Article 3

Définitions

Aux fins du présent règlement, on entend par:

  • (1) «produit comportant des éléments numériques»: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément
  • (2) «traitement de données à distance»: tout traitement de données à distance pour lequel le logiciel est conçu et développé par le fabricant ou sous la responsabilité de ce dernier, et dont l’absence empêcherait le produit comportant des éléments numériques d’exécuter une de ses fonctions
  • (3) «cybersécurité»: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881
  • (4) «logiciel»: la partie d’un système d’information électronique qui consiste en un code informatique
  • (5) «matériel informatique»: un système d’information électronique physique, ou des parties de celui-ci, capable de traiter, de stocker ou de transmettre des données numériques
  • (6) «composant»: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique
  • (7) «système d’information électronique»: un système, y compris des équipements électriques ou électroniques, capable de traiter, de stocker ou de transmettre des données numériques
  • (8) «connexion logique»: une représentation virtuelle d’une connexion de données mise en œuvre au moyen d’une interface logicielle
  • (9) «connexion physique»: une connexion entre des systèmes d’information électroniques ou des composants mis en œuvre par des moyens physiques, y compris par des interfaces électriques, optiques ou mécaniques, des fils ou des ondes radio
  • (10) «connexion indirecte»: une connexion à un dispositif ou à un réseau, qui n’est pas établie directement, mais plutôt dans le cadre d’un système plus vaste qui peut être directement connecté à ce dispositif ou à ce réseau
  • (11) «point terminal»: tout dispositif connecté à un réseau et servant de point d’entrée à ce réseau
  • (12) «opérateur économique»: le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement
  • (13) «fabricant»: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit
  • (14) «intendant de logiciels ouverts»: une personne morale, autre que le fabricant, qui a pour objectif ou finalité de fournir un soutien systématique et continu au développement de produits spécifiques comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts et sont destinés à des activités commerciales, et qui assure la viabilité de ces produits
  • (15) «mandataire»: une personne physique ou morale établie dans l’Union ayant reçu mandat écrit du fabricant pour agir en son nom aux fins de l’accomplissement de tâches déterminées
  • (16) «importateur»: une personne physique ou morale établie dans l’Union qui met sur le marché un produit comportant des éléments numériques, lequel porte le nom ou la marque d’une personne physique ou morale établie en dehors de l’Union
  • (17) «distributeur»: une personne physique ou morale faisant partie de la chaîne d’approvisionnement, autre que le fabricant ou l’importateur, qui met un produit comportant des éléments numériques à disposition sur le marché de l’Union sans altérer ses propriétés
  • (18) «consommateur»: une personne physique qui agit à des fins qui n’entrent pas dans le cadre de son activité commerciale, industrielle, artisanale ou libérale
  • (19) «microentreprises», «petites entreprises» et «moyennes entreprises»: respectivement les microentreprises, les petites entreprises et les moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE
  • (20) «période d’assistance»: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II
  • (21) «mise sur le marché»: la première mise à disposition d’un produit comportant des éléments numériques sur le marché de l’Union
  • (22) «mise à disposition sur le marché»: la fourniture d’un produit comportant des éléments numériques destiné à être distribué ou utilisé sur le marché de l’Union dans le cadre d’une activité commerciale, à titre onéreux ou gratuit
  • (23) «utilisation prévue»: l’utilisation à laquelle un produit comportant des éléments numériques est destiné par le fabricant, y compris le contexte et les conditions spécifiques d’utilisation, telles que précisées dans les informations communiquées par le fabricant dans la notice d’utilisation, dans les indications publicitaires ou de vente, ainsi que dans la documentation technique
  • (24) «utilisation raisonnablement prévisible»: une utilisation qui n’est pas nécessairement celle qui est prévue par le fabricant et qui figure dans la notice d’utilisation, dans les indications publicitaires ou de vente, ainsi que dans la documentation technique, mais qui est susceptible de résulter d’un comportement humain, d’opérations techniques ou d’interactions raisonnablement prévisibles
  • (25) «mauvaise utilisation raisonnablement prévisible»: l’utilisation d’un produit comportant des éléments numériques d’une manière qui n’est pas conforme à son utilisation prévue, mais qui peut résulter d’un comportement humain ou d’une interaction avec d’autres systèmes raisonnablement prévisibles
  • (26) «autorité notifiante»: l’autorité nationale chargée de mettre en place et d’accomplir les procédures nécessaires à l’évaluation, à la désignation et à la notification des organismes d’évaluation de la conformité et à leur contrôle
  • (27) «évaluation de la conformité»: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées
  • (28) «organisme d’évaluation de la conformité»: un organisme d’évaluation de la conformité au sens de l’article 2, point 13), du règlement (CE) no 765/2008
  • (29) «organisme notifié»: un organisme d’évaluation de la conformité désigné en application de l’article 43 et de toute autre législation d’harmonisation de l’Union pertinente
  • (30) «modification substantielle»: une modification apportée au produit comportant des éléments numériques à la suite de sa mise sur le marché, qui a une incidence sur la conformité du produit comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, ou qui entraîne une modification de l’utilisation prévue pour laquelle le produit comportant des éléments numériques a été évalué
  • (31) «marquage CE»: un marquage par lequel un fabricant indique qu’un produit comportant des éléments numériques et les processus mis en place par le fabricant sont conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I et toute autre législation d’harmonisation de l’Union applicable prévoyant son apposition
  • (32) «législation d’harmonisation de l’Union»: la législation de l’Union énumérée à l’annexe I du règlement (UE) 2019/1020 et toute autre législation de l’Union harmonisant les conditions de commercialisation des produits auxquels ledit règlement s’applique
  • (33) «autorité de surveillance du marché»: une autorité de surveillance du marché au sens de l’article 3, point 4), du règlement (UE) 2019/1020
  • (34) «norme internationale»: une norme internationale au sens de l’article 2, point 1) a), du règlement (UE) no 1025/2012
  • (35) «norme européenne»: une norme européenne au sens de l’article 2, point 1) b), du règlement (UE) no 1025/2012
  • (36) «norme harmonisée»: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012
  • (37) «risque de cybersécurité»: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise
  • (38) «risque de cybersécurité important»: un risque de cybersécurité qui, en raison de ses caractéristiques techniques, peut être présumé hautement susceptible de donner lieu à un incident pouvant avoir des répercussions négatives graves, notamment en causant une perte ou une perturbation matérielle ou immatérielle considérable
  • (39) «nomenclature des logiciels»: un document officiel contenant les détails et les relations avec la chaîne d’approvisionnement des différents composants utilisés dans la fabrication d’un produit comportant des éléments numériques
  • (40) «vulnérabilité»: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace
  • (41) «vulnérabilité exploitable»: une vulnérabilité susceptible d’être utilisée efficacement par un adversaire en conditions de fonctionnement effectives
  • (42) «vulnérabilité activement exploitée»: une vulnérabilité pour laquelle il existe des preuves fiables qu’elle a été exploitée par un acteur malveillant dans un système sans l’autorisation du propriétaire du système
  • (43) «incident»: un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555
  • (44) «incident ayant des répercussions sur la sécurité du produit comportant des éléments numériques»: un incident qui entache ou est susceptible d’entacher la capacité d’un produit comportant des éléments numériques à protéger la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données ou fonctions
  • (45) «incident évité»: un incident évité au sens de l’article 6, point 5), de la directive (UE) 2022/2555
  • (46) «cybermenace»: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881
  • (47) «données à caractère personnel»: des données à caractère personnel au sens de l’article 4, point 1), du règlement (UE) 2016/679
  • (48) «logiciel libre et ouvert»: un logiciel dont le code source est partagé de manière ouverte et qui est mis à disposition sous licence libre et ouverte prévoyant tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable
  • (49) «rappel»: un rappel au sens de l’article 3, point 22), du règlement (UE) 2019/1020
  • (50) «retrait»: un retrait au sens de l’article 3, point 23), du règlement (UE) 2019/1020
  • (51) «CSIRT désigné comme coordinateur»: un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555