Artikel 6, definities - NIS2-richtlijn (EU) 2022/2555

Richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie (NIS 2)

Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie

Richtlijn inzake de veerkracht van kritieke entiteiten (CER)

Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de veerkracht van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad.

Wet Digitale Operationele Veerkracht (DORA)

Richtlijn (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van verordeningen

Voorstel voor de nieuwe Cyber Resilience Act (CRA)

Voorstel: Verordening van het Europees Parlement en de Raad betreffende horizontale eisen inzake cyberbeveiliging voor producten met digitale elementen en tot wijziging van Verordening (EU) 2019/1020

Lijst van essentiële diensten

Gedelegeerde Verordening (EU) 2023/2450 van de Commissie van 25 juli 2023 tot aanvulling van Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad door vaststelling van een lijst van essentiële diensten

EU-agentschap voor cyberbeveiliging

Verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 betreffende het ENISA (het Agentschap voor cyberbeveiliging van de Europese Unie)

De Europese gegevenswet

Verordening (EU) 2023/2854 van het Europees Parlement en de Raad van 13 december 2023 betreffende geharmoniseerde regels voor eerlijke toegang tot en gebruik van gegevens.

Europese wet- en regelgeving in de context van cyberbeveiliging

MEER INFORMATIE

Voor de toepassing van deze richtlijn gelden de volgende definities:

(1) 'netwerk- en informatiesysteem' betekent:

(a) een elektronisch communicatienetwerk als omschreven in artikel 2, punt 1, van Richtlijn (EU) 2018/1972;

(b) een apparaat of groep van onderling verbonden of bij elkaar behorende apparaten, waarvan er een of meer op basis van een programma automatisch digitale gegevens verwerken, of

(c) digitale gegevens die worden opgeslagen, verwerkt, opgehaald of verzonden door elementen die onder a) en b) vallen, met het oog op de werking, het gebruik, de bescherming en het onderhoud ervan;

(2) 'beveiliging van netwerk- en informatiesystemen' het vermogen van netwerk- en informatiesystemen om met een gegeven mate van betrouwbaarheid bestand te zijn tegen gebeurtenissen die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die door deze netwerk- en informatiesystemen worden aangeboden of via deze toegankelijk zijn, in gevaar kunnen brengen;

(3) 'cyberbeveiliging' cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881;

(4) 'nationale strategie voor cyberbeveiliging' een samenhangend kader van een lidstaat met strategische doelstellingen en prioriteiten op het gebied van cyberbeveiliging en de governance om deze in die lidstaat te verwezenlijken;

(5) 'bijna-ongeval' een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen in gevaar had kunnen brengen, maar die met succes is voorkomen of niet heeft plaatsgevonden;

(6) 'incident' een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid in gevaar brengt van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen;

(7) 'grootschalig cyberbeveiligingsincident' een incident dat een mate van ontwrichting veroorzaakt die de capaciteit van een lidstaat om erop te reageren te boven gaat of dat aanzienlijke gevolgen heeft voor ten minste twee lidstaten;

(8) 'incidentafhandeling' betekent alle acties en procedures om een incident te voorkomen, op te sporen, te analyseren en in te dammen of om te reageren op en te herstellen van een incident;

(9) 'risico' betekent de kans op verlies of verstoring veroorzaakt door een incident en moet worden uitgedrukt als een combinatie van de omvang van een dergelijk verlies of verstoring en de waarschijnlijkheid dat het incident zich voordoet;

(10) 'cyberdreiging' een cyberdreiging als omschreven in artikel 2, punt 8, van Verordening (EU) 2019/881;

(11) 'belangrijke cyberdreiging' een cyberdreiging waarvan op basis van de technische kenmerken kan worden aangenomen dat deze ernstige gevolgen kan hebben voor het netwerk en de informatiesystemen van een entiteit of de gebruikers van de diensten van de entiteit door aanzienlijke materiële of immateriële schade te veroorzaken;

(12) 'ICT-product' een ICT-product zoals gedefinieerd in artikel 2, punt 12, van Verordening (EU) 2019/881;

(13) 'ICT-dienst' een ICT-dienst als gedefinieerd in artikel 2, punt 13, van Verordening (EU) 2019/881;

(14) 'ICT-proces' een ICT-proces zoals gedefinieerd in artikel 2, punt 14, van Verordening (EU) 2019/881;

(15) 'kwetsbaarheid' een zwakte, gevoeligheid of tekortkoming van ICT-producten of ICT-diensten die door een cyberdreiging kan worden uitgebuit;

(16) 'standaard' een norm als gedefinieerd in artikel 2, punt 1, van Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad (29);

(17) 'technische specificatie' een technische specificatie als omschreven in artikel 2, punt 4, van Verordening (EU) nr. 1025/2012;

(18) 'internet uitwisselingspunt' een netwerkfaciliteit die de interconnectie van meer dan twee onafhankelijke netwerken (autonome systemen) mogelijk maakt, hoofdzakelijk om de uitwisseling van internetverkeer te vergemakkelijken, die alleen voor autonome systemen interconnectie mogelijk maakt en die niet vereist dat het internetverkeer tussen een paar deelnemende autonome systemen via een derde autonoom systeem passeert, noch dit verkeer wijzigt of anderszins belemmert;

(19) 'domeinnaamsysteem" of "DNS' een hiërarchisch gedistribueerd naamgevingssysteem dat de identificatie van internetdiensten en -bronnen mogelijk maakt, zodat eindgebruikersapparaten gebruik kunnen maken van internetrouterings- en -connectiviteitsdiensten om deze diensten en bronnen te bereiken;

(20) 'DNS-serviceprovider' betekent een entiteit die voorziet in:

(a) algemeen beschikbare recursieve domeinnaamresolutiediensten voor interneteindgebruikers; of

(b) gezaghebbende domeinnaamresolutiediensten voor gebruik door derden, met uitzondering van root name servers;

(21) 'register van topleveldomeinnamen" of "TLD-naamregister' een entiteit waaraan een specifiek TLD is toegewezen en die verantwoordelijk is voor het beheer van het TLD, met inbegrip van de registratie van domeinnamen onder het TLD en de technische exploitatie van het TLD, met inbegrip van de exploitatie van de naamservers, het onderhoud van de databanken en de verspreiding van de TLD-zonebestanden over de naamservers, ongeacht of deze activiteiten door de entiteit zelf worden uitgevoerd of worden uitbesteed, maar met uitzondering van situaties waarin TLD-namen door een register alleen voor eigen gebruik worden gebruikt;

(22) 'entiteit die diensten verleent op het gebied van domeinnaamregistratie' een registrator of een agent die namens registrators optreedt, zoals een aanbieder van diensten voor privacy- of volmachtregistratie of wederverkoper;

(23) 'digitale dienst' een dienst als gedefinieerd in artikel 1, lid 1, onder b), van Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad (30);

(24) 'vertrouwensdienst' betekent een vertrouwensdienst zoals gedefinieerd in artikel 3, punt 16, van Verordening (EU) nr. 910/2014;

(25) 'verlener van vertrouwensdiensten' betekent een verlener van vertrouwensdiensten zoals gedefinieerd in artikel 3, punt 19, van Verordening (EU) nr. 910/2014;

(26) 'gekwalificeerde vertrouwensdienst' een gekwalificeerde vertrouwensdienst als omschreven in artikel 3, punt 17, van Verordening (EU) nr. 910/2014;

(27) 'gekwalificeerde vertrouwensdienstverlener' betekent een gekwalificeerde verlener van vertrouwensdiensten zoals gedefinieerd in artikel 3, punt 20, van Verordening (EU) nr. 910/2014;

(28) online marktplaats een online marktplaats als gedefinieerd in artikel 2, onder n), van Richtlijn 2005/29/EG van het Europees Parlement en de Raad (31);

(29) 'online zoekmachine' een onlinezoekmachine als omschreven in artikel 2, punt 5, van Verordening (EU) 2019/1150 van het Europees Parlement en de Raad (32);

(30) 'cloudcomputingservice' een digitale dienst die on-demand beheer en brede toegang op afstand tot een schaalbare en elastische pool van deelbare computerbronnen mogelijk maakt, ook als deze bronnen over meerdere locaties zijn verspreid;

(31) 'datacenterservice' een dienst die structuren, of groepen van structuren, omvat die gewijd zijn aan de gecentraliseerde accommodatie, interconnectie en werking van IT- en netwerkapparatuur die gegevensopslag, -verwerking en -transportdiensten levert, samen met alle faciliteiten en infrastructuren voor energiedistributie en omgevingscontrole;

(32) 'content delivery netwerk' een netwerk van geografisch verspreide servers met als doel een hoge beschikbaarheid, toegankelijkheid of snelle levering van digitale inhoud en diensten aan internetgebruikers namens aanbieders van inhoud en diensten;

(33) 'dienstenplatform voor sociale netwerken' betekent een platform dat eindgebruikers in staat stelt met elkaar in contact te komen, te delen, te ontdekken en te communiceren op meerdere apparaten, met name via chats, berichten, video's en aanbevelingen;

(34) 'vertegenwoordiger' een in de Unie gevestigde natuurlijke of rechtspersoon die expliciet is aangewezen om op te treden namens een DNS-dienstverlener, een TLD-naamregister, een entiteit die domeinnaamregistratiediensten levert, een cloud computing-dienstverlener, een datacenterdienstverlener, een content delivery network provider, een beheerde serviceprovider, a leverancier van beheerde beveiligingsdienstenof een aanbieder van een online marktplaats, een online zoekmachine of een platform voor sociale netwerkdiensten die niet in de Unie is gevestigd, die door een bevoegde autoriteit of een CSIRT in de plaats van de entiteit zelf kan worden aangesproken in verband met de verplichtingen van die entiteit uit hoofde van deze richtlijn;

(35) 'entiteit voor openbaar bestuur' een entiteit die als zodanig erkend is in een lidstaat in overeenstemming met de nationale wetgeving, met uitzondering van de rechterlijke macht, parlementen of centrale banken, en die voldoet aan de volgende criteria:

(a) het is opgericht om te voorzien in behoeften van algemeen belang en heeft geen industrieel of commercieel karakter;

(b) zij bezit rechtspersoonlijkheid of is wettelijk bevoegd om namens een andere entiteit met rechtspersoonlijkheid op te treden;

(c) zij wordt in hoofdzaak door de staat, regionale autoriteiten of andere publiekrechtelijke instellingen gefinancierd, is voor haar beheer onderworpen aan toezicht door deze autoriteiten of organen of heeft een bestuurs-, leidinggevend of toezichthoudend orgaan waarvan de leden voor meer dan de helft door de staat, regionale autoriteiten of andere publiekrechtelijke instellingen zijn aangewezen;

(d) zij is bevoegd tot natuurlijke of rechtspersonen bestuurlijke of regelgevende besluiten te richten die van invloed zijn op hun rechten bij het grensoverschrijdende verkeer van personen, goederen, diensten of kapitaal;

(36) 'openbaar elektronisch communicatienetwerk' een openbaar elektronisch communicatienetwerk als omschreven in artikel 2, punt 8, van Richtlijn (EU) 2018/1972;

(37) 'elektronische communicatiedienst' een elektronische-communicatiedienst als gedefinieerd in artikel 2, punt 4, van Richtlijn (EU) 2018/1972;

(38) "entiteit een natuurlijke of rechtspersoon die als zodanig is opgericht en erkend door het nationale recht van zijn vestigingsplaats en die in eigen naam rechten kan uitoefenen en verplichtingen kan hebben;

(39) "beheerde serviceprovider een entiteit die diensten levert met betrekking tot de installatie, het beheer, de bediening of het onderhoud van ICT-producten, -netwerken, -infrastructuur, -toepassingen of andere netwerk- en informatiesystemen, via assistentie of actief beheer bij de klant of op afstand;

(40) leverancier van beheerde beveiligingsdiensten een managed service provider die activiteiten uitvoert of assistentie verleent voor risicobeheer op het gebied van cyberbeveiliging;

(41) 'onderzoeksorganisatie' een entiteit die als hoofddoel heeft toegepast onderzoek of experimentele ontwikkeling uit te voeren met de bedoeling de resultaten van dat onderzoek voor commerciële doeleinden te exploiteren, met uitzondering van onderwijsinstellingen.