Artículo 3 relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales (Reglamento de Ciberresiliencia)

A los efectos del presente Reglamento, se entenderá por:

1) «producto con elementos digitales»: producto consistente en programas informáticos o equipos informáticos y sus soluciones de procesamiento de datos remoto, incluidos los componentes consistentes en programas informáticos o equipos informáticos que se introduzcan en el mercado por separado;

2) «tratamiento de datos a distancia»: tratamiento de datos a distancia para el que el programa informático ha sido diseñado y desarrollado por el fabricante, o bajo su responsabilidad y cuya ausencia impediría que el producto con elementos digitales cumpliera alguna de sus funciones;

3) «ciberseguridad»: ciberseguridad tal como se define en el artículo 2, punto 1, del Reglamento (UE) 2019/881;

4) «programa informático»: la parte de un sistema electrónico de información consistente en un código informático;

5) «equipo informático»: sistema electrónico de información físico, o partes de este, capaz de tratar, almacenar o transmitir datos digitales;

6) «componente»: programa o equipo informático destinado a su integración en un sistema electrónico de información;

7) «sistema electrónico de información»: sistema, incluidos los aparatos eléctricos o electrónicos, capaz de tratar, almacenar o transmitir datos digitales;

8) «conexión lógica»: representación virtual de una conexión de datos realizada a través de una interfaz de programa informático;

9) «conexión física»: conexión entre sistemas electrónicos de información o componentes realizada por medios físicos, también mediante interfaces eléctricas, ópticas o mecánicas, cables u ondas de radio;

10) «conexión indirecta»: conexión a un dispositivo o red que no tiene lugar directamente, sino como parte de un sistema más amplio que puede conectarse directamente a dicho dispositivo o red;

11) «nodo final»: cualquier dispositivo conectado a una red que sirve de punto de entrada a dicha red;

12) «operador económico»: el fabricante, el representante autorizado, el importador, el distribuidor o cualquier otra persona física o jurídica sujeta a obligaciones en relación con la fabricación de productos con elementos digitales o con la comercialización de productos con elementos digitales de conformidad con el presente Reglamento;

13) «fabricante»: persona física o jurídica que desarrolla o fabrica productos con elementos digitales o para quien se diseñan, desarrollan o fabrican productos con elementos digitales, y que los comercializa con su nombre o marca comercial, ya sea de manera remunerada, monetizada o gratuita;

14) «administrador de comunidad de programas informáticos de código abierto»: persona jurídica, distinta de un fabricante, que tiene la finalidad o el objetivo de dar soporte sistemáticamente y de forma sostenida para el desarrollo de productos específicos con elementos digitales que se consideren programas informáticos libres y de código abierto y estén destinados a actividades comerciales, y que garantiza la viabilidad de dichos productos;

15) «representante autorizado»: persona física o jurídica establecida en la Unión que haya recibido un mandato por escrito de un fabricante para actuar en nombre de este en tareas específicas;

16) «importador»: persona física o jurídica establecida en la Unión que introduce en el mercado un producto con elementos digitales que lleve el nombre o la marca comercial de una persona física o jurídica establecida fuera de la Unión;

17) «distribuidor»: persona física o jurídica que forma parte de la cadena de suministro, distinta del fabricante o el importador, que comercializa un producto con elementos digitales en el mercado de la Unión sin influir sobre sus propiedades;

18) «consumidor»: persona física que actúa con fines ajenos a su actividad económica, negocio, oficio o profesión;

19) «microempresas», «pequeñas empresas» y «medianas empresas»: respectivamente, microempresas, pequeñas y medianas empresas tal como se definen en el anexo de la Recomendación 2003/361/CE;

20) «período de soporte»: el período durante el que el fabricante está obligado a garantizar que las vulnerabilidades de un producto con elementos digitales se gestionen eficazmente y de conformidad con los requisitos esenciales de ciberseguridad formulados en el anexo I, parte II;

21) «introducción en el mercado»: la primera comercialización de un producto con elementos digitales en el mercado de la Unión;

22) «comercialización»: el suministro, ya sea remunerado o gratuito, de un producto con elementos digitales para su distribución o utilización en el mercado de la Unión en el curso de una actividad comercial;

23) «finalidad prevista»: el uso para el que un fabricante concibe un producto con elementos digitales, incluido el contexto y las condiciones de uso concretas, según la información facilitada por el fabricante en las instrucciones de uso, los materiales y las declaraciones de promoción y venta, y la documentación técnica;

24) «uso razonablemente previsible»: uso que no coincide necesariamente con la finalidad prevista indicada por el fabricante en las instrucciones de uso, los materiales y las declaraciones de promoción y venta y la documentación técnica, pero que puede derivarse de un comportamiento humano o de intervenciones e interacciones técnicas razonablemente previsibles;

25) «uso indebido razonablemente previsible»: el uso de un producto con elementos digitales de un modo que no es conforme con su finalidad prevista, pero que puede derivarse de un comportamiento humano o una interacción con otros sistemas razonablemente previsible;

26) «autoridad notificante»: la autoridad nacional responsable de establecer y llevar a cabo los procedimientos necesarios para la evaluación, designación y notificación de los organismos de evaluación de la conformidad, así como de su seguimiento;

27) «evaluación de la conformidad»: el proceso por el que se verifica si se cumplen los requisitos esenciales de ciberseguridad establecidos en el anexo I;

28) «organismo de evaluación de la conformidad»: organismo de evaluación de la conformidad tal como se define en el artículo 2, punto 13, del Reglamento (CE) n.º 765/2008;

29) «organismo notificado»: organismo de evaluación de la conformidad designado de conformidad con el artículo 43 y con otra legislación de armonización pertinente de la Unión;

30) «modificación sustancial»: cambio en un producto con elementos digitales tras su introducción en el mercado que afecta al cumplimiento por parte del producto con elementos digitales de los requisitos esenciales de ciberseguridad establecidos en el anexo I, parte I, o que provoca la modificación de la finalidad prevista para la que se ha evaluado el producto con elementos digitales;

31) «marcado CE»: marcado con el que un fabricante indica que un producto con elementos digitales y los procesos establecidos por el fabricante son conformes con los requisitos esenciales de ciberseguridad establecidos en el anexo I y otra legislación de armonización de la Unión aplicable que prevea su colocación;

32) «legislación de armonización de la Unión»: la legislación de la Unión enumerada en el anexo I del Reglamento (UE) 2019/1020 y cualquier otra legislación de la Unión que armonice las condiciones para la comercialización de los productos a los que se aplica dicho Reglamento;

33) «autoridad de vigilancia del mercado»: autoridad de vigilancia del mercado tal como se define en el artículo 3, punto 4, del Reglamento (UE) 2019/1020;

34) «norma internacional»: norma internacional tal como se define en el artículo 2, punto 1, letra a), del Reglamento (UE) n.º 1025/2012;

35) «norma europea»: norma europea tal como se define en el artículo 2, punto 1, letra b), del Reglamento (UE) n.º 1025/2012;

36) «norma armonizada»: norma armonizada tal como se define en el artículo 2, punto 1, letra c), del Reglamento (UE) n.º 1025/2012;

37) «riesgo de ciberseguridad»: la posibilidad de pérdida o perturbación causada por un incidente, expresada como una combinación de la magnitud de tal pérdida o perturbación y la probabilidad de que se produzca tal incidente;

38) «riesgo de ciberseguridad significativo»: riesgo de ciberseguridad debido al cual, sobre la base de sus características técnicas, se puede considerar que existe una alta probabilidad de que se produzca un incidente capaz de acarrear consecuencias negativas graves, también por causar pérdidas o perturbaciones materiales o inmateriales considerables;

39) «nomenclatura de materiales de los programas informáticos»: registro formal que contiene los detalles y las relaciones de la cadena de suministro de los componentes incluidos en los elementos consistentes en programas informáticos de un producto con elementos digitales;

40) «vulnerabilidad»: deficiencia, susceptibilidad o fallo de un producto con elementos digitales que puede ser aprovechada por una ciberamenaza;

41) «vulnerabilidad aprovechable»: vulnerabilidad que puede ser utilizada de manera efectiva por un agente malintencionado en condiciones operativas prácticas;

42) «vulnerabilidad aprovechada activamente»: vulnerabilidad respecto de la cual existen pruebas fiables de que un agente malintencionado la ha aprovechado en un sistema sin autorización del propietario del sistema;

43) «incidente»: incidente tal como se define en el artículo 6, punto 6, de la Directiva (UE) 2022/2555;

44) «incidente que repercute en la seguridad de un producto con elementos digitales»: incidente que afecta o puede afectar negativamente a la capacidad de un producto con elementos digitales para proteger la disponibilidad, autenticidad, integridad o confidencialidad de los datos o las funciones;

45) «cuasiincidente»: cuasiincidente tal como se define en el artículo 6, punto 5, de la Directiva (UE) 2022/2555;

46) «ciberamenaza»: ciberamenaza tal como se define en el artículo 2, punto 8, del Reglamento (UE) 2019/881;

47) «datos personales»: datos personales tal como se definen en el artículo 4, punto 1, del Reglamento (UE) 2016/679;

48) «programa informático libre y de código abierto»: programa informático cuyo código fuente se comparte abiertamente y que se ofrece con arreglo a una licencia libre y de código abierto que abarca todos los derechos para que el programa informático sea libremente accesible, utilizable, modificable y redistribuible;

49) «recuperación»: recuperación tal como se define en el artículo 3, punto 22, del Reglamento (UE) 2019/1020;

50) «retirada»: retirada tal como se define en el artículo 3, punto 23, del Reglamento (UE) 2019/1020;

51) «CSIRT designado como coordinador»: CSIRT designado como coordinador en virtud del artículo 12, apartado 1, de la Directiva (UE) 2022/2555.