mig till den tredje frågan.

63. Den hänskjutande domstolen har ställt den tredje frågan för att få klarhet i huruvida en nationell åtgärd som kräver förhandstillstånd för användning av maskinvara och programvara utgör en begränsning av friheten att tillhandahålla elektroniska kommunikationsnät och kommunikationstjänster i den mening som avses i artikel 12.1 i den europeiska kodexen för elektronisk kommunikation.

64. Klaganden anser att den frågan ska besvaras jakande. Detta företag har gjort gällande att medlemsstaterna enligt artikel 12.1 i den europeiska kodexen för elektronisk kommunikation är skyldiga att säkerställa friheten att tillhandahålla elektroniska kommunikationstjänster, och att denna frihet begränsas av tillståndsförfarandet i ESS. Den estniska, den spanska, den franska och den italienska regeringen samt kommissionen delar inte denna uppfattning. De har i huvudsak gjort gällande att det tillståndsförfarande som föreskrivs i ESS utgör en förutsättning för friheten att tillhandahålla elektroniska kommunikationstjänster och inte en begränsning, eftersom friheten att tillhandahålla elektroniska kommunikationstjänster enligt artikel 12.1 i den europeiska kodexen för elektronisk kommunikation gäller med förbehåll för ”de villkor som anges i detta direktiv”. Eftersom säkerheten för elektroniska kommunikationsnät och kommunikationstjänster utgör ett av dessa villkor, är deras argument att medlemsstaterna har rätt att föreskriva ett sådant tillståndsförfarande som det som är omtvistat i det nationella målet.( 34 )

65. Dessa ståndpunkter ger vid handen att EU-domstolen har två alternativ när det gäller hur den omtvistade tillståndsåtgärden ska karaktäriseras enligt artikel 12.1 i den europeiska kodexen för elektronisk kommunikation, nämligen i) som ett villkor för att få tillhandahålla elektroniska kommunikationsnät och kommunikationstjänster eller ii) som en begränsning av friheten att tillhandahålla dessa nät och tjänster.

66. Jag anser att ett sådant krav utgör en begränsning av friheten att tillhandahålla sådana nät och tjänster i den mening som avses i artikel 12.1 i den europeiska kodexen för elektronisk kommunikation. Jag anser dock att denna begränsning är motiverad.

67. I detta sammanhang är det värt att erinra om de två första meningarna i artikel 12.1 i den europeiska kodexen för elektronisk kommunikation:

”Medlemsstaterna ska säkerställa friheten att tillhandahålla elektroniska kommunikationsnät och kommunikationstjänster i enlighet med de villkor som anges i detta direktiv. För detta ändamål får medlemsstaterna hindra ett företag från att tillhandahålla elektroniska kommunikationsnät eller kommunikationstjänster endast om detta är nödvändigt av de skäl som anges i artikel 52.1 EUF-fördraget.”( 35 )

68. Utgångspunkten i denna bestämmelse är således att medlemsstaterna i princip, på vissa villkor, ska tillåta företag att tillhandahålla elektroniska kommunikationsnät och kommunikationstjänster.

69. Medlemsstaterna får inte heller hindra dessa företag från att utöva denna frihet genom begränsningar som inte föreskrivs direkt i den europeiska kodexen för elektronisk kommunikation i sig som villkor för tillhandahållandet av sådana elektroniska kommunikationsnät och kommunikationstjänster.

70. Samtidigt som artikel 12.1 i den europeiska kodexen för elektronisk kommunikation föreskriver negativ integration (det vill säga förbjuder åtgärder från medlemsstaternas sida som skapar hinder för friheten att tillhandahålla elektroniska kommunikationsnät och kommunikationstjänster),( 36 ) erkänner den också behovet av positiv integration (det vill säga av att harmonisera behovet av att säkerställa säkerheten som villkor för tillhandahållandet av elektroniska kommunikationsnät och kommunikationstjänster).

71. Även om det uppställs krav på säkra nät och tjänster, sker det dock ingen positiv integration på unionsnivå när det gäller säkerheten för dessa nät och tjänster.

72. I den europeiska kodexen för elektronisk kommunikation fastställs inga åtgärder som kan garantera sådan säkerhet. Den överlåter detta på medlemsstaterna genom att i artiklarna 40.1 och 41.1 däri ålägga dem att göra dessa val.

73. Även om säkerheten för nät och tjänster enligt den europeiska kodexen för elektronisk kommunikation utgör ett villkor för tillhandahållandet av sådana nät och tjänster, är det med andra ord inte nödvändigt att ge förhandstillstånd för användning av maskinvara och programvara för tillhandahållande av dessa nät och tjänster.

74. Det omvända, det vill säga om varje åtgärd som en medlemsstat väljer att vidta för att säkerställa säkerheten för nät och tjänster automatiskt skulle betraktas som ett villkor för att den inre marknaden för elektroniska kommunikationsnät och kommunikationstjänster ska fungera väl, skulle innebära att medlemsstaterna lätt skulle kunna skapa hinder för den fria rörligheten.( 37 )

75. Det skulle strida mot syftet med artikel 12.1 i den europeiska kodexen för elektronisk kommunikation att motverka hinder för friheten att tillhandahålla elektroniska kommunikationsnät och kommunikationstjänster att på detta sätt undanta åtgärder som medlemsstaterna väljer att vidta från rättslig proportionalitetsprövning.

76. Jag föreslår därför en tolkning som innebär att en specifik nationell åtgärd som vidtas för att säkerställa säkerheten för en medlemsstats nät och tjänster ändå kan karaktäriseras som en begränsning av friheten att tillhandahålla sådana nät och tjänster, som är förbjuden enligt artikel 12.1 i den europeiska kodexen för elektronisk kommunikation, även om medlemsstaterna enligt det direktivet är skyldiga att säkerställa säkerheten i sina nät.

77. Alla krav på förhandstillstånd för att få tillträde till den inre marknaden anses i princip utgöra hinder för den fria rörligheten, oavsett om det rör sig om varor,( 38 ) tjänster,( 39 ) kapital,( 40 ) eller etableringsfriheten.( 41 ) Ett sådant krav gör alltid en frihet mindre attraktiv och tillträdet till de berörda marknaderna svårare.

78. Det står i detta hänseende klart att ett förfarande för förhandstillstånd, såsom det som är omtvistat i förevarande mål, som gör det möjligt för de behöriga myndigheterna att förbjuda användningen av viss maskinvara och programvara på grund av den ”höga risk” de representerar, utgör en åtgärd som i princip utgör ett hinder för den fria rörligheten för elektroniska kommunikationsnät och kommunikationstjänster, eftersom den kan göra det mindre attraktivt eller svårare att få tillträde till och utöva denna tjänst.

79. En sådan åtgärd är därför i princip förbjuden enligt artikel 12.1 i den europeiska kodexen för elektronisk kommunikation.

80. Den omtvistade estniska lagstiftningen riskerar således att begränsa friheten att tillhandahålla elektroniska kommunikationsnät och kommunikationstjänster i strid med artikel 12.1 första meningen i den europeiska kodexen för elektronisk kommunikation.

81. Med detta sagt kan en sådan åtgärd, i kraft av artikel 12.1 i den europeiska kodexen för elektronisk kommunikation, vara motiverad av något av de skäl som anges i artikel 52.1 FEUF.

82. Det ankommer på den hänskjutande domstolen att göra den proportionalitetsbedömning som följer av detta, och som omfattar hänsyn till nationell säkerhet. Nämnda domstol har inte begärt någon vägledning om just denna aspekt av artikel 12.1 i den europeiska kodexen för elektronisk kommunikation. Med detta sagt kommer jag, i samband med mitt förslag till svar på den femte frågan, att ge vägledning som också kan vara till nytta för den hänskjutande domstolen i detta hänseende.

83. Mot bakgrund av vad som anförts ovan föreslår jag att EU-domstolen ska besvara den första frågan jakande. Artikel 12.1 i den europeiska kodexen för elektronisk kommunikation ska tolkas så, att ett nationellt regelverk som kräver tillstånd från en förvaltningsmyndighet för användning av maskinvara och programvara avsedd för tillhandahållande av elektroniska kommunikationsnät och kommunikationstjänster utgör en begränsning av friheten att tillhandahålla sådana nät och tjänster i den mening som avses i den bestämmelsen. En sådan begränsning kan motiveras av skäl som anges i artikel 52.1 FEUF.

D. Den fjärde frågan

84. Enligt artikel 12.1 tredje meningen i den europeiska kodexen för elektronisk kommunikation ska medlemsstaterna vederbörligen motivera varje begränsning av friheten att tillhandahålla elektroniska kommunikationsnät och kommunikationstjänster och anmäla sådana begränsningar till kommissionen.

85. Mot bakgrund av nämnda bestämmelse har den hänskjutande domstolen ställt sin fjärde fråga för att få klarhet i vad det får för konsekvenser att underlåta att anmäla en begränsning av den frihet som föreskrivs i artikel 12.1 i den europeiska kodexen för elektronisk kommunikation, nämligen, såsom i förevarande fall, ett regelverk som kräver förhandstillstånd för användning av maskinvara och programvara i det elektroniska kommunikationsnätet. Nämnda domstol vill framför allt få klarhet i huruvida underlåtenhet att anmäla en sådan åtgärd medför att den inte kan tillämpas.

86. Enligt klaganden anmäldes den omtvistade lagstiftningen inte till kommissionen. Av detta skäl kan det tillståndsförfarande som föreskrivs i ESS inte göras gällande mot företaget. Den estniska, den spanska, den franska och den italienska regeringen samt kommissionen, som vid förhandlingen även fick stöd av TTJA samt den tyska och den finska regeringen, har hävdat att det inte var nödvändigt att göra någon anmälan, eftersom den tillståndsplikt som följer av ESS enligt deras uppfattning inte utgör en begränsning, utan snarare ett villkor som ställs i den europeiska kodexen för elektronisk kommunikation för tillhandahållande av elektroniska kommunikationsnät och kommunikationstjänster.

87. I motsats till dessa ståndpunkter anser jag, såsom jag redan har förklarat i samband med den tredje frågan, att en åtgärd som kräver förhandstillstånd, såsom den som införts i Estland genom ESS, utgör en begränsning av friheten att tillhandahålla elektroniska kommunikationsnät och kommunikationstjänster. Enligt min mening borde således denna typ av åtgärd ha anmälts till kommissionen.

88. Jag vill dock påpeka att det inte framgår klart av handlingarna i målet huruvida åtgärden faktiskt anmäldes. Enligt den estniska regeringen överlämnades ett utkast till ESS, inklusive regelverket för tillstånd, till kommissionen år 2020,( 42 ) innan denna lag trädde i kraft år 2022. Klaganden har emellertid ifrågasatt att en sådan anmälan gjordes. Det ankommer på den hänskjutande domstolen att kontrollera om så verkligen är fallet.

89. Även om den estniska regeringen inte anmälde det lagstadgade kravet på förhandstillstånd till kommissionen anser jag emellertid att denna underlåtenhet inte medför att den delen av ESS inte kan tillämpas på klaganden, vilket betyder att verkan av att anmälan inte skett inte är samma verkan som skulle ha uppkommit i ett fall där tekniska föreskrifter inte hade anmälts i enlighet med TRIS-direktivet.

90. För det första undantar TRIS-direktivet uttryckligen elektroniska kommunikationsnät och kommunikationstjänster från sitt tillämpningsområde. Enligt artikel 1.3 i nämnda direktiv ska ”detta direktiv … inte tillämpas på föreskrifter om frågor som omfattas av unionsbestämmelser för teletjänster, som avses i [det direktiv som föregick den europeiska kodexen för elektronisk kommunikation]”.

91. När det gäller tekniska föreskrifter och standarder för elektroniska kommunikationsnät och kommunikationstjänster utgör den europeiska kodexen för elektronisk kommunikation därför lex specialis i förhållande till TRIS-direktivet.

92. Såsom kommissionen har förklarat, går det för det andra inte att dra några paralleller mellan, å ena sidan, en underlåtenhet att anmäla en begränsning enligt artikel 12.1 i den europeiska kodexen för elektronisk kommunikation och, å andra sidan, en underlåtenhet att iaktta det anmälningsförfarande som införts genom TRIS-direktivet och relevant rättspraxis, enligt vilken ett åsidosättande av skyldigheten att anmäla en teknisk standard medför att den inte kan tillämpas gentemot enskilda.( 43 )

93. Detta beror på att artikel 12.1 i den europeiska kodexen för elektronisk kommunikation, i motsats till TRIS-direktivet, inte gör tillämpligheten av villkor som rör tillhandahållandet av elektroniska kommunikationsnät och kommunikationstjänster beroende av kommissionens godkännande eller att en viss minsta tid har förflutit.

94. Underlåtenhet att anmäla en begränsning av friheten att tillhandahålla elektroniska kommunikationsnät och kommunikationstjänster enligt artikel 12.1 i den europeiska kodexen för elektronisk kommunikation medför därför inte att det tillståndsförfarande som fastställs i ESS inte kan tillämpas på klaganden.

95. Mot bakgrund av vad som anförts ovan föreslår jag att EU-domstolen ska besvara den fjärde frågan så, att underlåtenhet att till kommissionen anmäla en begränsning av friheten att tillhandahålla elektroniska kommunikationsnät, i den mening som avses i artikel 12.1 i den europeiska kodexen för elektronisk kommunikation, inte medför att de nationella bestämmelser som inte har anmälts inte kan tillämpas.

E. Den femte frågan

96. Den femte frågan, såsom den har ställts, avser nationella åtgärder som begränsar den fria rörligheten för varor, enligt artikel 34 FEUF, men som kan motiveras med stöd av artikel 36 FEUF. Denna fråga villkoras av att EU-domstolen finner att den europeiska kodexen för elektronisk kommunikation inte är tillämplig.

97. Som jag har förklarat anser jag emellertid att den europeiska kodexen för elektronisk kommunikation är tillämplig i förevarande mål. I princip behöver EU-domstolen därför inte besvara den femte frågan.

98. Med detta sagt skulle ett svar på den ställda frågan i sak vara användbart för den hänskjutande domstolen för att avgöra huruvida de omtvistade åtgärder som införts på grundval av ESS kan motiveras enligt artikel 12.1 i den europeiska kodexen för elektronisk kommunikation, enligt vilken de utgör en begränsning.

99. Eftersom EU-domstolen har möjlighet att omformulera frågor som hänskjutits till den på ett sätt som den anser vara användbart för att den hänskjutande domstolen ska kunna avgöra det mål som den ska pröva, föreslår jag att EU-domstolen ska göra detta i förevarande mål.( 44 )

100. I omformulerat skick syftar således den femte frågan till att ge klarhet i huruvida det är förenligt med artikel 12.1 i den europeiska kodexen för elektronisk kommunikation och proportionalitetsprincipen att det enligt nationella bestämmelser, vilka har till syfte att säkerställa den nationella säkerheten, krävs att ett kommunikationsföretag inhämtar tillstånd för att få använda maskinvara och programvara i sitt kommunikationsnät, och att förvaltningsmyndigheten, vid bedömningen av det hot som den ifrågavarande högriskklassificerade hård- och programvaran utgör, inte åläggs a) att pröva huruvida de risker som är förknippade med tillverkaren projiceras på den specifika maskinvaran och programvaran, b) att bedöma den specifika maskinvarans och programvarans funktionalitet, lokalisering och betydelse i samband med tillhandahållandet av en kommunikationstjänst, och c) att pröva huruvida de problem som är förknippade med den stat där tillverkaren har sin hemvist projiceras på tillverkaren.

101. I detta sammanhang är det viktigt att betona att den hänskjutande domstolen inte söker svar på frågan huruvida de omtvistade beslut som antagits på grundval av ESS är proportionerliga. Nämnda domstol vill istället ha klarhet i huruvida det tillståndsförfarande som föreskrivs i ESS, och som ligger till grund för de omtvistade besluten, kan motiveras om det inte ålägger de behöriga myndigheterna en skyldighet att först bedöma huruvida det föreligger ett verkligt hot mot den nationella säkerheten innan de avslår en ansökan om tillstånd på den grunden. Det är endast om ESS befinns vara giltigt ur denna synvinkel som frågan uppstår huruvida det sätt på vilket denna lag har genomförts är proportionerligt.

102. En åtgärd som utgör en begränsning av friheten att tillhandahålla elektroniska kommunikationsnät och kommunikationstjänster i den mening som avses i artikel 12.1 i den europeiska kodexen för elektronisk kommunikation kan vara motiverad av de skäl som anges i artikel 52.1 FEUF, det vill säga av hänsyn till allmän ordning, säkerhet och hälsa.

103. I förevarande fall har den estniska regeringen motiverat den begränsning som infördes genom ESS med den nationella säkerheten (säkerheten i dess telekommunikationsinfrastruktur), och med att dessa åtgärder genomför den europeiska kodexen för elektronisk kommunikation, mer specifikt artiklarna 40.1 och 41.1 däri.

104. Det är ostridigt att säkerheten i kommunikationsnäten är av stor betydelse i dagens demokratiska samhälle: en säker och tillförlitlig telekommunikationsinfrastruktur är inte bara nödvändig för att ett antal av unionens värden och grundläggande rättigheter, däribland värdena demokrati och yttrandefrihet, ska kunna utövas på ett effektivt sätt, utan säkerställer också social stabilitet, eftersom påverkan på eller störningar i en medlemsstats telekommunikationsinfrastruktur kan ha en mer allmän inverkan på andra sektorer av unionsmedborgarnas ekonomi och vardagsliv.( 45 )

105. Jag noterar även att EU-domstolen redan har slagit fast att säkerheten i en medlemsstats telekommunikationsinfrastruktur kan utgöra en del av denna medlemsstats allmänna säkerhet.( 46 )

106. Dessutom har den europeiska kodexen för elektronisk kommunikation som mål att säkerställa säkerheten för elektroniska kommunikationsnät och kommunikationstjänster, och i detta syfte åläggs medlemsstaterna i artiklarna 40.1 och 41.1 däri att säkerställa säkerheten för sina elektroniska kommunikationsnät och kommunikationstjänster.( 47 )

107. Även om säkerheten för en medlemsstats elektroniska kommunikationsnät och dess tjänster erkänns som ett grundläggande samhällsintresse såväl på medlemsstatsnivå som på unionsnivå och således kan åberopas som motivering för att begränsa friheten att tillhandahålla sådana nät och tjänster, får en sådan begränsning emellertid endast åläggas då det föreligger ett verkligt och tillräckligt allvarligt hot mot detta intresse i det enskilda fallet.( 48 )

108. I detta hänseende kan en medlemsstat inte motivera en sådan begränsning enbart med hänvisning till nationell säkerhet.( 49 )

109. I stället ska lagstiftning som tillåter sådana begränsningar, i detta fall ESS, ålägga de behöriga myndigheterna, i förevarande fall TTJA och KJN, att bedöma huruvida den specifika utrustning som är aktuell verkligen utgör ett sådant hot mot säkerheten i det nationella telekommunikationsnätet.

110. Även om denna bedömning kan bli en annan när hotet kommer från tredjeländer eller deras leverantörer,( 50 ) får den inte grundas på allmänna misstankar,( 51 ) utan måste inbegripa en specifik bedömning av den användning som utrustningen är avsedd för och de risker som är förknippade därmed. Denna bedömning kan exempelvis omfatta risker som är förknippade med den ifrågavarande typen av utrustning, tillverkaren av denna utrustning eller den stat där tillverkaren har sin hemvist.( 52 )

111. Mot bakgrund av vad som anförts ovan ska den hänskjutande domstolens femte fråga besvaras så, att artikel 12.1 i den europeiska kodexen för elektronisk kommunikation kräver att nationell lagstiftning, enligt vilken det krävs förhandstillstånd för användning av maskinvara och programvara för att skydda säkerheten för elektroniska kommunikationsnät och kommunikationstjänster, ålägger de organ som har befogenhet att avgöra huruvida ett tillstånd såsom det som begärts ska beviljas att pröva huruvida den ifrågavarande maskinvaran och programvaran, vars användning har begärts, utgör ett verkligt hot mot nätets säkerhet, vilket kan inbegripa att organet beaktar den avsedda användningen av denna utrustning, huruvida de risker som är förknippade med den stat där tillverkaren har sin hemvist projiceras på tillverkaren, och huruvida de risker som är förknippade med tillverkaren projiceras på den specifika maskinvaran och programvaran.

112. Såsom jag förstår det, vilket det ankommer på den hänskjutande domstolen att kontrollera, fastställer ESS precisa kriterier på grundval av vilka de behöriga nationella myndigheterna kan dra slutsatsen att det föreligger ett hot mot den nationella säkerheten. I detta syfte förefaller hänsyn bland annat tas till huruvida det föreligger ett hot relaterat till tillverkaren och det tredjeland där tillverkaren har sin hemvist.( 53 )

113. Vid prövningen av de omtvistade besluten ska den nationella domstolen bedöma om dessa kriterier verkligen beaktades vid bedömningen av riskerna i den särskilda situation som förelåg i förevarande fall, vilken ledde till att användningstillståndet begränsades tidsmässigt.

114. Eftersom det kräver ingående kunskaper om de tekniska, politiska och säkerhetsmässiga aspekterna av en viss situation, kan EU-domstolen inte bedöma huruvida det föreligger en risk i förhållande till en viss tillverkare, dennes utrustning eller användningen av denna utrustning. När en nationell domstol uppmanas att pröva åtgärder som förbjuder användning av viss maskinvara och programvara med hänvisning till nationell säkerhet måste de behöriga myndigheterna dock kunna ge en rimlig förklaring till varför en sådan risk har konstaterats,( 54 ) och i förekommande fall använda sig av andra rättsliga tillvägagångssätt.( 55 )

115. När, såsom i förevarande mål, de omtvistade säkerhetsintressena på unionsnivå och nationell nivå konvergerar, får en nationell domstol, inom ramen för den rättsliga prövningen av den ifrågavarande åtgärden, även beakta riskbedömningar som utförts av unionens institutioner och organ liksom av nationella organ.

116. I detta hänseende kan ett antal handlingar som den estniska regeringen har åberopat vara av relevans för den hänskjutande domstolens bedömning, nämligen bland annat kommissionens rekommendation av år 2019 om it-säkerhet, den samordnade riskbedömningen respektive 5G-verktygslådan( 56 ) från samarbetsgruppen för nät- och informationssäkerhet( 57 ) samt kommissionens meddelande om genomförande av verktygslådan för 5G-cybersäkerhet.

117. Även om dessa dokument ingår bland rättsakter som inte är bindande för medlemsstaterna, föreskriver de en samordnad riskbedömning av de behöriga myndigheterna på nationell nivå och unionsnivå, på grundval av vilken kommissionen bland annat identifierat att utrustning som tillverkats av tillverkaren av den omtvistade maskinvaran och programvaran utgör ”betydligt högre risker än andra 5G-leverantörer” och att kommissionen på grund av ”dessa höga risker … anser … att medlemsstaternas beslut att begränsa eller utesluta Huawei … är motiverade och förenliga med 5G-verktygslådan”.( 58 )

118. Enligt meddelandet om genomförandet av 5G-verktygslådan grundar sig denna slutsats på flera faktorer, bland annat ”kopplingen mellan [den] leverantör[en] och en regering i ett visst tredjeland, tredjelandets lagstiftning och egenskaperna hos leverantörens företagsägande”.( 59 )

119. Den estniska regeringen har förklarat att dess behöriga myndigheter beaktade denna bedömning och att de, till följd av denna gemensamma identifiering av riskerna på såväl unionsnivå som medlemsstatsnivå, ansåg att det var nödvändigt att begränsa exponeringen för utrustning från bland annat Huawei, som tillhandahåller den omtvistade maskinvaran och programvaran, vid tillhandahållandet av elektroniska kommunikationsnät och kommunikationstjänster.

120. Jag anser följaktligen att det är rimligt att dra slutsatsen att ESS och de omtvistade beslut som antagits på grundval av denna lag, trots att de utgör en begränsning av friheten att tillhandahålla elektroniska kommunikationsnät och tjänster, eftersträvar ett legitimt mål som består i att avvärja verkliga hot mot säkerheten för näten. Det ankommer emellertid på den hänskjutande domstolen att kontrollera om att så var fallet.

F. Den sjätte frågan

121. Det framgår av handlingarna i det nationella målet att klaganden använde den omtvistade maskinvaran och programvaran för 2G–4G-funktionalitet för tillhandahållande av elektroniska kommunikationsnät och kommunikationstjänster redan innan de omtvistade besluten fattades. Det framgår vidare av klagandens förklaring att företaget hade anskaffat utrustning för 5G-funktionalitet i syfte att inkludera denna utrustning i sitt kantnät innan tillståndskravet i ESS infördes. Slutligen framgår det av den hänskjutande domstolens begäran om förhandsavgörande och av parternas förklaringar att de omtvistade besluten tillät användning av den omtvistade maskinvaran och programvaran under en period som var kortare än utrustningens livslängd.

122. I detta hänseende har den hänskjutande domstolen ställt den sjätte frågan för att få klarhet i huruvida de omtvistade besluten, mot bakgrund av dessa omständigheter, medför ett berövande av egendom i den mening som avses i artikel 17.1 andra meningen i stadgan, i vilket fall klaganden skulle kunna vara berättigad till skälig ersättning.

123. Klaganden anser att så är fallet. Detta företag har hävdat att det omtvistade tillståndssystemet leder till ett obefogat berövande av egendom. Klaganden anser även att artikel 17.1 i stadgan utgör hinder för en plötslig ändring av det regelverk som reglerar användningen av den omtvistade maskinvaran och programvaran, vilken introducerar ett krav på tillstånd för användning och medför ett förbud mot användning av maskinvara och programvara som klaganden lagligen har förvärvat från en viss tillverkare, såvida det inte ges möjlighet till rättmätig och skälig kompensation.

124. Enligt kommissionen samt den estniska, den spanska, den tyska, den franska, den italienska, den svenska och den finländska regeringen utgör regelverket kring den omtvistade tillståndsåtgärden en typ av reglering av nyttjandet av egendom i den mening som avses i artikel 17.1 tredje meningen i stadgan. De omtvistade besluten medförde således inte något berövande av klagandens äganderätt till den berörda maskinvaran och programvaran, vare sig de facto eller de jure . Dessa parter anser vidare att denna reglering av nyttjandet av egendom, med hänsyn till Estlands nationella och allmänna säkerhetsintressen, utgör en proportionerlig inskränkning av denna rättighet eftersom de estniska myndigheterna har föreskrivit en tillräckligt lång övergångsperiod.

125. Enligt artikel 17.1 i stadgan har ”[v]ar och en … rätt att besitta lagligen förvärvad egendom, att nyttja den, att förfoga över den och att testamentera bort den. Ingen får berövas sin egendom utom då samhällsnyttan kräver det, i de fall och under de förutsättningar som föreskrivs i lag och mot rättmätig ersättning för sin förlust i rätt tid. Nyttjandet av egendomen får regleras i lag om det är nödvändigt för allmänna samhällsintressen.”

126. EU-domstolen har funnit att denna bestämmelse innehåller tre olika regler. Nämnda domstol har förklarat att ”[d]en första regeln i den första meningen är generell och uttrycker principen om skydd av äganderätten. Den andra regeln återfinns i bestämmelsens andra mening och avser egendomsberövande och ställer upp vissa villkor för detta. Den tredje regeln framgår av den tredje meningen och stadgar att medlemsstaterna har rätt att reglera nyttjandet av egendom om det är nödvändigt för allmänna samhällsintressen. Dessa regler saknar emellertid inte samband med varandra. Den andra och den tredje regeln rör specifika exempel på intrång i rätten till egendom, och ska tolkas mot bakgrund av den princip som fastslås i den första regeln.”( 60 )

127. Det framgår även av EU-domstolens praxis att det skydd som ges i artikel 17.1 i stadgan är omfattande och, utöver tillgångar av ekonomiskt värde, omfattar intressen knutna till utnyttjandet av en licens eller ett användningstillstånd.( 61 )

128. I det nationella målet avser de omtvistade besluten en ansökan om tillstånd att använda viss maskinvara och programvara för tillhandahållande av elektroniska kommunikationsnät och kommunikationstjänster. Denna ansökan beviljades endast delvis och under den maximala period som är tillåten enligt ESS, nämligen fram till och med den 31 december 2029 för 2G–4G-funktionalitet och fram till och med den 31 december 2025 för 5G-funktionalitet.

129. Eftersom det inte förekommit något ingrepp i det väsentliga innehållet i rätten till egendomen, har klaganden inte berövats denna egendom.( 62 ) Däremot utgör de omtvistade besluten en inskränkning av nyttjandet av klagandens egendom i den mening som avses i artikel 17.1 tredje meningen i stadgan.( 63 )

130. I ett sådant fall har klaganden i princip inte rätt till ersättning.

131. Med detta sagt är det endast möjligt att inskränka nyttjandet av egendom om det är nödvändigt för allmänna samhällsintressen. I samband med förevarande mål kommer denna bedömning att likna den som erfordras för att motivera ett ingrepp i friheten att tillhandahålla elektroniska kommunikationsnät och kommunikationstjänster enligt artikel 12.1 i den europeiska kodexen för elektronisk kommunikation.

132. Den hänskjutande domstolen har emellertid inte begärt någon vägledning om hur en sådan proportionalitetsbedömning ska genomföras.

133. Jag kan dock konstatera att en aspekt som den hänskjutande domstolen bör beakta i förevarande fall är huruvida den period under vilken klaganden hade tillstånd att fortsätta använda den omtvistade maskinvaran och programvaran var tillräckligt lång i förhållande till den period som klaganden hade på sig för att förbereda sig inför denna lagändring.

134. De investeringar som gjorts innan dessa lagändringar infördes påverkas nämligen i hög grad av den omtvistade tillståndsåtgärden i kombination med strikta bestämmelser om maximala användningsperioder.( 64 )

135. Den hänskjutande domstolen har följaktligen att bedöma huruvida den totala tidsperiod under vilken klaganden kunde förbereda sig på att anpassa sig till det nya rättsläget, från den tidpunkt då de ifrågavarande ändringarna av ESS föreslogs fram till utgången av den maximala användningsperioden för den omtvistade maskinvaran och programvaran, var tillräckligt lång. Om nämnda domstol finner att så inte var fallet, bör ett system för rimlig kompensation för den skada som lidits övervägas.( 65 )

136. Slutligen ska den hänskjutande domstolen, vid bedömningen av huruvida de omtvistade besluten är proportionerliga, beakta hur allvarligt ingreppet i den ifrågavarande grundläggande rättigheten är och betydelsen av det eftersträvade målet( 66 ) samt andra intressen, såsom det intresse som mottagare av elektroniska kommunikationsnät och kommunikationstjänster har av att dessa nät och tjänster är säkra samt den marknadsrisk som en försiktig och medveten konkurrent som är verksam på samma marknad skulle ha tagit med avseende på den omtvistade maskinvaran och programvaran.( 67 )

137. Om den hänskjutande domstolen finner att den börda som ålades klaganden, även om den var nödvändig, var oproportionerligt tung kan det, såsom förklarats ovan, vara lämpligt att tillgripa en rättmätig ersättning.

138. Mot bakgrund av vad som anförts ovan föreslår jag att EU-domstolen ska besvara den sjätte frågan genom att slå fast att en inskränkning av användningen av maskinvara eller programvara som redan fanns i ett elektroniskt kommunikationsnät före införandet av ett krav på användningstillstånd, enligt vilket användning beviljas för en period som är kortare än maskinvarans eller programvarans livslängd, inte utgör ett berövande av egendom i den mening som avses i artikel 17.1 andra meningen i stadgan.

IV. Förslag till avgörande

139. Jag föreslår att EU-domstolen ska besvara de frågor som ställts av Tallinna Halduskohus (Förvaltningsdomstolen i Tallinn, Estland) på följande sätt:

1) Europaparlamentets och rådets direktiv (EU) 2018/1972 av den 11 december 2018 om inrättande av en europeisk kodex för elektronisk kommunikation

ska tolkas så, att det omfattar ett nationellt regelverk som, för att säkerställa säkerheten för det nationella elektroniska kommunikationsnätet och dess tjänster, kräver att en operatör som önskar tillhandahålla ett sådant nät och sådana tjänster ska inhämta tillstånd för användning av maskinvara och programvara i sitt kommunikationsnät.

2) Artikel 4.2 FEU och artikel 1.3 c i direktiv 2018/1972

ska tolkas så, att en åtgärd som kräver tillstånd för användning av maskinvara och programvara avsedd för tillhandahållande av ett allmänt elektroniskt kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster inte faller utanför tillämpningsområdet för direktiv 2018/1972, även om denna åtgärd antagits för att skydda nationella säkerhetsintressen.

3) Artikel 12.1 i direktiv 2018/1972

ska tolkas så, att ett nationellt regelverk som kräver tillstånd från en förvaltningsmyndighet för användning av maskinvara och programvara avsedd för tillhandahållande av elektroniska kommunikationsnät och kommunikationstjänster utgör en begränsning av friheten att tillhandahålla sådana nät och tjänster i den mening som avses i den bestämmelsen.

En sådan begränsning kan motiveras av skäl som anges i artikel 52.1 FEUF.

4) Artikel 12.1 i direktiv 2018/1972

ska tolkas så, att underlåtenhet att till Europeiska kommissionen anmäla en begränsning av friheten att tillhandahålla elektroniska kommunikationsnät inte medför att de nationella bestämmelser som inte har anmälts inte kan tillämpas.

5) Artikel 12.1 i direktiv 2018/1972 och proportionalitetsprincipen

ska tolkas så, att nationell lagstiftning, enligt vilken det krävs förhandstillstånd för användning av maskinvara och programvara för att skydda säkerheten för elektroniska kommunikationsnät och kommunikationstjänster, ålägger de organ som har befogenhet att avgöra huruvida ett tillstånd såsom det som begärts ska beviljas att pröva huruvida den ifrågavarande maskinvaran och programvaran, vars användning har begärts, utgör ett verkligt hot mot nätets säkerhet, vilket kan inbegripa att organet beaktar den avsedda användningen av denna utrustning, huruvida de risker som är förknippade med den stat där tillverkaren har sin hemvist projiceras på tillverkaren, och huruvida de risker som är förknippade med tillverkaren projiceras på den specifika maskinvaran och programvaran.

6) En inskränkning av användningen av maskinvara eller programvara som redan fanns i ett elektroniskt kommunikationsnät före införandet av ett krav på användningstillstånd, enligt vilket användning beviljas för en period som är kortare än maskinvarans eller programvarans livslängd, utgör inte ett berövande av egendom i den mening som avses i artikel 17.1 andra meningen i Europeiska unionens stadga om de grundläggande rättigheterna.

1 Originalspråk: engelska.

2 Europaparlamentets och rådets direktiv (EU) 2018/1972 av den 11 december 2018 om inrättande av en europeisk kodex för elektronisk kommunikation (EUT L 321, 2018, s. 36).

3 Se, i detta hänseende, Sendin, A., Sanchez-Fornie, M. A, Berganza, I., Simon, J., Irritoa. I., Telecommunication Networks for the Smart Grid , Artech House. Boston, 2016, s. 176. På grund av dess grundläggande betydelse för telekommunikationsinfrastrukturen som helhet kallas stamnätet ibland för mobilnätets ”ryggrad” eller ”hjärna”. Se, allmänt, i detta hänseende NATO Cooperative Cyber Defence Centre of Excellence (Natos gemensamma kompetenscentrum för cybersäkerhet), som har beskrivit stamnätet som ”en grundläggande infrastruktur och därmed … ett väsentligt nationellt intresse med implikationer för den nationella säkerheten”. Se NATO Cooperative Cyber Defence Centre of Excellence, Kaska, K., Beckvard, H. och Minárik, T., ”Huawei, 5G and China as a Security Threat” (Huawei, 5G och Kina som ett säkerhetshot), 2019, s. 15, tillgängligt på engelska på följande adress: https://ccdcoe.org/uploads/2019/03/CCDCOE-Huawei-2019–03-28-FINAL.pdf

4 Se, exempelvis i Tyskland, Bundesamt für Sicherheit in der Informationstechnik (Federala kontoret för informationsteknologi), 5G Risk Analysis, Framework Document: Methodology, Risk Scenarios and Results (5G-riskanalys, Ramdokument: Metod, riskscenarier och resultat), 2025, s. 21, där det förklaras att ”Radio Access Network (radioaccessnätet) (RAN) innehåller 5G-basstationer … med ett radiogränssnitt … som tillhandahåller anslutning för mobila enheter” (tillgängligt på engelska på följande adress: https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/Studies/5G/5G_Framework_Document.pdf?__blob=publicationFile&v=4).

5 I vissa medlemsstater håller man redan på att stänga ned 2G- och 3G-näten. Se exempelvis, när det gäller Irland, Commission for Communications Regulation, ”2G/3G Switch off: Guidance for Mobile Network Operators’ (Kommissionen för kommunikationsreglering, ”2G/3G-nedstängning: Vägledning för mobilnätsoperatörer”), ComReg 24/61, den 30 juli 2024, tillgänglig på engelska på följande adress: https://www.comreg.ie/media/2024/07/ComReg-2461.pdf.

6 Kommissionen uttryckte denna ståndpunkt redan år 2016 och utvecklade den senare. Se meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén, 5G för Europa: En handlingsplan, COM(2016) 588 final, s. 4, där kommissionen förklarar att ”[e]n ambitiös tidsplan för införandet av 5G är avgörande för att Europa ska ha en ledande ställning och i ett tidigt skede dra fördel av de nya marknadsmöjligheter som 5G ger, inte endast inom telekomsektorn utan i hela ekonomin och samhället”.

7 I punkt 2 a i kommissionens rekommendation (EU) 2019/534 av den 26 mars 2019, It-säkerhet i 5G-nät (EUT L 88, 2019, s. 42) (It-säkerhetsrekommendationen) definierar kommissionen 5G-nät som ”en uppsättning av alla relevanta nätinfrastrukturelement för mobil och trådlös kommunikationsteknik som används för konnektivitet och mervärdestjänster med avancerad prestanda, i form av t.ex. mycket höga datahastigheter och mycket hög datakapacitet, kommunikation med låg latens, ultrahög tillförlitlighet eller stöd till ett stort antal anslutna enheter. Detta kan inbegripa äldre nätelement som bygger på tidigare generationer av mobil och trådlös kommunikationsteknik såsom 4G eller 3G. 5G-näten bör anses inbegripa alla relevanta delar av nätet.”

8 Se, exempelvis, Europeiska revisionsrättens särskilda rapport från 2022, där följande anges: ”I slutet av 2018 användes uppskattningsvis 22 miljarder anslutna enheter världen över. Denna siffra förväntas öka till omkring 50 miljarder fram till 2030 och skapa ett massivt nät av sammankopplade enheter med allt från smarttelefoner till köksapparater. Den globala dataförbrukningen förväntas öka från 12 exabyte mobil datatrafik per månad 2017 till över 5 000 exabyte 2030.” Se Europeiska revisionsrätten, Utbyggnaden av 5G i EU: förseningar i nätutbyggnaden och säkerhetsproblem som fortfarande är olösta, Särskild rapport 03/2022, Europeiska unionens publikationsbyrå, Luxemburg, 2022, s. 7, tillgänglig på följande adress: https://www.eca.europa.eu/Lists/ECADocuments/SR22_03/SR_Security-5G-networks_SV.pdf.

9 Jag vill påpeka att även om det i begäran om förhandsavgörande och i klagandens yttrande anges att klaganden lämnade in sin ansökan om tillstånd den 23 mars 2022, framgår det av den estniska regeringens yttrande och en del handlingar i det nationella målet, inbegripet TTJA:s beslut nr 1–7/22–436 av den 25 november 2022, att nämnda ansökan ingavs den 18 mars 2022.

10 Denna lagtext finns tillgänglig i engelsk översättning på följande adress: https://www.riigiteataja.ee/en/eli/ee/Riigikogu/act/528102025002/consolide.

11 Dessa tolv kriterier är 1) att tillverkaren eller leverantören av underhålls- eller supporttjänster har sitt säte eller huvudkontor i ett land … som inte är medlem i Europeiska unionen, Nordatlantiska fördragsorganisationen [(Nato)] eller Organisationen för ekonomiskt samarbete och utveckling [(OECD)], 2) att den demokratiska rättsstatsprincipen inte iakttas eller de mänskliga rättigheter inte respekteras i det land där tillverkaren eller leverantören av underhålls- eller supporttjänster har sin hemvist, 3) att immateriella rättigheter, personuppgifter eller affärshemligheter som tillhör personer från andra länder inte skyddas i det land där tillverkaren eller leverantören av underhålls- eller supporttjänster har sin hemvist, 4) att det land där tillverkaren eller leverantören av underhålls- eller supporttjänster har sin hemvist uppvisar aggressivt beteende i cyberrymden, 5) att det land där tillverkaren eller leverantören av underhålls- eller supporttjänster har sin hemvist har tillskrivits cyberattacker av medlemsstaterna i Europeiska unionen, Nato eller OECD, 6) att tillverkaren eller leverantören av underhålls- eller supporttjänster lyder under regeringen eller statliga myndigheter i det land där denne har sin hemvist eller något annat främmande land som inte står under oberoende rättslig kontroll, 7) att det land där tillverkaren eller leverantören av underhålls- eller supporttjänster har sin hemvist eller annat främmande land kan ålägga denne att agera på ett sätt som utgör en risk för Estlands nationella säkerhet, 8) att tillverkaren eller leverantören av underhålls- eller supporttjänster inte bedriver sin ekonomiska verksamhet på grundval av marknadsbaserad konkurrens eller det inte har skapats tillräckliga förutsättningar för detta i det land där denne har sin hemvist, 9) att ägarstrukturen, organisationsstrukturen eller ledningsstrukturen hos tillverkaren eller leverantören av underhålls- eller supporttjänster inte är transparent, 10) att finansieringen av tillverkaren eller leverantören av underhålls- eller supporttjänster inte är transparent, 11) att de produkter eller tjänster som tillverkaren eller leverantören av underhålls- eller supporttjänster tillhandahåller är sårbara och inga adekvata säkerhetsåtgärder har vidtagits för att undanröja dessa sårbarheter, samt 12) att tillverkaren eller leverantören av underhålls- eller supporttjänster inte kan säkerställa fortsatta leveranser av produkter eller tjänster, undantaget till följd av force majeure.

12 Enligt ordalydelsen i 196 5 § ESS omfattar detta ”5G [non stand-alone] eller en senare generations standard för kommunikation via mobilnät”.

13 Såsom jag förstår ordalydelsen i artikel 196 5 i ESS kommer inga framtida tillstånd att utfärdas för 5G-teknik som har konstaterats utgöra ett hot mot den nationella säkerheten efter den 31 december 2025, medan det är möjligt att ansöka om tillstånd för fortsatt användning av 2G-, 3G- och 4G-maskinvara och -programvara efter den 31 december 2029, trots att det har konstaterats föreligga ett hot mot den nationella säkerheten.

14 Enligt 87 3 § punkt 2 ESS kan maskinvara eller programvara som används i ett kommunikationsnät utgöra ett hot mot den nationella säkerheten på grund av den höga risk som tillverkaren eller leverantören av underhålls- eller supporttjänster utgör (led 1 däri) eller på grund av den risk som maskinvarans eller programvarans tekniska egenskaper eller konfiguration innebär (led 2 däri).

15 Se fotnot 11 i förevarande förslag till avgörande. Vid förhandlingen förklarade den estniska regeringen att möjligheten till spionage, olaglig användning av information och data samt störningar i viktiga tjänster utgjorde exempel på de typer av risker som identifierats.

16 Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett informationsförfarande beträffande tekniska föreskrifter och beträffande föreskrifter för informationssamhällets tjänster (EUT L 241, 2015, s. 1).

17 Se, i detta hänseende, artikel 1.1 i den europeiska kodexen för elektronisk kommunikation. I så måtto innebär den europeiska kodexen för elektronisk kommunikation en omarbetning av ett antal rättsakter som antogs i form av ett paket i mars 2002, och som tidigare reglerade elektronisk kommunikation, i syfte att anpassa regelverket till den tekniska utvecklingen och utvecklingen på marknaden. Se, för ett liknande resonemang, dom av den 27 februari 2025, T - 2 (C‑562/23, EU:C:2025:126, punkt 37 och där angiven rättspraxis).

18 Såsom anges i skäl 5 i den europeiska kodexen för elektronisk kommunikation bör friheten att tillhandahålla elektroniska kommunikationsnät och kommunikationstjänster gälla med förbehåll endast för de villkor som fastställs däri.

19 Se artikel 2 led 1 i den europeiska kodexen för elektronisk kommunikation.

20 Min kursivering.

21 Se artikel 2 led 1 i den europeiska kodexen för elektronisk kommunikation.

22 Se artikel 2 led 4 i den europeiska kodexen för elektronisk kommunikation.

23 Begreppet elektroniskt kommunikationsnät definieras i artikel 2 led 1 i den europeiska kodexen för elektronisk kommunikation som ett ”system för överföring, oberoende av om det bygger på en permanent infrastruktur eller en centralt administrerad kapacitet eller inte, och i tillämpliga fall utrustning för koppling eller dirigering samt andra resurser, inbegripet nätelement som inte är aktiva, som medger överföring av signaler via tråd, via radio, på optisk väg eller via andra elektromagnetiska överföringsmedier, däribland satellitnät, fasta nät (kretskopplade och paketkopplade, inbegripet internet) och mobilnät, elnätssystem i den utsträckning dessa används för signalöverföring, nät för radio- och tv-utsändning samt kabel-tv-nät, oberoende av vilken typ av information som överförs”.

24 Se, för ett liknande resonemang, dom av den 5 juni 2019, Skype Communications (C‑142/18, EU:C:2019:460, punkt 49), och dom av den 13 juni 2019, Google (C‑193/18, EU:C:2019:498, punkterna 34, 35 och 41).

25 I artikel 4.2 FEU hänvisas till nationell säkerhet, medan uttrycket ”allmän ordning och säkerhet” används i artikel 1.3 c i den europeiska kodexen för elektronisk kommunikation. I skäl 6 i den europeiska kodexen för elektronisk kommunikation används dock uttrycket ”väsentliga säkerhetsintressen” vid sidan av hänvisningen till ”allmän ordning och säkerhet” inom ramen för formuleringen ”[d]etta direktiv påverkar inte”. Eftersom det inte finns något i själva ordalydelsen i den europeiska kodexen för elektronisk kommunikation i sig, dess syfte eller dess förarbeten som föranleder en annan bedömning (se förslaget till Europaparlamentets och rådets direktiv om inrättande av en europeisk kodex för elektronisk kommunikation (COM(2016) 590 final 2)), anser jag att den terminologi som används i texten i artikel 1.3 c däri bör tolkas så, att den inbegriper begreppen ”nationell säkerhet” och ”väsentliga säkerhetsintressen”. Detta ligger också i linje med språkbruket i föregångaren till den europeiska kodexen för elektronisk kommunikation, som redan innehöll en sådan formulering i sina skäl (även om det inte fanns någon artikel specifikt om detta). Se skäl 7 i Europaparlamentets och rådets direktiv 2002/21/EG av den 7 mars 2002 om ett gemensamt regelverk för elektroniska kommunikationsnät och kommunikationstjänster (ramdirektiv) (EGT L 108, 2002, s. 33) (nedan kallat direktiv 2002/21/EG).

26 Se, exempelvis, dom av den 26 oktober 1999, Sirdar (C‑273/97, EU:C:1999:523, punkt 15), dom av den 6 oktober 2020, Privacy International (C‑623/17, EU:C:2020:790, punkt 44 och där angiven rättspraxis), och dom av den 15 juli 2021, Ministrstvo za obrambo (C‑742/19, EU:C:2021:597, punkt 40 och där angiven rättspraxis).

27 Se, nyligen, dom av den 29 juli 2024, Protectus (C‑185/23, EU:C:2024:657, punkt 62 och där angiven rättspraxis).

28 I den bemärkelsen utgör förevarande mål ett intressant exempel på ”säkerhetiseringen” av unionsrätten. Se, beträffande utvecklingen av ett ”säkerhetsduopol” mellan medlemsstaterna och unionens politiska institutioner, där politiska riktlinjer övergår i åtgärder på nationell nivå och unionsnivå, Pilniok, A., ”Governance of the European Security Union”, i Dietrich, J.-H. och Pilniok, A., European Security Union: Law and Policies , Beck/Hart/Nomos, 2024, s. 18 och 19.

29 Se, bland annat, 2019 års rekommendation om it-säkerhet och meddelande från kommissionen, Genomförande av verktygslådan för 5G-cybersäkerhet, C(2023) 4049 final (nedan kallat meddelandet om genomförandet av 5G-verktygslådan).

30 Se NIS Cooperation Group, ”EU coordinated risk assessment of the cybersecurity of 5G networks” (samarbetsgruppen för nät- och informationssäkerhet, EU:s samordnade riskbedömning av 5G-nätverken), 2019 (nedan kallad den samordnade riskbedömningen), tillgänglig på engelska på följande adress: https://digital-strategy.ec.europa.eu/en/news/eu-wide-coordinated-risk-assessment-5g-networks-security. Se även NIS Cooperation Group ”Cybersecurity of 5G networks, EU Toolbox of risk mitigating measures (samarbetsgruppen för nät- och informationssäkerhet, It-säkerhet i 5G-nät, EU:s verktygslåda för riskreducerande åtgärder), 2020 (nedan kallad 5G-verktygslådan), tillgänglig på engelska på följande adress: https://digital-strategy.ec.europa.eu/en/library/cybersecurity-5g-networks-eu-toolbox-risk-mitigating-measures.

31 Dom av den 15 juli 2021 (C‑742/19, EU:C:2021:597).

32 Europaparlamentets och rådets direktiv av den 4 november 2003 (EUT L 299, 2003, s. 9).

33 Se dom av den 15 juli 2021, Ministrstvo za obrambo (C‑742/19, EU:C:2021:597, punkt 75).

34 Den franska regeringen har även påpekat att det inte är självklart att ett system med förhandstillstånd för maskinvara och programvara, såsom det som är omtvistat i det nationella målet, påverkar möjligheten att tillhandahålla sådana nät eller tjänster. Enligt nämnda regering innebär detta system inte på något sätt att telekomoperatörer generellt sett måste inhämta tillstånd för att kunna bedriva verksamhet med att tillhandahålla elektroniska kommunikationsnät och kommunikationstjänster.

35 Min kursivering.

36 Även om artikel 12.1 i den europeiska kodexen för elektronisk kommunikation är formulerad så, att medlemsstaterna inte får ”hindra” företag från att utöva friheten att tillhandahålla elektroniska kommunikationsnät och kommunikationstjänster, anser jag att denna formulering bör tolkas i vidare bemärkelse som ett förbud för medlemsstaterna att införa några som helst hinder för tillhandahållandet av sådana nät och tjänster. Detta följer av att målet med den europeiska kodexen för elektronisk kommunikation är att upprätta en inre marknad för elektroniska kommunikationsnät och kommunikationstjänster. Denna slutsats kan även dras av de olika språkversionerna av artikel 12.1 i den europeiska kodexen för elektronisk kommunikation, där uttryck som betyder både ”hindra” och ”förhindra” används. Jämför, i detta hänseende, exempelvis, den tyska språkversionen, som använder begreppet ”hindern”, den spanska språkversionen, som använder begreppet ”no impedirán”, den franska språkversionen, som använder begreppet ”n’empêchent pas”, och den kroatiska språkversionen, som använder begreppet ”ne smiju sprečavati”.

37 Föreställ er en situation där en medlemsstat beslutar att all maskinvara och programvara som används i sådana nätverk måste tillverkas av företag som har sin hemvist i den staten för att säkerställa säkerheten för näten. Denna typ av protektionistisk åtgärd skulle uppenbart strida mot friheten att tillhandahålla nät och tjänster, men skulle vara berättigad om den europeiska kodexen för elektronisk kommunikation tolkades så, att alla åtgärder som antogs för att uppnå målet om säkerhet för nät och tjänster automatiskt skulle anses godtagbara och undantas från närmare granskning.

38 Se, exempelvis, dom av den 23 februari 1995, Bordessa m.fl. (C‑358/93 och C‑416/93, EU:C:1995:54, punkt 25).

39 Se, exempelvis, dom av den 4 december 1986, kommissionen/Tyskland (205/84, EU:C:1986:463, punkt 28).

40 Se, exempelvis, dom av den 14 mars 2000, Église de scientologie (C‑54/99, EU:C:2000:124, punkt 14).

41 Se, exempelvis, dom av den 1 juni 2010, Blanco Pérez och Chao Gómez (C‑570/07 och C‑571/07, EU:C:2010:300, punkt 54).

42 Den estniska regeringen hänvisar till den anmälan av ett utkast till tekniska föreskrifter som kommissionen mottog den 20 oktober 2020 och som finns tillgängligt på följande adress: https://technical-regulation-information-system.ec.europa.eu/sv/notification/15441.

43 Se, särskilt, dom av den 30 april 1996, CIA Security International (C‑194/94, EU:C:1996:172, punkt 54), och dom av den 21 december 2023, Papier Mettler Italia (C‑86/22, EU:C:2023:1023, punkt 44).

44 Se, bland annat, dom av den 15 juli 2021, Ministrstvo za obrambo (C‑742/19, EU:C:2021:597, punkt 31 och där angiven rättspraxis).

45 Se, i detta hänseende, skälen 5 och 37 i Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) (EUT L 333, 2022, s. 80) (nedan kallat NIS 2-direktivet).

46 Se, för ett liknande resonemang, dom av den 20 juni 2002, Radiosistemi (C‑388/00 och C‑429/00, EU:C:2002:390, punkt 44). I alla händelser har det ända sedan domen av den 10 juli 1984, Campus Oil m.fl. (72/83, EU:C:1984:256, särskilt punkterna 34–36), stått klart att begreppet allmän säkerhet i rättspraxis tolkas som något som går utöver lag och ordning och tillgripandet av poliskår och militär. I den domen slog EU-domstolen fast att detta begrepp även kan knytas till andra typer av hot mot en medlemsstats institutioner, dess väsentliga offentliga verksamheter och samhällets behov mer allmänt.

47 Se punkterna 32–42 i förevarande förslag till avgörande.

48 Se, bland annat, dom av den 14 mars 2000, Église de scientologie (C‑54/99, EU:C:2000:124, punkt 17 och där angiven rättspraxis), och dom av den 18 juni 2020, kommissionen/Ungern (Insyn i föreningar) (C‑78/18, EU:C:2020:476, punkt 91 och där angiven rättspraxis).

49 Se, analogt, dom av den 3 september 2008, Kadi och Al Barakaat International Foundation/rådet och kommissionen (C‑402/05 P och C‑415/05 P, EU:C:2008:461, punkt 343) (där det förklaras att en åtgärd inte kan undgå all kontroll från EU-domstolens sida enbart på grund av att den rättsakt genom vilken åtgärden införs rör nationell säkerhet).

50 Se, analogt, dom av den 26 februari 2019, X (Mellanliggande bolag med hemvist i tredjeland) (C‑135/17, EU:C:2019:136, punkt 90 och där angiven rättspraxis).

51 Se, för ett liknande resonemang, dom av den 14 mars 2000, Église de scientologie (C‑54/99, EU:C:2000:124, punkt 22), och dom av den 18 juni 2020, kommissionen/Ungern (Insyn i föreningar) (C‑78/18, EU:C:2020:476, punkterna 86 och 93).

52 Se, analogt, dom av den 10 mars 2016, Safe Interenvíos (C‑235/14, EU:C:2016:154, punkt 104) (där det förklaras att när det gäller penningtvätt kan en bedömning av huruvida en kund utgör en hög risk inbegripa typen av kund, land, produkt eller transaktion).

53 Se, i detta hänseende, fotnot 11 i förevarande förslag till avgörande.

54 Se, analogt, dom av den 21 november 1991, Technische Universität München (C‑269/90, EU:C:1991:438, punkterna 13 och 14).

55 Se, för ett liknande resonemang, dom av den 4 juni 2013, ZZ (C‑300/11, EU:C:2013:363, punkt 57 och där angiven rättspraxis).

56 Verktygslådan är resultatet av ett av de mål som kommissionen fastställde i it-säkerhetsrekommendationen (se avsnitt 1 c i denna rekommendation, där det anges att samarbetsgruppen för nät- och informationssäkerhet/NIS-samarbetsgruppen ska ”ange en gemensam uppsättning tänkbara åtgärder för att minska it-säkerhetsrisker förknippade med den infrastruktur som ligger till grund för det digitala ekosystemet, särskilt 5G-näten”).

57 Se fotnot 30 i förevarande förslag till avgörande. NIS-samarbetsgruppen utgör en kommitté som inrättades med stöd av artikel 11.1 i Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (EUT L 194, 2016, s. 1). Detta direktiv har senare ersatts av NIS 2-direktivet, men kommittén existerar alltjämt (se artikel 14.1 i NIS 2-direktivet).

58 Se meddelandet om genomförandet av 5G-verktygslådan, s. 2.

59 Se meddelandet om genomförandet av 5G-verktygslådan, s. 1. För liknande leverantörsspecifika sårbarhetskriterier, se även s. 42 i 5G-verktygslådan.

60 Se dom av den 10 juli 2025, INTERZERO m.fl. (C‑254/23, EU:C:2025:569, punkt 144 och där angiven rättspraxis). Se, i detta avseende, också dom av den 5 maj 2022, BPC Lux 2 m.fl. (C‑83/20, EU:C:2022:346, punkt 38 och där angiven rättspraxis).

61 Se, för ett liknande resonemang, dom av den 10 juli 2025, INTERZERO m.fl. (C‑254/23, EU:C:2025:569, punkterna 145 och 146 och där angiven rättspraxis).

62 Se, för ett liknande resonemang, dom av den 10 september 2024, Neves 77 Solutions (C‑351/22, EU:C:2024:723, punkterna 82 och 88 och där angiven rättspraxis).

63 Se, analogt, dom av den 10 juli 2025, INTERZERO m.fl. (C‑254/23, EU:C:2025:569, punkt 146 och där angiven rättspraxis) (där det förklaras att ”intressen knutna till utnyttjandet av en licens utgör egendomsintressen som åtnjuter skydd enligt nämnda artikel 1 i protokoll nr 1 [till Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna]”, vilket innebär att ”[e]tt återkallande ex lege av ett tillstånd för innehavaren att bedriva ekonomisk verksamhet … således [kan] bedömas som en inskränkning av den rätt till egendom som garanteras i den artikeln, vilken i egenskap av lagstiftning angående nyttjande egendom omfattas av det andra stycket i den artikeln”).

64 Se, för ett liknande resonemang, dom av den 10 juli 2025, INTERZERO m.fl. (C‑254/23, EU:C:2025:569, punkt 155 och där angiven rättspraxis).

65 Se, för ett liknande resonemang, dom av den 10 juli 2025, INTERZERO m.fl. (C‑254/23, EU:C:2025:569, punkterna 155–156 och där angiven rättspraxis).

66 Se, senast, dom av den 18 december 2025, Slagelse Almennyttige Boligselskab, Afdeling Schackenborgvænge (C‑417/23, EU:C:2025:1017, punkt 168 och där angiven rättspraxis).

67 Se, för ett liknande resonemang, dom av den 10 juli 2025, INTERZERO m.fl. (C‑254/23, EU:C:2025:569, punkt 158 och där angiven rättspraxis).