NIS2 – definicje

b) urządzenie lub grupę wzajemnie połączonych lub powiązanych urządzeń, z których co najmniej jedno, na podstawie programu, automatycznie przetwarza dane cyfrowe; lub

c) dane cyfrowe przechowywane, przetwarzane, pobierane lub przekazywane przez elementy określone w lit. a) i b) w celu ich eksploatacji, użycia, ochrony i utrzymania;

III. „cyberbezpieczeństwo” oznacza cyberbezpieczeństwo zdefiniowane w art. 2 pkt 1 rozporządzenia (UE) 2019/881;

IV. „krajowa strategia cyberbezpieczeństwa” oznacza spójne ramy państwa członkowskiego określające strategiczne cele i priorytety w obszarze cyberbezpieczeństwa oraz środki służące ich realizacji w tym państwie członkowskim;

V. „potencjalne zdarzenie dla cyberbezpieczeństwa” oznacza zdarzenie, które mogło naruszyć dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub usług oferowanych przez sieci i systemy informatyczne lub dostępnych za ich pośrednictwem, któremu udało się jednak zapobiec lub które jednak nie wystąpiło;

VI. „incydent” oznacza zdarzenie naruszające dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub usług oferowanych przez sieci i systemy informatyczne lub dostępnych za ich pośrednictwem;

VII. „incydent w cyberbezpieczeństwie na dużą skalę” oznacza incydent, który powoduje zakłócenia na poziomie przekraczającym zdolność państwa członkowskiego do reagowania na ten incydent lub który wywiera znaczące skutki w co najmniej dwóch państwach członkowskich;

VIII. „obsługa incydentu” oznacza działania i procedury mające na celu zapobieżenie incydentowi, wykrywanie i analizowanie go, ograniczanie jego zasięgu lub reagowanie na niego i przywrócenie normalnego działania;

IX. „ryzyko” oznacza możliwość wystąpienia strat lub zakłóceń spowodowanych incydentem, wyrażoną jako wypadkową wielkości takiej straty lub takich zakłóceń oraz prawdopodobieństwo wystąpienia takiego incydentu;

X. „cyberzagrożenie” oznacza cyberzagrożenie zdefiniowane w art. 2 pkt 8 rozporządzenia (UE) 2019/881;

XI. „poważne cyberzagrożenie” oznacza cyberzagrożenie, co do którego można założyć w oparciu o jego charakterystykę techniczną, że może wywrzeć znaczący wpływ na sieć i systemy informatyczne danego podmiotu lub użytkowników, korzystających z usług tego podmiotu, powodując i znaczne szkody majątkowe lub niemajątkowe;

XII. „produkt ICT” oznacza produkt ICT zdefiniowany w art. 2 pkt 12 rozporządzenia (UE) 2019/881;

XII. „usługa ICT” oznacza usługę ICT zdefiniowaną w art. 2 pkt 13 rozporządzenia (UE) 2019/881;

XIII. „proces ICT” oznacza proces ICT zdefiniowany w art. 2 pkt 14 rozporządzenia (UE) 2019/881;

XIV. „podatność” oznacza słabość, wrażliwość lub wadę produktów ICT lub usług ICT, które to cechy mogą zostać wykorzystane w wyniku cyberzagrożenia;

XV. „norma” oznacza normę zdefiniowaną w art. 2 pkt 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1025/2012 (29);

XVI. „specyfikacja techniczna” oznacza specyfikację techniczną zdefiniowaną w art. 2 pkt 4 rozporządzenia (UE) nr 1025/2012;

XVII. „punkt wymiany ruchu internetowego” oznacza obiekt sieciowy, który umożliwia połączenie międzysystemowe pomiędzy więcej niż dwoma niezależnymi sieciami (systemami autonomicznymi), głównie w celu ułatwienia wymiany ruchu internetowego; punkt wymiany ruchu internetowego zapewnia połączenie międzysystemowe wyłącznie systemów autonomicznych i nie wymaga, aby ruch internetowy między jakąkolwiek parą uczestniczących systemów autonomicznych przechodził przez jakikolwiek trzeci system autonomiczny, ani nie powoduje zmian w tym ruchu, ani w inny sposób w niego nie ingeruje;

XVIII. „system nazw domen” lub „DNS” oznacza hierarchiczny rozproszony system nazw, który umożliwia identyfikację usług i zasobów internetowych, pozwalając urządzeniom użytkowników końcowych na korzystanie z usług routingu internetowego i usług łączności w celu dotarcia do tych usług i zasobów;

XIX. „dostawca usług DNS” oznacza podmiot świadczący:

a) dostępne publicznie rekurencyjne usługi rozpoznawania nazw domen na rzecz użytkowników końcowych internetu; lub

b) autorytatywne usługi rozpoznawania nazw domen do użytku osób trzecich, z wyjątkiem głównych serwerów nazw;

XX. „rejestr nazw domen najwyższego poziomu” lub „rejestr nazw TLD” oznacza podmiot, któremu powierzono konkretną domenę najwyższego poziomu (TLD) i który odpowiada za zarządzanie nią, w tym za rejestrację nazw domen w ramach TLD oraz za jej techniczne funkcjonowanie, w tym za obsługę jej serwerów nazw, utrzymanie jej baz danych oraz dystrybucję plików strefowych TLD we wszystkich serwerach nazw, bez względu na to, czy którekolwiek z tych działań jest wykonywane przez sam podmiot czy zlecane na zewnątrz, ale z wyłączeniem sytuacji, w których rejestr wykorzystuje nazwy TDL wyłącznie do własnego użytku;

XXI. „podmiot świadczący usługi rejestracji nazw domen” oznacza rejestratora lub agenta działającego w imieniu rejestratorów, np. dostawcę lub odsprzedawcę usług w zakresie rejestracji prywatności lub serwerów proxy;

XXII. „usługa cyfrowa” oznacza usługę zdefiniowaną w art. 1 ust. 1 lit. b) dyrektywy (UE) 2015/1535 Parlamentu Europejskiego i Rady (30);

XXIII. „usługa zaufania” oznacza usługę zaufania zdefiniowaną w art. 3 pkt 16 rozporządzenia (UE) nr 910/2014;

XXIV. „dostawca usług zaufania” oznacza dostawcę usług zaufania zdefiniowanego w art. 3 pkt 19 rozporządzenia (UE) nr 910/2014;

XXV. „kwalifikowana usługa zaufania” oznacza kwalifikowaną usługę zaufania zdefiniowaną w art. 3 pkt 17 rozporządzenia (UE) nr 910/2014;

XXVI. „kwalifikowany dostawca usług zaufania” oznacza kwalifikowanego dostawcę usług zaufania zdefiniowanego w art. 3 pkt 20 rozporządzenia (UE) nr 910/2014;

XXVII. „internetowa platforma handlowa” oznacza internetową platformę handlową zdefiniowaną w art. 2 lit. n) dyrektywy 2005/29/WE Parlamentu Europejskiego i Rady (31);

XXVIII. „wyszukiwarka internetowa” oznacza wyszukiwarkę internetową zdefiniowaną w art. 2 pkt 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/1150 (32);

XXIX. „usługa chmurowa” oznacza usługę cyfrową umożliwiającą administrowanie na żądanie skalowalnym i elastycznym zbiorem zasobów obliczeniowych do wspólnego wykorzystywania oraz szeroki dostęp zdalny do tego zbioru, w tym również gdy takie zasoby są rozproszone w kilku lokalizacjach;

XXX. „usługa ośrodka przetwarzania danych” oznacza usługę obejmującą struktury lub grupy struktur przeznaczone do scentralizowanego hostingu, zapewniania wzajemnego połączenia i eksploatacji sprzętu IT i sieciowego służącego do świadczenia usług przechowywania, przetwarzania i transportu danych wraz ze wszystkimi obiektami i całą infrastrukturą, zapewniającymi dystrybucję energii elektrycznej i kontrolę środowiskową;

XXXI. „sieć dostarczania treści” oznacza sieć rozproszonych geograficznie serwerów służących zapewnieniu wysokiej i łatwej dostępności treści i usług cyfrowych lub ich szybkiego dostarczania na rzecz użytkowników internetu w imieniu dostawców treści i usług;

XXXII. „platforma usług sieci społecznościowych” oznacza platformę umożliwiającą użytkownikom końcowym łączenie się i komunikowanie ze sobą, a także udostępnianie i odkrywanie treści przy użyciu wielu urządzeń, w szczególności za pośrednictwem czatów, postów, filmów wideo i rekomendacji;

XXXIII. „przedstawiciel” oznacza osobę fizyczną lub prawną mającą miejsce zamieszkania lub miejsce prowadzenia działalności w Unii, wyraźnie wyznaczoną do występowania w imieniu dostawcy usług DNS, rejestru nazw TLD, podmiotu świadczącego usługi rejestracji nazw domen, dostawcy usług chmurowych, dostawcy usług ośrodka przetwarzania danych, dostawcy sieci dostarczania treści, dostawcy usług zarządzanych, dostawcy usług zarządzanych w zakresie bezpieczeństwa lub dostawcy internetowej platformy handlowej, wyszukiwarki internetowej lub platformy usług sieci społecznościowych, niemających miejsca prowadzenia działalności w Unii, do której właściwy organ krajowy lub CSIRT może się zwrócić zamiast do samego podmiotu w związku z obowiązkami tego podmiotu przewidzianymi w niniejszej dyrektywie;

XXXIV. „podmiot administracji publicznej” oznacza podmiot uznany za taki w danym państwie członkowskim zgodnie z prawem krajowym, z wyłączeniem sądownictwa, parlamentów lub banków centralnych, spełniający następujące kryteria:

a) został utworzony w celu zaspokajania potrzeb leżących w interesie ogólnym i nie ma charakteru przemysłowego ani handlowego;

b) ma osobowość prawną lub zgodnie z przepisami jest uprawniony do działania w imieniu innego podmiotu mającego osobowość prawną;

c) jest finansowany w przeważającej części przez państwo, władze regionalne lub inne podmioty prawa publicznego, jego zarząd podlega nadzorowi ze strony tych organów lub podmiotów albo ponad połowa członków jego organu administrującego, zarządzającego lub nadzorczego została wyznaczona przez państwo, władze regionalne lub przez inne podmioty prawa publicznego;

d) jest uprawniony do kierowania do osób fizycznych lub prawnych decyzji administracyjnych lub regulacyjnych mających wpływ na ich prawa w transgranicznym przepływie osób, towarów, usług lub kapitału;

XXXV. „publiczna sieć łączności elektronicznej” oznacza publiczną sieć łączności elektronicznej zdefiniowaną w art. 2 pkt 8 dyrektywy (UE) 2018/1972;

XXXVI. „usługa łączności elektronicznej” oznacza usługę łączności elektronicznej zdefiniowaną w art. 2 pkt 4 dyrektywy (UE) 2018/1972;

XXXVII. „podmiot” oznacza osobę fizyczną lub prawną utworzoną i uznawaną za taką na podstawie prawa krajowego obowiązującego w miejscu, w którym osoba ta ma miejsce prowadzenia działalności, która może – działając we własnym imieniu – wykonywać prawa i podlegać obowiązkom;

XXXVIII. „dostawca usług zarządzanych” oznacza podmiot, który świadczy usługi związane z instalacją, eksploatacją lub konserwacją produktów, sieci, infrastruktury, aplikacji ICT lub innych sieci i systemów informatycznych lub z zarządzaniem nimi, poprzez pomoc lub aktywną administrację prowadzoną u klientów lub zdalnie;

XXXIX. „dostawca usług zarządzanych w zakresie bezpieczeństwa” oznacza dostawcę usług zarządzanych, który prowadzi działania związane z zarządzaniem ryzykiem w zakresie cyberbezpieczeństwa lub zapewnia pomoc dla tych działań;

XXXX. „organizacja badawcza” oznacza podmiot, którego głównym celem jest prowadzenie badań stosowanych lub eksperymentalnych prac rozwojowych z myślą o wykorzystaniu wyników tych badań do celów komercyjnych, z wyłączeniem instytucji edukacyjnych.