Richtlijn (EU) 2022/2555 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn):artikel 6

Artikel 6 Definities

Geldend

Documentgegevens:

Geldend vanaf 16-01-2023

Redactionele toelichting: Gecorrigeerd via een rectificatie (PbEU 2023, L 154).
Bronpublicatie:: 14-12-2022, PbEU 2022, L 333 (uitgifte: 27-12-2022, regelingnummer: 2022/2555)
Inwerkingtreding: 16-01-2023
Bronpublicatie inwerkingtreding:: 14-12-2022, PbEU 2022, L 333 (uitgifte: 27-12-2022, regelingnummer: 2022/2555)
Vakgebied(en): Privacy / Bescherming persoonsgegevens
Informatierecht / ICT
Openbare orde en veiligheid / Algemeen

Voor de toepassing van deze richtlijn wordt verstaan onder:

1)

‘netwerk- en informatiesysteem’:

a): een elektronischecommunicatienetwerk in de zin van artikel 2, punt 1), van Richtlijn (EU) 2018/1972;
b): elk apparaat of elke groep van onderling verbonden of verwante apparaten, waarvan er een of meer, op grond van een programma, een automatische verwerking van digitale gegevens uitvoeren, of
c): digitale gegevens die worden opgeslagen, verwerkt, opgehaald of verzonden met behulp van de in punten a) en b) bedoelde elementen met het oog op de werking, het gebruik, de bescherming en het onderhoud ervan;

2)

‘beveiliging van netwerk- en informatiesystemen’: het vermogen van netwerk- en informatiesystemen om op een bepaald niveau van betrouwbaarheid weerstand te bieden aan elke gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die door of via deze netwerk- en informatiesystemen worden aangeboden, in gevaar kan brengen;

3)

‘cyberbeveiliging’: cyberbeveiliging zoals gedefinieerd in artikel 2, punt 1), van Verordening (EU) 2019/881;

4)

‘nationale cyberbeveiligingsstrategie’: een samenhangend kader van een lidstaat met strategische doelstellingen en prioriteiten op het vlak van cyberbeveiliging en de governance om die doelstellingen en prioriteiten in die lidstaat te verwezenlijken;

5)

‘bijna-incident’: een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen, in gevaar had kunnen brengen, maar die met succes is voorkomen of zich niet heeft voorgedaan;

6)

‘incident’: een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen, in gevaar brengt;

7)

‘grootschalig cyberbeveiligingsincident’: een incident dat leidt tot een verstoringsniveau dat te groot is om door een getroffen lidstaat alleen te worden verholpen of dat significante gevolgen heeft voor ten minste twee lidstaten;

8)

‘incidentenbehandeling’: alle acties en procedures die gericht zijn op het voorkomen, opsporen, analyseren en indammen van of het reageren op en het herstellen van een incident;

9)

‘risico’: de mogelijkheid van verlies of verstoring als gevolg van een incident, wat wordt uitgedrukt als een combinatie van de omvang van een dergelijk verlies of verstoring en de waarschijnlijkheid dat het incident zich voordoet;

10)

‘cyberdreiging’: een cyberdreiging zoals gedefinieerd in artikel 2, punt 8), van Verordening (EU) 2019/881;

11)

‘significante cyberdreiging’: een cyberdreiging waarvan op basis van de technische kenmerken kan worden aangenomen dat zij ernstige gevolgen kan hebben voor de netwerk- en informatiesystemen van een entiteit of de gebruikers van de diensten van de entiteit door het veroorzaken van aanzienlijke materiële of immateriële schade;

12)

‘ICT-product’: een ICT-product zoals gedefinieerd in artikel 2, punt 12), van Verordening (EU) 2019/881;

13)

‘ICT-dienst’: een ICT-dienst zoals gedefinieerd in artikel 2, punt 13), van Verordening (EU) 2019/881;

14)

‘ICT-proces’: een ICT-proces zoals gedefinieerd in artikel 2, punt 14), van Verordening (EU) 2019/881;

15)

‘kwetsbaarheid’: een zwakheid, vatbaarheid of gebrek van ICT-producten of ICT-diensten die door een cyberdreiging kan worden uitgebuit;

16)

‘norm’: een norm zoals gedefinieerd in artikel 2, punt 1), van Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad (1);

17)

‘technische specificatie’: een technische specificatie in de zin van artikel 2, punt 4), van Verordening (EU) nr. 1025/2012;

18)

‘internetknooppunt’: een netwerkfaciliteit die de interconnectie van meer dan twee onafhankelijke netwerken (autonome systemen) mogelijk maakt, voornamelijk ter vergemakkelijking van de uitwisseling van internetverkeer, die alleen interconnectie voor autonome systemen biedt en die niet vereist dat het internetverkeer dat tussen een paar deelnemende autonome systemen verloopt, via een derde autonoom systeem verloopt, noch dat verkeer wijzigt of anderszins verstoort;

19)

‘domeinnaamsysteem (DNS)’: een hiërarchisch gedistribueerd naamgevingssysteem dat het mogelijk maakt internetdiensten en -bronnen te identificeren, waardoor eindgebruikersapparaten in staat worden gesteld routing- en connectiviteitsdiensten op het internet te gebruiken om die diensten en bronnen te bereiken;

20)

‘DNS-dienstverlener’: een entiteit die de volgende diensten verleent:

a): openbare recursieve domeinnaamomzettingsdiensten voor interneteindgebruikers, of
b): gezaghebbende domeinnaamomzettingsdiensten voor gebruik door derden, met uitzondering van root-naamservers;

21)

‘register voor topleveldomeinnamen’: een entiteit waaraan een specifieke topleveldomeinnaam is gedelegeerd en die verantwoordelijk is voor het beheer van de topleveldomeinnaam, met inbegrip van de registratie van domeinnamen onder de topleveldomeinnaam en de technische exploitatie van de topleveldomeinnaam, met inbegrip van de exploitatie van de naamservers, het onderhoud van de databases en de verdeling van de zonebestanden van de topleveldomeinnaam over de naamservers, ongeacht of die activiteiten door de entiteit zelf worden uitgevoerd of worden uitbesteed, maar met uitzondering van situaties waarin topleveldomeinnamen uitsluitend voor eigen gebruik worden aangewend door een register;

22)

‘entiteit die domeinnaamregistratiediensten aanbiedt’: een registrator of een agent die namens registrators optreedt, zoals een aanbieder van privacy- of proxy-registratiediensten of wederverkoper;

23)

‘digitale dienst’: een dienst zoals gedefinieerd in artikel 1, lid 1, punt b), van Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad (2);

24)

‘vertrouwensdienst’: een vertrouwensdienst zoals gedefinieerd in artikel 3, punt 16), van Verordening (EU) nr. 910/2014;

25)

‘verlener van vertrouwensdiensten’: een verlener van vertrouwensdiensten zoals gedefinieerd in artikel 3, punt 19), van Verordening (EU) nr. 910/2014;

26)

‘gekwalificeerde vertrouwensdienst’: een gekwalificeerde vertrouwensdienst zoals gedefinieerd in van artikel 3, punt 17), van Verordening (EU) nr. 910/2014;

27)

‘gekwalificeerde verlener van vertrouwensdiensten’: een gekwalificeerde verlener van vertrouwensdiensten zoals gedefinieerd in artikel 3, punt 20), van Verordening (EU) nr. 910/2014;

28)

‘onlinemarktplaats’: een onlinemarktplaats zoals gedefinieerd in artikel 2, punt n), van Richtlijn 2005/29/EG van het Europees Parlement en de Raad (3);

29)

‘onlinezoekmachine’: een onlinezoekmachine zoals gedefinieerd in artikel 2, punt 5), van Verordening (EU) 2019/1150 van het Europees Parlement en de Raad (4);

30)

‘cloudcomputingdienst’: een digitale dienst die administratie op aanvraag en brede toegang op afstand tot een schaalbare en elastische pool van deelbare computerbronnen mogelijk maakt, ook wanneer die bronnen over verschillende locaties verspreid zijn;

31)

‘datacentrumdienst’: een dienst die structuren of groepen van structuren omvat die bestemd zijn voor de gecentraliseerde accommodatie, de interconnectie en de exploitatie van IT en netwerkapparatuur die diensten op het gebied van gegevensopslag, -verwerking en -transport aanbiedt, samen met alle faciliteiten en infrastructuren voor energiedistributie en omgevingscontrole;

32)

‘netwerk voor de levering van inhoud’: een netwerk van geografisch verspreide servers met het oog op een hoge beschikbaarheid, toegankelijkheid of snelle levering van digitale inhoud en diensten aan internetgebruikers ten behoeve van aanbieders van inhoud en diensten;

33)

‘platform voor socialenetwerkdiensten’: een platform dat eindgebruikers in staat stelt zich met elkaar te verbinden, te delen, te ontdekken en met elkaar te communiceren via meerdere apparaten, met name via chats, posts, video's en aanbevelingen;

34)

‘vertegenwoordiger’: een in de Unie gevestigde natuurlijke of rechtspersoon die uitdrukkelijk is aangewezen om op te treden namens een DNS-dienstverlener, een register voor topleveldomeinnamen, een entiteit die domeinnaamregistratiediensten verleent, een aanbieder van cloudcomputingdiensten, een aanbieder van datacentrumdiensten, een aanbieder van een netwerk voor de levering van inhoud, een aanbieder van beheerde diensten, een aanbieder van beheerde beveiligingsdiensten, of een aanbieder van een onlinemarktplaats, van een onlinezoekmachine of van een platform voor socialenetwerkdiensten die niet in de Unie is gevestigd, en die door een bevoegde autoriteit of een CSIRT kan worden aangesproken in plaats van de entiteit zelf met betrekking tot de verplichtingen van die entiteit uit hoofde van deze richtlijn;

35)

‘overheidsinstantie’: een entiteit die overeenkomstig het nationale recht als zodanig in een lidstaat is erkend, met uitzondering van de rechterlijke macht, parlementen en centrale banken, en die aan de volgende criteria voldoet:

a): zij is opgericht om te voorzien in behoeften van algemeen belang en heeft geen industrieel of commercieel karakter;
b): zij heeft rechtspersoonlijkheid of mag volgens de wet namens een andere entiteit met rechtspersoonlijkheid optreden;
c): zij wordt grotendeels gefinancierd door de staat, regionale autoriteiten of andere publiekrechtelijke organen, is onderworpen aan beheerstoezicht door die autoriteiten of organen, of heeft een bestuurs-, leidinggevend of toezichthoudend orgaan waarvan de leden voor meer dan de helft door de staat, regionale autoriteiten of andere publiekrechtelijke organen worden benoemd;
d): zij heeft de bevoegdheid om ten aanzien van natuurlijke of rechtspersonen administratieve of regelgevende besluiten te nemen die van invloed zijn op hun rechten op het grensoverschrijdende verkeer van personen, goederen, diensten of kapitaal;

36)

‘openbaar elektronischecommunicatienetwerk’: een openbaar elektronischecommunicatienetwerk zoals gedefinieerd in artikel 2, punt 8), van Richtlijn (EU) 2018/1972;

37)

‘elektronischecommunicatiedienst’: een elektronischecommunicatiedienst zoals gedefinieerd in van artikel 2, punt 4), van Richtlijn (EU) 2018/1972;

38)

‘entiteit’: een natuurlijke of rechtspersoon die als zodanig is opgericht en erkend volgens het nationale recht van zijn vestigingsplaats, en die in eigen naam rechten kan uitoefenen en aan verplichtingen kan worden onderworpen;

39)

‘aanbieder van beheerde diensten’: een entiteit die diensten verleent die verband houden met de installatie, het beheer, de exploitatie of het onderhoud van ICT-producten, -netwerken, -infrastructuur, -toepassingen of andere netwerk- en informatiesystemen, via bijstand of actieve administratie bij de klant ter plaatse of op afstand;

40)

‘aanbieder van beheerde beveiligingsdiensten’: een aanbieder van beheerde diensten die bijstand biedt of verleent voor activiteiten die verband houden met risicobeheer op het gebied van cyberbeveiliging;

41)

‘onderzoeksorganisatie’: een entiteit die als hoofddoel heeft het verrichten van toegepast onderzoek of experimentele ontwikkeling met het oog op de exploitatie van de resultaten van dat onderzoek voor commerciële doeleinden, met uitsluiting van onderwijsinstellingen.

Toon alle voetnoten

Voetnoten

(1).

Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad van 25 oktober 2012 betreffende Europese normalisatie, tot wijziging van de Richtlijnen 89/686/EEG en 93/15/EEG van de Raad alsmede de Richtlijnen 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG en 2009/105/EG van het Europees Parlement en de Raad en tot intrekking van Beschikking 87/95/EEG van de Raad en Besluit nr. 1673/2006/EG van het Europees Parlement en de Raad (PB L 316 van 14.11.2012, blz. 12).

(2).

Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad van 9 september 2015 betreffende een informatieprocedure op het gebied van technische voorschriften en regels betreffende de diensten van de informatiemaatschappij (PB L 241 van 17.9.2015, blz. 1).

(3).

Richtlijn 2005/29/EG van het Europees Parlement en de Raad van 11 mei 2005 betreffende oneerlijke handelspraktijken van ondernemingen jegens consumenten op de interne markt en tot wijziging van Richtlijn 84/450/EEG van de Raad, Richtlijnen 97/7/EG, 98/27/EG en 2002/65/EG van het Europees Parlement en de Raad en van Verordening (EG) nr. 2006/2004 van het Europees Parlement en de Raad (‘Richtlijn oneerlijke handelspraktijken’) (PB L 149 van 11.6.2005, blz. 22).

(4).

Verordening (EU) 2019/1150 van het Europees Parlement en de Raad van 20 juni 2019 ter bevordering van billijkheid en transparantie voor zakelijke gebruikers van onlinetussenhandelsdiensten (PB L 186 van 11.7.2019, blz. 57).