Słownik
Zdefiniowane terminy i pojęcia z unijnego rozporządzenia o cyberodporności i powiązanych wytycznych.
A
- Aktywnie eksploatowana podatność
- Podatność w produkcie z elementami cyfrowymi, dla której istnieje wiarygodny dowód, że złośliwy podmiot ją wykorzystał. Producenci są zobowiązani do zgłaszania aktywnie eksploatowanych podatności do ENISA bez zbędnej zwłoki, a wstępne powiadomienie musi nastąpić nie później niż 24 godziny od momentu wykrycia. Wymóg ten stanowi część szerszego systemu CVD wymaganego przez CRA.
D
- Dystrybutor
- Osoba fizyczna lub prawna w łańcuchu dostaw inna niż producent lub importer, która udostępnia produkt z elementami cyfrowymi na rynku UE. Dystrybutorzy mają własne obowiązki weryfikacyjne wynikające z Art. 20 CRA, jednak zakres ich odpowiedzialności jest węższy niż producentów lub importerów.
- Deklaracja zgodności UE (EU-DoC)
- Dokument sporządzany przez producenta, w którym deklaruje on na własną odpowiedzialność, że produkt z elementami cyfrowymi spełnia zasadnicze wymagania CRA dotyczące cyberbezpieczeństwa. Deklaracja zgodności UE musi zawierać elementy określone w Załączniku V i być sporządzona w jednym z języków urzędowych UE. Musi być przechowywana przez co najmniej 10 lat.
- Dokumentacja techniczna
- Obszerny zestaw dokumentacji, który producent musi sporządzić przed wprowadzeniem produktu do obrotu i utrzymywać przez cały okres wsparcia, zawierający wszystkie informacje potwierdzające zgodność produktu i procesów producenta z zasadniczymi wymaganiami dotyczącymi cyberbezpieczeństwa z Załącznika I. Minimalna zawartość jest określona w Załączniku VII. Musi być przechowywana przez co najmniej 10 lat.
I
- Importer
- Osoba fizyczna lub prawna mająca siedzibę w UE, która wprowadza do obrotu na rynku UE produkt z elementami cyfrowymi opatrzony nazwą lub znakiem towarowym osoby mającej siedzibę poza UE. Importerzy są odpowiedzialni za weryfikację zgodności przed wprowadzeniem do obrotu i mają własne obowiązki wynikające z CRA.
- Istotna modyfikacja
- Modyfikacja produktu z elementami cyfrowymi dokonana po jego wprowadzeniu do obrotu, która wpływa na zgodność produktu z zasadniczymi wymaganiami dotyczącymi cyberbezpieczeństwa określonymi w Załączniku I Część I lub zmienia zamierzone zastosowanie zgodnie z deklaracją producenta.
J
- Jednostka notyfikowana
- Niezależna, akredytowana organizacja strony trzeciej wyznaczona przez organ państwa członkowskiego i notyfikowana Komisji Europejskiej do przeprowadzania procedur oceny zgodności przez stronę trzecią na podstawie CRA. Jednostki notyfikowane oceniają, czy ważne i krytyczne produkty spełniają zasadnicze wymagania dotyczące cyberbezpieczeństwa przed naniesieniem oznakowania CE.
K
- Koordynowane ujawnianie podatności (CVD)
- Ustrukturyzowany proces, w ramach którego odkrywcy podatności zgłaszają informacje o podatnościach bezpośrednio producentom lub do wyznaczonych koordynatorów, umożliwiając im opracowanie i wydanie poprawki przed publicznym ujawnieniem. CRA wymaga, aby producenci ustanowili politykę CVD i wyznaczyli punkt kontaktowy do zgłaszania podatności.
N
- Norma zharmonizowana
- Europejska norma techniczna przyjęta przez uznaną europejską organizację normalizacyjną (CEN, CENELEC lub ETSI) na podstawie wniosku Komisji Europejskiej. Zastosowanie normy zharmonizowanej powołanej w Dzienniku Urzędowym UE skutkuje domniemaniem zgodności z odpowiednimi zasadniczymi wymaganiami CRA dotyczącymi cyberbezpieczeństwa.
- Nadzór rynku
- Organ krajowy wyznaczony przez państwo członkowskie do monitorowania i egzekwowania zgodności produktów z elementami cyfrowymi z CRA na rynku. Organy nadzoru rynku mogą żądać dokumentacji technicznej, przeprowadzać audyty i badania oraz nakazywać podjęcie działań naprawczych lub wycofanie z rynku produktów niezgodnych z wymaganiami.
O
- Oznakowanie CE
- Widoczne oznaczenie umieszczane na produkcie przez producenta, sygnalizujące, że produkt spełnia wymagania wszystkich mających zastosowanie przepisów UE, w tym zasadnicze wymagania CRA w zakresie cyberbezpieczeństwa. Oznakowanie CE jest wymagane przed wprowadzeniem produktu do obrotu na rynku UE.
- Ocena zgodności
- Procedura stosowana przez producenta w celu wykazania, że produkt z elementami cyfrowymi spełnia zasadnicze wymagania dotyczące cyberbezpieczeństwa określone w Załączniku I CRA. Wybór procedury oceny zgodności zależy od kategorii produktu: ważne produkty i produkty krytyczne wymagają zaangażowania strony trzeciej (jednostki notyfikowanej).
- Opiekun OSS
- Osoba prawna, inna niż producent, której celem lub zadaniem jest systematyczne zapewnianie na trwałej podstawie wsparcia w zakresie opracowywania określonych wolnych i otwartoźródłowych produktów programowych przeznaczonych do działalności handlowej i która zapewnia żywotność tych produktów. Opiekunowie OSS korzystają z łagodniejszego reżimu regulacyjnego na mocy CRA.
- Okres wsparcia
- Okres, przez który producent jest zobowiązany do skutecznego usuwania podatności produktu z elementami cyfrowymi zgodnie z Załącznikiem I Część II. Okres wsparcia musi wynosić co najmniej pięć lat, chyba że przewidywana żywotność produktu jest krótsza.
P
- Produkt krytyczny
- Produkt z elementami cyfrowymi stwarzający szczególnie wysokie ryzyko dla cyberbezpieczeństwa ze względu na swoją funkcjonalność lub przeznaczenie, wymieniony w Załączniku III Klasa II CRA. Produkty krytyczne wymagają obowiązkowej oceny zgodności przez stronę trzecią, a mianowicie certyfikacji w ramach europejskiego schematu certyfikacji cyberbezpieczeństwa.
- Producent
- Osoba fizyczna lub prawna, która opracowuje lub wytwarza produkty z elementami cyfrowymi (lub zleca ich projektowanie, opracowywanie lub wytwarzanie) i wprowadza je do obrotu pod własną nazwą lub znakiem towarowym, odpłatnie, poprzez monetyzację lub nieodpłatnie. Jest to główna rola pociągająca obowiązki wynikające z CRA.
- Produkt z elementami cyfrowymi (PDE)
- Każdy produkt programowy lub sprzętowy, a także rozwiązania do zdalnego przetwarzania danych, których zamierzone lub dające się racjonalnie przewidzieć zastosowanie obejmuje bezpośrednie lub pośrednie, logiczne lub fizyczne połączenie danych z urządzeniem lub siecią. CRA ma zastosowanie do PDE, chyba że obowiązuje sektorowe wyłączenie.
- Poważny incydent
- Incydent, który wywiera rzeczywisty niekorzystny wpływ na bezpieczeństwo sieci i systemów informatycznych producenta, używanych do opracowywania, produkcji lub utrzymania produktu z elementami cyfrowymi. Wykrycie takiego incydentu zobowiązuje producenta do powiadomienia właściwego CSIRT i ENISA w ciągu 24 godzin.
- Podatność
- Słabość w produkcie z elementami cyfrowymi, która może zostać wykorzystana przez podmiot stwarzający zagrożenie w celu naruszenia bezpieczeństwa tego produktu lub połączonych z nim systemów. CRA nakłada na producentów obszerne obowiązki w zakresie identyfikowania, usuwania i ujawniania podatności przez cały okres wsparcia.
R
- Rozwiązanie do zdalnego przetwarzania danych (RDPS)
- Zdalna usługa, która jest niezbędna do wykonywania przez produkt z elementami cyfrowymi którejkolwiek z jego funkcji. RDPS stanowi część PDE i podlega tym samym obowiązkom CRA co sam produkt. Trójczęściowy test (zdalne przetwarzanie, funkcjonalna zależność, odpowiedzialność producenta) określa, czy usługa zdalna kwalifikuje się jako RDPS.
- Rejestr składników oprogramowania (SBOM)
- Formalny wykaz komponentów, bibliotek i modułów zawartych w produkcie programowym, sporządzony w powszechnie stosowanym i czytelnym maszynowo formacie. Na podstawie Załącznika I Część II CRA producenci muszą sporządzić SBOM obejmujący co najmniej zależności najwyższego poziomu ich produktu.
U
- Upoważniony przedstawiciel
- Osoba fizyczna lub prawna mająca siedzibę w UE, upoważniona na piśmie przez producenta z siedzibą poza UE do wykonywania w jego imieniu określonych zadań wynikających z CRA. Producenci z siedzibą poza UE muszą wyznaczyć upoważnionego przedstawiciela przed wprowadzeniem produktu do obrotu na rynku UE.
- Udostępnianie na rynku
- Każde dostarczenie produktu z elementami cyfrowymi, odpłatne lub nieodpłatne, do dystrybucji, konsumpcji lub użytkowania na rynku UE w ramach działalności handlowej. W odróżnieniu od «wprowadzenia do obrotu» (które odnosi się do pierwszego dostarczenia), «udostępnianie na rynku» obejmuje każde kolejne dostarczenie w łańcuchu dostaw, również przez importerów i dystrybutorów.
W
- Wolne i otwartoźródłowe oprogramowanie (FOSS)
- Oprogramowanie udostępniane z licencją przyznającą użytkownikom swobodę uruchamiania, kopiowania, dystrybucji, badania, modyfikowania i ulepszania go. CRA przyznaje specjalny status FOSS udostępnianemu poza działalnością handlową: wyłączone jest ono z zakresu stosowania. FOSS udostępniane w ramach działalności handlowej podlega jednak przepisom CRA.
- Ważny produkt
- Produkt z elementami cyfrowymi stwarzający podwyższone ryzyko dla cyberbezpieczeństwa ze względu na swoją funkcjonalność lub przeznaczenie, wymieniony w Załączniku III Klasa I CRA. Ważne produkty wymagają zastosowania surowszych procedur oceny zgodności niż produkty domyślne — producent musi zaangażować jednostkę notyfikowaną lub uzyskać certyfikat w ramach europejskiego schematu certyfikacji cyberbezpieczeństwa.
- W zakresie stosowania
- Produkt z elementami cyfrowymi jest objęty zakresem stosowania CRA, jeżeli jest udostępniany na rynku UE w ramach działalności handlowej i nie jest wyłączony na podstawie szczególnego zwolnienia. Główne czynniki decydujące o zakresie stosowania to: obecność elementów cyfrowych, łączność oraz dostarczanie w ramach działalności handlowej.
- Wprowadzenie do obrotu
- Pierwsze udostępnienie produktu z elementami cyfrowymi na rynku UE. Producent wprowadza produkt do obrotu, gdy po raz pierwszy dostarcza go dystrybutorowi, importerowi lub użytkownikowi w UE w ramach działalności handlowej, odpłatnie lub nieodpłatnie.
Z
- Załącznik I
- Podstawowy wykaz wymagań technicznych CRA. Część I zawiera zasadnicze wymagania dotyczące cyberbezpieczeństwa, które produkty muszą spełniać w chwili wprowadzania do obrotu. Część II opisuje wymagania procesowe dotyczące obsługi podatności, które producenci muszą utrzymywać przez cały okres wsparcia produktu.
- Zasadnicze wymagania dotyczące cyberbezpieczeństwa
- Obowiązkowe właściwości techniczne i procesowe, które producenci muszą zapewnić swoim produktom z elementami cyfrowymi zgodnie z Załącznikiem I CRA. Wymagania są podzielone na dwie grupy: właściwości produktu (Część I) oraz procesy obsługi podatności (Część II). Spełnienie tych wymagań jest warunkiem uzyskania oznakowania CE.