Artikel 3

Definities

Voor de toepassing van deze verordening wordt verstaan onder:

  • (1) “product met digitale elementen”: een software- of hardwareproduct en zijn oplossingen voor gegevensverwerking op afstand, met inbegrip van software- of hardwarecomponenten die afzonderlijk in de handel worden gebracht
  • (2) “gegevensverwerking op afstand”: gegevensverwerking vanop een afstand waarvoor de software is ontworpen en ontwikkeld door de fabrikant of onder de verantwoordelijkheid van de fabrikant, en bij gebreke waarvan het product met digitale elementen een van zijn functies niet zou kunnen vervullen
  • (3) “cyberbeveiliging”: cyberbeveiliging zoals gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881
  • (4) “software”: het deel van een elektronisch informatiesysteem dat uit computercode bestaat
  • (5) “hardware”: een fysiek elektronisch informatiesysteem, of delen daarvan, dat digitale gegevens kan verwerken, opslaan of verzenden
  • (6) “component”: software of hardware die bedoeld is om in een elektronisch informatiesysteem te worden geïntegreerd
  • (7) “elektronisch informatiesysteem”: een systeem, met inbegrip van elektrische of elektronische apparatuur, dat digitale gegevens kan verwerken, opslaan of verzenden
  • (8) “logische verbinding”: een virtuele weergave van een gegevensverbinding die wordt geïmplementeerd via een software-interface
  • (9) “fysieke verbinding”: een verbinding tussen elektronische informatiesystemen of componenten die met behulp van fysieke middelen tot stand wordt gebracht, onder meer via elektrische, optische of mechanische interfaces, draden of radiogolven
  • (10) “indirecte verbinding”: een verbinding met een apparaat of netwerk die niet direct plaatsvindt, maar eerder als onderdeel van een groter systeem dat een directe verbinding kan maken met dat apparaat of netwerk
  • (11) “endpoint”: een apparaat dat op een netwerk is aangesloten en als toegangspunt tot dat netwerk fungeert
  • (12) “marktdeelnemer”: de fabrikant, de gemachtigde vertegenwoordiger, de importeur, de distributeur of een andere natuurlijke of rechtspersoon op wie overeenkomstig deze verordening verplichtingen van toepassing zijn ten aanzien van de vervaardiging van producten met digitale elementen of het op de markt aanbieden van producten met digitale elementen
  • (13) “fabrikant”: een natuurlijke of rechtspersoon die producten met digitale elementen ontwikkelt of vervaardigt of die producten met digitale elementen laat ontwerpen, ontwikkelen of vervaardigen, en die onder zijn naam of merk tegen betaling, met een verdienmodel of gratis in de handel brengt
  • (14) “opensourcesoftwaresteward”: een rechtspersoon die geen fabrikant is en die als oogmerk of doelstelling heeft om systematisch en duurzaam ondersteuning te verlenen voor de ontwikkeling van specifieke producten met digitale elementen die als vrije en opensourcesoftware kunnen worden aangemerkt en voor handelsactiviteiten bestemd zijn, en die de levensvatbaarheid van die producten waarborgt
  • (15) “gemachtigde vertegenwoordiger”: een in de Unie gevestigde natuurlijke of rechtspersoon die schriftelijk door een fabrikant is gemachtigd om namens hem specifieke taken te vervullen
  • (16) “importeur”: een in de Unie gevestigde natuurlijke of rechtspersoon die een product met digitale elementen in de handel brengt dat de naam of het merk van een buiten de Unie gevestigde natuurlijke of rechtspersoon draagt
  • (17) “distributeur”: een andere natuurlijke of rechtspersoon in de toeleveringsketen dan de fabrikant of de importeur, die een product met digitale elementen in de Unie op de markt aanbiedt zonder de eigenschappen daarvan te beïnvloeden
  • (18) “consument”: een natuurlijke persoon die handelt met doeleinden die geen verband houden met de handels-, bedrijfs-, ambachts- of beroepsactiviteit van die persoon
  • (19) “micro-ondernemingen”, “kleine ondernemingen” en “middelgrote ondernemingen”: respectievelijk micro-ondernemingen, kleine ondernemingen en middelgrote ondernemingen zoals gedefinieerd in de bijlage bij Aanbeveling 2003/361/EG
  • (20) “ondersteuningsperiode”: de periode gedurende welke een fabrikant ervoor moet zorgen dat kwetsbaarheden van een product met digitale elementen doeltreffend en in overeenstemming met de essentiële cyberbeveiligingsvereisten van deel II van bijlage I worden aangepakt
  • (21) “in de handel brengen”: een product met digitale elementen voor het eerst in de Unie op de markt aanbieden
  • (22) “op de markt aanbieden”: het in het kader van een handelsactiviteit, al dan niet tegen betaling, verstrekken van een product met digitale elementen met het oog op distributie of gebruik op de markt van de Unie
  • (23) “beoogde doel”: het gebruik waarvoor een product met digitale elementen door de fabrikant is bedoeld, met inbegrip van de specifieke context en voorwaarden van het gebruik, zoals gespecificeerd in de informatie die door de fabrikant in de gebruiksinstructies, reclame- of verkoopmaterialen en verklaringen, alsook in de technische documentatie is verstrekt
  • (24) “redelijkerwijs voorzienbaar gebruik”: gebruik dat niet noodzakelijk het beoogde doel is dat door de fabrikant in de gebruiksinstructies, reclame- of verkoopmaterialen en verklaringen, alsook in de technische documentatie is verstrekt, maar dat waarschijnlijk voortvloeit uit redelijkerwijs voorzienbaar menselijk gedrag of redelijkerwijs voorzienbare technische handelingen of interacties
  • (25) “redelijkerwijs voorzienbaar verkeerd gebruik”: het gebruik van een product met digitale elementen op een wijze die niet in overeenstemming is met het beoogde doel, maar die kan voortvloeien uit redelijkerwijs te voorzien menselijk gedrag of de redelijkerwijs voorzienbare interactie met andere systemen
  • (26) “aanmeldende autoriteit”: de nationale autoriteit die verantwoordelijk is voor het opzetten en uitvoeren van de noodzakelijke procedures voor de beoordeling, aanwijzing en aanmelding van de conformiteitsbeoordelingsinstanties en de monitoring daarvan
  • (27) “conformiteitsbeoordeling”: het proces waarbij wordt nagegaan of aan de essentiële cyberbeveiligingsvereisten van bijlage I is voldaan
  • (28) “conformiteitsbeoordelingsinstantie”: een conformiteitsbeoordelingsinstantie zoals gedefinieerd in artikel 2, punt 13, van Verordening (EG) nr. 765/2008
  • (29) “aangemelde instantie”: een conformiteitsbeoordelingsinstantie die overeenkomstig artikel 43 en andere relevante harmonisatiewetgeving van de Unie is aangewezen
  • (30) “ingrijpende wijziging”: een wijziging van het product met digitale elementen nadat het in de handel is gebracht, die gevolgen heeft voor de conformiteit van het product met digitale elementen met de essentiële cyberbeveiligingsvereisten van deel I van bijlage I of leidt tot een wijziging van het beoogde doel waarvoor het product met digitale elementen is beoordeeld
  • (31) “CE-markering”: een markering waarmee een fabrikant aangeeft dat een product met digitale elementen en de door de fabrikant ingestelde processen in overeenstemming zijn met de essentiële cyberbeveiligingsvereisten van bijlage I en andere toepasselijke harmonisatiewetgeving van de Unie die in het aanbrengen ervan voorziet
  • (32) “harmonisatiewetgeving van de Unie”: harmonisatiewetgeving van de Unie die is opgenomen in bijlage I bij Verordening (EU) 2019/1020 en alle andere Uniewetgeving tot harmonisering van de voorwaarden voor het verhandelen van producten waarop die verordening van toepassing is
  • (33) “markttoezichtautoriteit”: een markttoezichtautoriteit zoals gedefinieerd in artikel 3, punt 4, van Verordening (EU) 2019/1020
  • (34) “internationale norm”: een internationale norm zoals gedefinieerd in artikel 2, punt 1, a), van Verordening (EU) nr. 1025/2012
  • (35) “Europese norm”: een Europese norm zoals gedefinieerd in artikel 2, punt 1, b), van Verordening (EU) nr. 1025/2012
  • (36) “geharmoniseerde norm”: een geharmoniseerde norm zoals gedefinieerd in artikel 2, punt 1, c), van Verordening (EU) nr. 1025/2012
  • (37) “cyberbeveiligingsrisico”: de mogelijkheid van verlies of verstoring als gevolg van een incident; dat wordt uitgedrukt als een combinatie van de omvang van een dergelijk verlies of een dergelijke verstoring en de waarschijnlijkheid dat het incident zich voordoet
  • (38) “significant cyberbeveiligingsrisico”: een cyberbeveiligingsrisico waarvan op basis van de technische kenmerken kan worden aangenomen dat het zeer waarschijnlijk is dat zich een incident voordoet met ernstige negatieve gevolgen, onder meer door aanzienlijke materiële of immateriële verliezen of verstoringen te veroorzaken
  • (39) “softwarestuklijst”: een formeel document met gegevens en relaties in de toeleveringsketen van componenten die zijn opgenomen in de software-elementen van een product met digitale elementen
  • (40) “kwetsbaarheid”: een zwakheid, vatbaarheid of gebrek van een product met digitale elementen die/dat door een cyberdreiging kan worden uitgebuit
  • (41) “uitbuitbare kwetsbaarheid”: een kwetsbaarheid die onder praktische operationele omstandigheden effectief door een tegenstander zou kunnen worden gebruikt
  • (42) “actief uitgebuite kwetsbaarheid”: een kwetsbaarheid waarvoor betrouwbare bewijzen bestaan dat een kwaadwillige actor die heeft uitgebuit in een systeem zonder toestemming van de systeemeigenaar
  • (43) “incident”: een incident zoals gedefinieerd in artikel 6, punt 6, van Richtlijn (EU) 2022/2555
  • (44) “incident dat gevolgen heeft voor de beveiliging van het product met digitale elementen”: een incident dat negatieve gevolgen heeft of kan hebben voor het vermogen van een product met digitale elementen om de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van gegevens of functies te beschermen
  • (45) “bijna-incident”: een bijna-incident zoals gedefinieerd in artikel 6, punt 5, van Richtlijn (EU) 2022/2555
  • (46) “cyberdreiging”: een cyberdreiging zoals gedefinieerd in artikel 2, punt 8, van Verordening (EU) 2019/881
  • (47) “persoonsgegevens”: persoonsgegevens zoals gedefinieerd in artikel 4, punt 1, van Verordening (EU) 2016/679
  • (48) “vrije en opensourcesoftware”: software waarvan de broncode openlijk wordt gedeeld en die beschikbaar wordt gesteld onder een vrije en opensourcelicentie die voorziet in alle rechten om die vrij toegankelijk, bruikbaar, wijzigbaar en herdistrueerbaar te maken
  • (49) “terugroepen”: terugroepen zoals gedefinieerd in artikel 3, punt 22, van Verordening (EU) 2019/1020
  • (50) “uit de handel nemen”: uit de handel nemen zoals gedefinieerd in artikel 3, punt 23, van Verordening (EU) 2019/1020
  • (51) “als coördinator aangewezen CSIRT”: een CSIRT dat op grond van artikel 12, lid 1, van Richtlijn (EU) 2022/2555 als coördinator is aangewezen