Woordenlijst
Gedefinieerde termen en concepten uit de EU Cyber Resilience Act en aanverwante leidraad.
A
- Actief misbruikte kwetsbaarheid
- Een kwetsbaarheid waarvoor bewijs bestaat van actief misbruik in echte omgevingen. De CRA vereist dat fabrikanten actief misbruikte kwetsbaarheden in hun producten binnen 24 uur na ontdekking melden bij de aangewezen CSIRT en ENISA, op grond van artikel 14(2)(a).
- Aangemelde instantie
- Een onafhankelijke, geaccrediteerde derde partij die door een lidstaatautoriteit is aangewezen en bij de Europese Commissie is aangemeld om conformiteitsbeoordelingsprocedures door derden uit te voeren op grond van de CRA. Aangemelde instanties beoordelen of belangrijke en kritieke producten aan de essentiële cyberbeveiligingseisen voldoen voordat de CE-markering wordt aangebracht.
B
- Bijlage I — Essentiële cyberbeveiligingseisen
- De normatieve bijlage van de CRA die de essentiële cyberbeveiligingseisen vaststelt waaraan alle producten met digitale elementen moeten voldoen. Deel I bevat de eisen voor beveiligingseigenschappen van het product; Deel II bevat de eisen voor kwetsbaarheidsbeheer waaraan gedurende de levenscyclus van het product moet worden voldaan.
- Belangrijk product
- Een product met digitale elementen dat is opgenomen in Bijlage II van de CRA, onderverdeeld in klasse I en klasse II. Belangrijke producten brengen een hoger cyberbeveiligingsrisico met zich mee dan standaardproducten. Belangrijke klasse I-producten kunnen een zelfbeoordeling van de conformiteit uitvoeren (als zij geharmoniseerde normen toepassen), terwijl klasse II-producten verplicht een aangemelde instantie vereisen.
C
- CE-markering
- Het zichtbare merkteken dat aangeeft dat een product met digitale elementen voldoet aan de essentiële cyberbeveiligingseisen van de CRA en aan de eisen van alle andere toepasselijke EU-harmonisatiewetgeving. De CE-markering moet op zichtbare, leesbare en onuitwisbare wijze op het product of de verpakking worden aangebracht vóór het in de handel brengen.
- Conformiteitsbeoordeling
- Het proces dat de fabrikant (en, indien van toepassing, een aangemelde instantie) uitvoert om aan te tonen dat een product met digitale elementen voldoet aan de essentiële cyberbeveiligingseisen van Bijlage I. De toepasselijke procedure hangt af van de productclassificatie: standaard, belangrijk (klasse I of II) of kritiek.
D
- Distributeur
- Een natuurlijke of rechtspersoon in de toeleveringsketen, anders dan de fabrikant of importeur, die een product met digitale elementen op de EU-markt beschikbaar stelt. Distributeurs hebben minder zware verplichtingen dan fabrikanten, maar moeten nagaan of het product de CE-markering draagt en of de fabrikant en importeur aan hun verplichtingen hebben voldaan.
E
- Essentiële cyberbeveiligingseisen
- De verplichte beveiligingseisen van Bijlage I van de CRA waaraan elk product met digitale elementen moet voldoen. Ze zijn onderverdeeld in twee delen: Deel I betreft de beveiligingseigenschappen van het product zelf, en Deel II betreft de kwetsbaarheidsbeheersprocessen die de fabrikant gedurende de levenscyclus van het product moet handhaven.
- EU-conformiteitsverklaring (EU-DoC)
- Een door de fabrikant ondertekend document waarin hij onder zijn uitsluitende verantwoordelijkheid verklaart dat het product met digitale elementen voldoet aan de essentiële cyberbeveiligingseisen van de CRA en aan alle andere toepasselijke EU-harmonisatiewetgeving. De EU-DoC moet vóór het in de handel brengen worden opgesteld en ten minste tien jaar beschikbaar blijven.
- Ernstig incident
- Een incident dat een daadwerkelijk nadelig effect heeft op de beveiliging van de netwerk- en informatiesystemen van een fabrikant die worden gebruikt voor de ontwikkeling, productie of het onderhoud van een product met digitale elementen. De ontdekking van een dergelijk incident verplicht de fabrikant binnen 24 uur melding te doen bij het relevante CSIRT en ENISA.
F
- Fabrikant
- Een natuurlijke of rechtspersoon die producten met digitale elementen ontwikkelt of vervaardigt (of laat ontwerpen, ontwikkelen of vervaardigen) en deze onder zijn eigen naam of merk op de markt brengt, al dan niet tegen betaling, via monetisering of gratis. Dit is de primaire rol die verplichtingen met zich meebrengt op grond van de CRA.
G
- Gemachtigde vertegenwoordiger
- Een natuurlijke of rechtspersoon gevestigd in de Europese Unie die van een buiten de EU gevestigde fabrikant een schriftelijke volmacht heeft ontvangen om namens hem bepaalde in de CRA gespecificeerde taken te verrichten. Fabrikanten die niet in de EU zijn gevestigd maar producten op de EU-markt brengen, moeten vóór het in de handel brengen een gemachtigde vertegenwoordiger aanwijzen.
- Gecoördineerde openbaarmaking van kwetsbaarheden (CVD)
- Een proces waarbij ontdekkers van kwetsbaarheden de fabrikant privé informeren zodat deze een oplossing kan ontwikkelen en publiceren voordat de kwetsbaarheid openbaar wordt gemaakt. De CRA verplicht fabrikanten een CVD-beleid op te stellen als onderdeel van hun kwetsbaarheidsbeheersverplichtingen uit Bijlage I, Deel II.
- Geharmoniseerde norm
- Een technische norm aangenomen door een Europese normalisatieorganisatie (CEN, CENELEC of ETSI) op basis van een verzoek van de Europese Commissie, waarvan de referenties zijn gepubliceerd in het Publicatieblad van de EU. Toepassing van geharmoniseerde normen die de eisen van Bijlage I dekken, levert een vermoeden van conformiteit met die eisen op.
I
- Importeur
- Een in de Europese Unie gevestigde natuurlijke of rechtspersoon die een product met digitale elementen met de naam of het merk van een buiten de EU gevestigde persoon op de EU-markt in de handel brengt. Importeurs zijn verantwoordelijk voor verificatie van de conformiteit vóór het in de handel brengen en hebben eigen verplichtingen op grond van de CRA.
- In de handel brengen
- De eerste aanbieding op de markt van een product met digitale elementen in de EU. Een fabrikant brengt een product in de handel wanneer hij het voor het eerst levert aan een distributeur, importeur of gebruiker in de EU, in het kader van een commerciële activiteit, al dan niet tegen betaling.
- Ingrijpende wijziging
- Een wijziging van een product met digitale elementen, aangebracht nadat het in de handel is gebracht, die de conformiteit van het product met de essentiële cyberbeveiligingseisen van Bijlage I Deel I beïnvloedt, of die het beoogde gebruik zoals door de fabrikant verklaard wijzigt.
K
- Kritiek product
- Een product met digitale elementen dat is opgenomen in Bijlage III van de CRA en het hoogste niveau van cyberbeveiligingsrisico vertegenwoordigt. Kritieke producten zijn onderverdeeld in klasse I en klasse II, met verschillende conformiteitsbeoordelingsvoorwaarden. Deze producten moeten een Europees cyberbeveiligingscertificeringsschema doorlopen om hun conformiteit aan te tonen.
- Kwetsbaarheid
- Een zwakheid in een product met digitale elementen die mogelijk door een bedreigingsactor kan worden misbruikt om de beveiliging van dat product of verbonden systemen te doorbreken. De CRA legt fabrikanten uitgebreide verplichtingen op om kwetsbaarheden gedurende de gehele ondersteuningsperiode te identificeren, te verhelpen en openbaar te maken.
M
- Markttoezicht
- Een nationale autoriteit aangewezen door een lidstaat om de conformiteit van producten met digitale elementen met de CRA op de markt te monitoren en te handhaven. Markttoezichtautoriteiten kunnen technische documentatie opvragen, audits en tests uitvoeren, en corrigerende maatregelen of marktonttrekking bevelen voor niet-conforme producten.
O
- Onder het toepassingsgebied
- Een product met digitale elementen valt onder het toepassingsgebied van de CRA als het in het kader van een commerciële activiteit op de EU-markt wordt aangeboden en niet is uitgesloten door een specifieke vrijstelling. De belangrijkste factoren zijn: de aanwezigheid van digitale elementen, connectiviteit en levering in het kader van een commerciële activiteit.
- Op de markt aanbieden
- Elke levering van een product met digitale elementen voor distributie, verbruik of gebruik op de EU-markt in het kader van een commerciële activiteit, al dan niet tegen betaling. Anders dan «in de handel brengen» (dat verwijst naar de eerste levering), omvat «op de markt aanbieden» elke volgende levering in de toeleveringsketen, ook door importeurs en distributeurs.
- OSS-beheerder
- Een rechtspersoon, anders dan een fabrikant, wiens doel of doelstelling het is systematisch en op duurzame basis ondersteuning te bieden voor de ontwikkeling van specifieke vrije-en-opensourcesoftwareproducten die bestemd zijn voor commerciële activiteiten, en die de levensvatbaarheid van die producten waarborgt. OSS-beheerders profiteren van een lichter, op maat gemaakt regelgevend regime op grond van de CRA.
- Oplossing voor gegevensverwerking op afstand (RDPS)
- Een dienst op afstand die noodzakelijk is voor een product met digitale elementen om een van zijn functies uit te voeren. Een RDPS maakt deel uit van het PDE en is daarom onderworpen aan dezelfde CRA-verplichtingen als het product zelf. De driedelige toets (op afstand, functionele afhankelijkheid, verantwoordelijkheid van de fabrikant) bepaalt of een dienst op afstand in aanmerking komt.
- Ondersteuningsperiode
- De periode gedurende welke een fabrikant verplicht is kwetsbaarheden van een product met digitale elementen effectief te behandelen overeenkomstig Bijlage I Deel II. De ondersteuningsperiode moet ten minste vijf jaar bedragen, tenzij de verwachte gebruiksduur van het product korter is.
P
- Product met digitale elementen (PDE)
- Elk software- of hardwareproduct, en de bijbehorende oplossingen voor gegevensverwerking op afstand, waarvan het beoogde of redelijkerwijs voorzienbare gebruik een directe of indirecte, logische of fysieke gegevensverbinding met een apparaat of netwerk omvat. De CRA is van toepassing op PDE's, tenzij een sectorspecifieke uitzondering van toepassing is.
S
- Software-stuklijst (SBOM)
- Een formeel overzicht van de componenten, bibliotheken en modules in een softwareproduct, opgesteld in een gangbaar en machineleesbaar formaat. Op grond van Bijlage I Deel II van de CRA moeten fabrikanten een SBOM opstellen die ten minste de afhankelijkheden van het hoogste niveau van hun product omvat.
T
- Technische documentatie
- Een uitgebreide set documentatie die de fabrikant moet opstellen vóór het in de handel brengen van een product en gedurende de gehele ondersteuningsperiode moet bijhouden. De documentatie bevat alle informatie waaruit blijkt dat het product en de processen van de fabrikant voldoen aan de essentiële cyberbeveiligingseisen van Bijlage I. De minimuminhoud is gespecificeerd in Bijlage VII. Moet ten minste 10 jaar worden bewaard.
V
- Vrije en opensourcesoftware (FOSS)
- Software waarvan de broncode beschikbaar is onder een licentie die gebruikers het recht geeft de software te gebruiken, te bestuderen, aan te passen en te verspreiden. De CRA bepaalt dat vrije en opensourcesoftware die buiten het kader van een commerciële activiteit wordt geleverd buiten het toepassingsgebied valt, hoewel er belangrijke nuances zijn rond financiering en commercialisering.