Artykuł 3

Definicje

Do celów niniejszego rozporządzenia stosuje się następujące definicje:

  • (1) „produkt z elementami cyfrowymi” oznacza oprogramowanie komputerowe lub sprzęt komputerowy oraz powiązane z nimi rozwiązania w zakresie zdalnego przetwarzania danych, w tym komponenty oprogramowania lub sprzętu, które są oddzielnie wprowadzane do obrotu
  • (2) „zdalne przetwarzanie danych” oznacza przetwarzanie danych na odległość, na potrzeby którego oprogramowanie zostało zaprojektowane i opracowane przez producenta lub na odpowiedzialność producenta, a którego brak spowodowałby, że produkt z elementami cyfrowymi nie mógłby wykonywać jednej ze swoich funkcji
  • (3) „cyberbezpieczeństwo” oznacza cyberbezpieczeństwo zdefiniowane w art. 2 pkt 1 rozporządzenia (UE) 2019/881
  • (4) „oprogramowanie” oznacza część elektronicznego systemu informacyjnego, która składa się z kodu komputerowego
  • (5) „sprzęt” oznacza fizyczny elektroniczny system informacyjny lub jego części zdolne do przetwarzania, przechowywania lub przekazywania danych cyfrowych
  • (6) „komponent” oznacza oprogramowanie lub sprzęt przeznaczone do zintegrowania z elektronicznym systemem informacyjnym
  • (7) „elektroniczny system informacyjny” oznacza system, w tym sprzęt elektryczny lub elektroniczny, zdolny do przetwarzania, przechowywania lub przekazywania danych cyfrowych
  • (8) „połączenie logiczne” oznacza wirtualną reprezentację połączenia danych zrealizowanego za pośrednictwem interfejsu oprogramowania
  • (9) „połączenie fizyczne” oznacza każde połączenie między elektronicznymi systemami informacyjnymi lub komponentami zrealizowane przy użyciu środków fizycznych, w tym za pośrednictwem interfejsów elektrycznych, optycznych lub mechanicznych, przewodów lub fal radiowych
  • (10) „połączenie pośrednie” oznacza połączenie z urządzeniem lub siecią, które nie jest nawiązywane bezpośrednio, lecz jako część większego systemu, który można bezpośrednio połączyć z takim urządzeniem lub siecią
  • (11) „punkt końcowy” oznacza każde urządzenie, które jest połączone z siecią i służy jako punkt wejścia do tej sieci
  • (12) „podmiot gospodarczy” oznacza producenta, upoważnionego przedstawiciela, importera, dystrybutora lub każdą inną osobę fizyczną lub prawną podlegającą obowiązkom związanym z wytwarzaniem produktów z elementami cyfrowymi lub udostępnianiem produktów z elementami cyfrowymi na rynku zgodnie z niniejszym rozporządzeniem
  • (13) „producent” oznacza osobę fizyczną lub prawną, która opracowuje lub wytwarza produkty z elementami cyfrowymi lub zleca zaprojektowanie, opracowanie lub wytworzenie produktów z elementami cyfrowymi i wprowadza te produkty do obrotu pod własną nazwą handlową lub znakiem towarowym, za opłatą, na zasadzie monetyzacji lub bezpłatnie
  • (14) „opiekun oprogramowania otwartego” oznacza osobę prawną inną niż producent, której celem jest systematyczne i stałe wsparcie na rzecz opracowywania konkretnych produktów z elementami cyfrowymi, kwalifikujących się jako wolne i otwarte oprogramowanie oraz przeznaczonych do celów komercyjnych, oraz która zapewnia prawidłowe funkcjonowanie tych produktów
  • (15) „upoważniony przedstawiciel” oznacza osobę fizyczną lub prawną, która ma miejsce zamieszkania lub siedzibę w Unii i otrzymała pisemne pełnomocnictwo producenta do wykonywania w jego imieniu określonych zadań
  • (16) „importer” oznacza osobę fizyczną lub prawną, która ma miejsce zamieszkania lub siedzibę w Unii i wprowadza do obrotu produkt z elementami cyfrowymi opatrzony nazwą handlową lub znakiem towarowym osoby fizycznej lub prawnej mającej miejsce zamieszkania lub siedzibę poza granicami Unii
  • (17) „dystrybutor” oznacza osobę fizyczną lub prawną w łańcuchu dostaw, inną niż producent lub importer, która udostępnia produkt z elementami cyfrowymi na rynku unijnym bez zmiany jego właściwości
  • (18) „konsument” oznacza osobę fizyczną działającą w celach niezwiązanych z jej działalnością handlową, gospodarczą, rzemieślniczą lub zawodową
  • (19) „mikroprzedsiębiorstwa”, „małe przedsiębiorstwa” oraz „średnie przedsiębiorstwa” oznaczają, odpowiednio, mikroprzedsiębiorstwa, małe przedsiębiorstwa i średnie przedsiębiorstwa zgodnie z definicją zawartą w załączniku do zalecenia 2003/361/WE
  • (20) „okres wsparcia” oznacza okres, w którym producent jest zobowiązany zapewniać, aby na podatności w zabezpieczeniach produktu z elementami cyfrowymi reagowano skutecznie i zgodnie z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I część II
  • (21) „wprowadzenie do obrotu” oznacza udostępnienie produktu z elementami cyfrowymi na rynku Unii po raz pierwszy
  • (22) „udostępnienie na rynku” oznacza dostarczenie produktu z elementami cyfrowymi do celów dystrybucji lub używania na rynku Unii w ramach działalności handlowej, odpłatnie lub nieodpłatnie
  • (23) „przeznaczenie” oznacza zastosowanie, do którego produkt z elementami cyfrowymi został przeznaczony przez jego producenta, w tym określony kontekst i warunki wykorzystywania, wskazane w informacjach dostarczonych przez producenta w instrukcji obsługi, materiałach promocyjnych lub sprzedażowych i oświadczeniach, jak również w dokumentacji technicznej
  • (24) „racjonalnie przewidywalne wykorzystanie” oznacza zastosowanie, które niekoniecznie jest przeznaczeniem podanym przez producenta w instrukcji obsługi, materiałach promocyjnych lub sprzedażowych i oświadczeniach, jak również w dokumentacji technicznej, ale które najpewniej wynika z dającego się racjonalnie przewidzieć zachowania człowieka, operacji technicznych lub interakcji
  • (25) „racjonalnie przewidywalne niewłaściwe wykorzystanie” oznacza wykorzystanie produktu z elementami cyfrowymi niezgodnie z jego przeznaczeniem, które może jednak wynikać z dającego się racjonalnie przewidzieć zachowania człowieka lub interakcji z innymi systemami
  • (26) „organ notyfikujący” oznacza organ krajowy, który odpowiada za opracowanie i stosowanie procedur koniecznych do oceny, wyznaczania i notyfikowania jednostek oceniających zgodność oraz za ich monitorowanie
  • (27) „ocena zgodności” oznacza proces weryfikacji, czy spełniono zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w załączniku I
  • (28) „jednostka oceniająca zgodność” oznacza jednostkę oceniającą zgodność w rozumieniu art. 2 pkt 13 rozporządzenia (WE) nr 765/2008
  • (29) „jednostka notyfikowana” oznacza jednostkę oceniającą zgodność wyznaczoną zgodnie z art. 43 i innym stosownym unijnym prawodawstwem harmonizacyjnym
  • (30) „istotna modyfikacja” oznacza zmianę w produkcie z elementami cyfrowymi po jego wprowadzeniu do obrotu, która wpływa na zgodność produktu z elementami cyfrowymi z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I część I lub która powoduje zmianę przeznaczenia, w odniesieniu do którego oceniono produkt z elementami cyfrowymi
  • (31) „oznakowanie zgodności CE” oznacza oznakowanie, za pomocą którego producent wskazuje, że produkt z elementami cyfrowymi i procedury wprowadzone przez producenta spełniają zasadnicze wymagania w zakresie cyberbezpieczeństwa określone w załączniku I i innym mającym zastosowanie unijnym prawodawstwie harmonizacyjnym przewidującym umieszczanie takiego oznakowania
  • (32) „unijne prawodawstwo harmonizacyjne” oznacza przepisy Unii wymienione w załączniku I do rozporządzenia (UE) 2019/1020 oraz wszelkie inne przepisy Unii harmonizujące warunki wprowadzania do obrotu produktów, do których to rozporządzenie ma zastosowanie
  • (33) „organ nadzoru rynku” oznacza organ nadzoru rynku zgodnie z definicją w art. 3 pkt 4 rozporządzenia (UE) 2019/1020
  • (34) „norma międzynarodowa” oznacza normę międzynarodową zgodnie z definicją w art. 2 pkt 1 lit. a) rozporządzenia (UE) nr 1025/2012
  • (35) „norma europejska” oznacza normę europejską zgodnie z definicją w art. 2 pkt 1 lit. b) rozporządzenia (UE) nr 1025/2012
  • (36) „norma zharmonizowana” oznacza normę zharmonizowaną zgodnie z definicją zawartą w art. 2 pkt 1 lit. c) rozporządzenia (UE) nr 1025/2012
  • (37) „ryzyko w cyberprzestrzeni” oznacza potencjalną stratę lub potencjalne zakłócenie spowodowane incydentem i ma być wyrażone jako wypadkowa skali takiej straty lub zakłócenia oraz prawdopodobieństwa wystąpienia takiego incydentu
  • (38) „istotne ryzyko w cyberprzestrzeni” oznacza ryzyko w cyberprzestrzeni, w przypadku którego, na podstawie jego charakterystyki technicznej, można założyć wysokie prawdopodobieństwo wystąpienia incydentu, który mógłby doprowadzić do poważnych negatywnych skutków, w tym przez spowodowanie znacznej straty materialnej lub niematerialnej lub znacznego zakłócenia
  • (39) „zestawienie podstawowych materiałów do produkcji oprogramowania” oznacza formalny zapis zawierający szczegóły i relacje w łańcuchu dostaw składników wchodzących w skład elementów oprogramowania komputerowego produktu z elementami cyfrowymi
  • (40) „podatność” oznacza słabość, wrażliwość lub wadę produktu z elementami cyfrowymi, które można wykorzystać podczas cyberzagrożenia
  • (41) „nadająca się do wykorzystania podatność” oznacza podatność, która może zostać skutecznie wykorzystana przez atakującego w praktycznych warunkach eksploatacji
  • (42) „aktywnie wykorzystywana podatność” oznacza podatność, w przypadku której istnieją wiarygodne dowody, że podmiot działający w złych zamiarach wykorzystał ją w systemie bez zgody właściciela systemu
  • (43) „incydent” oznacza incydent zgodnie z definicją w art. 6 pkt 6 dyrektywy (UE) 2022/2555
  • (44) „incydent wywierający wpływ na bezpieczeństwo produktu z elementami cyfrowymi” oznacza incydent, który negatywnie wpływa lub może mieć negatywny wpływ na zdolność produktu z elementami cyfrowymi do ochrony dostępności, autentyczności, integralności lub poufności danych lub funkcji
  • (45) „potencjalne zdarzenie dla cyberbezpieczeństwa” oznacza potencjalne zdarzenie dla cyberbezpieczeństwa zgodnie z definicją w art. 6 pkt 5 dyrektywy (UE) 2022/2555
  • (46) „cyberzagrożenie” oznacza cyberzagrożenie zgodnie z definicją w art. 2 pkt 8 rozporządzenia (UE) 2019/881
  • (47) „dane osobowe” oznaczają dane osobowe zdefiniowane w art. 4 pkt 1 rozporządzenia (UE) 2016/679
  • (48) „wolne i otwarte oprogramowanie” oznacza oprogramowanie, którego kod źródłowy jest powszechnie dostępny, oferowane bezpłatnie i na otwartej licencji, która zapewnia wszystkim prawo do wolnego dostępu do niego, używania go, modyfikowania i redystrybucji
  • (49) „odzyskanie produktu” oznacza odzyskanie produktu zgodnie z definicją w art. 3 pkt 22 rozporządzenia (UE) 2019/1020
  • (50) „wycofanie z obrotu” oznacza wycofanie z obrotu zgodnie z definicją w art. 3 pkt 23 rozporządzenia (UE) 2019/1020
  • (51) „CSIRT wyznaczony jako koordynator” oznacza CSIRT wyznaczony na koordynatora zgodnie z art. 12 ust. 1 dyrektywy (UE) 2022/2555