Articolo 3

Definizioni

Ai fini del presente regolamento si applicano le definizioni seguenti:

  • (1) «prodotto con elementi digitali»: qualsiasi prodotto software o hardware e le relative soluzioni di elaborazione dati da remoto, compresi i componenti software o hardware immesso sul mercato separatamente
  • (2) «elaborazione dati da remoto»: qualsiasi elaborazione dati a distanza per la quale il software è stato progettato e sviluppato dal fabbricante o sotto la sua responsabilità e la cui assenza impedirebbe al prodotto con elementi digitali di svolgere una delle sue funzioni
  • (3) «cibersicurezza»: la cibersicurezza quale definita all’articolo 2, punto 1), del regolamento (UE) 2019/881
  • (4) «software»: la parte di un sistema di informazione elettronico costituita da un codice informatico
  • (5) «hardware»: un sistema di informazione elettronico fisico, o parti di esso, in grado di trattare, conservare o trasmettere dati digitali
  • (6) «componente»: il software o l’hardware destinato a essere integrato in un sistema di informazione elettronico
  • (7) «sistema di informazione elettronico»: un sistema, comprese le apparecchiature elettriche o elettroniche, in grado di trattare, conservare o trasmettere dati digitali
  • (8) «connessione logica»: una rappresentazione virtuale di una connessione dati realizzata attraverso un’interfaccia software
  • (9) «connessione fisica»: qualsiasi connessione tra sistemi di informazione elettronici o componenti realizzata con mezzi fisici, anche attraverso interfacce elettriche, ottiche o meccaniche, fili od onde radio
  • (10) «connessione indiretta»: una connessione a un dispositivo o a una rete che non avviene direttamente, ma piuttosto nell’ambito di un sistema più ampio che è direttamente collegabile a tale dispositivo o rete
  • (11) «terminale»: qualsiasi dispositivo connesso a una rete e che funge da punto di accesso a tale rete
  • (12) «operatore economico»: il fabbricante, il rappresentante autorizzato, l’importatore o il distributore, il fornitore di servizi di logistica o un’altra persona fisica o giuridica soggetta a obblighi in relazione alla fabbricazione di prodotti con elementi digitali o in relazione alla messa a disposizione sul mercato di prodotti con elementi digitali in conformità del presente regolamento
  • (13) «fabbricante»: una persona fisica o giuridica che sviluppa o fabbrica prodotti con elementi digitali o che fa progettare, sviluppare o fabbricare prodotti con elementi digitali e li commercializza con il proprio nome o marchio, a titolo oneroso, di monetizzazione o gratuito
  • (14) «gestore di software open source»: una persona giuridica, diversa dal fabbricante, che ha la finalità o l’obiettivo di fornire un sostegno sistematico e duraturo per lo sviluppo di prodotti specifici con elementi digitali, che si qualificano come software liberi e open source e destinati ad attività commerciali, e che garantisce la sostenibilità economica di tali prodotti
  • (15) «rappresentante autorizzato»: una persona fisica o giuridica stabilita nell’Unione che abbia ricevuto da un fabbricante un mandato scritto che la autorizza ad agire per suo conto in relazione a determinati compiti
  • (16) «importatore»: una persona fisica o giuridica stabilita nell’Unione che immette sul mercato un prodotto con elementi digitali recante il nome o il marchio di una persona fisica o giuridica stabilita al di fuori dell’Unione
  • (17) «distributore»: una persona fisica o giuridica nella catena di approvvigionamento, diversa dal fabbricante o dall’importatore, che mette a disposizione un prodotto con elementi digitali sul mercato dell’Unione senza modificarne le proprietà
  • (18) «consumatore»: una persona fisica che agisce per scopi estranei alla propria attività commerciale, imprenditoriale, artigianale o professionale
  • (19) «microimprese», «piccole imprese» e «medie imprese», rispettivamente: le micro imprese, le piccole imprese e le medie imprese quali definite nell’allegato alla raccomandazione 2003/361/CE
  • (20) «periodo di assistenza»: il periodo durante il quale un fabbricante garantisce che le vulnerabilità di un prodotto con elementi digitali siano gestite in modo efficace e conformemente ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte II
  • (21) «immissione sul mercato»: la prima messa a disposizione di un prodotto con elementi digitali sul mercato dell’Unione
  • (22) «messa a disposizione sul mercato»: la fornitura, a titolo oneroso o gratuito, di un prodotto con elementi digitali perché sia distribuito o usato sul mercato dell’Unione nel corso di un’attività commerciale
  • (23) «finalità prevista»: l’uso di un prodotto con elementi digitali previsto dal fabbricante, compresi il contesto e le condizioni d’uso specifici, come dettagliati nelle informazioni comunicate dal fabbricante nelle istruzioni per l’uso, nel materiale promozionale o di vendita e nelle dichiarazioni, nonché nella documentazione tecnica
  • (24) «uso ragionevolmente prevedibile»: un uso che non corrisponde necessariamente alla finalità prevista dal fabbricante nelle istruzioni per l’uso, nel materiale promozionale o di vendita e nelle dichiarazioni, nonché nella documentazione tecnica, ma che è probabile possa derivare da un comportamento umano o da operazioni o interazioni tecniche ragionevolmente prevedibili
  • (25) «uso improprio ragionevolmente prevedibile»: l’uso di un prodotto con elementi digitali in un modo non conforme alla sua finalità prevista, ma che può derivare da un comportamento umano o da un’interazione con altri sistemi ragionevolmente prevedibili
  • (26) «autorità di notifica»: l’autorità nazionale responsabile dell’istituzione e dell’esecuzione delle procedure necessarie per la valutazione, la designazione e la notifica degli organismi di valutazione della conformità e per il loro monitoraggio
  • (27) «valutazione della conformità»: il processo atto a verificare il rispetto dei requisiti essenziali di cibersicurezza di cui all’allegato I
  • (28) «organismo di valutazione della conformità»: organismo di valutazione della conformità quale definito all’articolo 2, punto 13), del regolamento (CE) n. 765/2008
  • (29) «organismo notificato»: un organismo di valutazione della conformità designato in conformità del presente regolamento e di altre pertinenti normative di armonizzazione dell’Unione
  • (30) «modifica sostanziale»: una modifica del prodotto con elementi digitali a seguito della sua immissione sul mercato che incide sulla conformità del prodotto con elementi digitali ai requisiti essenziali di cibersicurezza di cui all’allegato I, parte I, o che comporta una modifica della finalità prevista per la quale il prodotto con elementi digitali è stato valutato
  • (31) «marcatura CE»: una marcatura mediante cui un fabbricante indica che un prodotto con elementi digitali e i processi messi in atto dal fabbricante sono conformi ai requisiti essenziali di cibersicurezza di cui all’allegato I e ad altre normative di armonizzazione applicabili dell’Unione e che ne prevedono l’apposizione
  • (32) «normativa di armonizzazione dell’Unione»: la normativa dell’Unione elencata nell’allegato I del regolamento (UE) 2019/1020 e qualsiasi altra normativa dell’Unione che armonizza le condizioni di commercializzazione dei prodotti cui si applica tale regolamento
  • (33) «autorità di vigilanza del mercato»: un’autorità di vigilanza del mercato quale definita all’articolo 3, punto 4), del regolamento (UE) 2019/1020
  • (34) «norma internazionale»: una norma internazionale quale definita all’articolo 2, punto 1), lettera a), del regolamento (UE) n. 1025/2012
  • (35) «norma europea»: una norma europea quale definita all’articolo 2, punto 1), lettera b), del regolamento (UE) n. 1025/2012
  • (36) «norma armonizzata»: una norma armonizzata, quale definita all’articolo 2, punto 1), lettera c), del regolamento (UE) n. 1025/2012
  • (37) «rischio di cibersicurezza»: la potenziale perdita o perturbazione causata da un incidente da esprimersi come combinazione dell’entità di tale perdita o perturbazione e della probabilità che si verifichi l’incidente
  • (38) «rischio di cibersicurezza significativo»: un rischio di cibersicurezza che, in base alle sue caratteristiche tecniche, si può presumere abbia una probabilità elevata di provocare un incidente che potrebbe avere un impatto negativo grave, causando anche notevoli perdite o perturbazioni materiali o non materiali
  • (39) «distinta base del software»: un registro formale contenente i dettagli e le relazioni della catena di approvvigionamento dei componenti inclusi negli elementi software di un prodotto con elementi digitali
  • (40) «vulnerabilità»: un punto debole, una suscettibilità o un difetto di prodotti TIC o servizi TIC che può essere sfruttato da una minaccia informatica
  • (41) «vulnerabilità sfruttabile»: una vulnerabilità che può essere utilizzata efficacemente da un avversario in condizioni operative pratiche
  • (42) «vulnerabilità attivamente sfruttata»: una vulnerabilità per la quale esistono prove attendibili che un soggetto malintenzionato l’ha sfruttata in un sistema senza l’autorizzazione del proprietario del sistema
  • (43) «incidente»: un incidente quale definito all’articolo 6, punto 6), della direttiva (UE) 2022/2555
  • (44) «incidente che ha un impatto sulla sicurezza del prodotto con elementi digitali»: un incidente che incide negativamente o è in grado di incidere negativamente sulla capacità di un prodotto con elementi digitali di proteggere la disponibilità, l’autenticità, l’integrità o la riservatezza di dati o funzioni
  • (45) «quasi incidente»: un quasi incidente quale definito all’articolo 6, punto 5), della direttiva (UE) 2022/2555
  • (46) «minaccia informatica»: una minaccia informatica quale definita all’articolo 2, punto 8), del regolamento (UE) 2019/881
  • (47) «dati personali»: i dati personali ai sensi dell’articolo 4, punto 1), del regolamento (UE) 2016/679
  • (48) «software libero e open source»: un software il cui codice sorgente è condiviso apertamente e che è messo a disposizione nell’ambito di una licenza gratuita e open source che prevede tutti i diritti per renderlo liberamente accessibile, utilizzabile, modificabile e ridistribuibile
  • (49) «richiamo»: un richiamo ai sensi dell’articolo 3, punto 22), del regolamento (UE) 2019/1020
  • (50) «ritiro»: un ritiro quale definito all’articolo 3, punto 23), del regolamento (UE) 2019/1020
  • (51) «CSIRT designato come coordinatore»: un CSIRT designato come coordinatore a norma dell’articolo 12, paragrafo 1, della direttiva (UE) 2022/2555