定義

この規則の適用上、次の定義を適用する。

(1) デジタル要素を備えた製品ソフトウェア製品若しくはハードウェア製品及びその遠隔データ処理ソリューションをいい、市場において別個に提供されるソフトウェア構成部品又はハードウェア構成部品を含む。
(2) 遠隔データ処理製造業者により、又はその責任の下で、ソフトウェアが設計及び開発された遠隔でのデータ処理であって、それを欠く場合には、デジタル要素を備えた製品がその機能の一つを果たすことができなくなるものをいう。
(3) サイバーセキュリティ規則 (EU) 2019/881 第2条第(1)号に定義するサイバーセキュリティをいう。
(4) ソフトウェア電子情報システムのうち、コンピュータコードから構成される部分をいう。
(5) ハードウェアデジタルデータを処理し、保存し、又は送信することが可能な物理的電子情報システム又はその一部をいう。
(6) 構成部品電子情報システムへの統合を意図したソフトウェア又はハードウェアをいう。
(7) 電子情報システム電気機器又は電子機器を含み、デジタルデータを処理し、保存し、又は送信することが可能なシステムをいう。
(8) 論理的接続ソフトウェア・インターフェースを通じて実装されるデータ接続の仮想的表現をいう。
(9) 物理的接続電子情報システム又は構成部品の間の接続であって、電気的、光学的若しくは機械的インターフェース、配線又は電波を通じたものを含め、物理的手段を用いて実装されるものをいう。
(10) 間接接続機器又はネットワークへの接続であって、直接には行われず、むしろ、当該機器又はネットワークに直接接続可能な、より大きなシステムの一部として行われるものをいう。
(11) エンドポイントネットワークに接続され、かつ、当該ネットワークへの入口として機能する機器をいう。
(12) 経済事業者この規則に従い、デジタル要素を備えた製品の製造又はデジタル要素を備えた製品の市場における提供に関して義務を負う製造業者、授権代理人、輸入業者、流通業者その他の自然人又は法人をいう。
(13) 製造業者デジタル要素を備えた製品を開発若しくは製造し、又はデジタル要素を備えた製品の設計、開発若しくは製造を行わせ、かつ、有償、収益化又は無償のいずれであるかを問わず、自己の名称又は商標の下でこれを販売する自然人又は法人をいう。
(14) オープンソース・ソフトウェア管理主体製造業者以外の法人であって、自由かつオープンソースのソフトウェアに該当し、かつ商業活動に向けられた特定のデジタル要素を備えた製品の開発について、継続的に体系立てて支援を提供することを目的又は目標とし、かつ、当該製品の存続可能性を確保するものをいう。
(15) 授権代理人連合域内に設立され、製造業者から、特定の任務に関してその代理として行為するための書面による委任を受けた自然人又は法人をいう。
(16) 輸入業者連合域内に設立され、連合域外に設立された自然人又は法人の名称又は商標を付したデジタル要素を備えた製品を市場に投入する自然人又は法人をいう。
(17) 流通業者製造業者又は輸入業者以外の、供給連鎖に属する自然人又は法人であって、デジタル要素を有する製品の特性に影響を及ぼすことなく、当該製品をEU市場において提供する者をいう。
(18) 消費者その者の व्यापार、事業、手工業又は職業の外にある目的のために行動する自然人をいう。
(19) マイクロ企業」、「小企業」及び「中企業それぞれ、Recommendation 2003/361/ECの附属書に定めるマイクロ企業、小企業及び中企業をいう。
(20) サポート期間製造業者が、デジタル要素を有する製品の脆弱性について、附属書IのパートIIに定める必須サイバーセキュリティ要件に従い、これを効果的に対処することを確保する義務を負う期間をいう。
(21) 上市デジタル要素を有する製品をEU市場において初めて提供することをいう。
(22) 市場における提供商業活動の過程において、有償か無償かを問わず、デジタル要素を有する製品を流通又は使用のためにEU市場に供給することをいう。
(23) 意図された目的使用に関する具体的な文脈及び条件を含め、デジタル要素を有する製品について製造業者が予定する使用であって、取扱説明書、販売促進資料若しくは販売資料及び表示、並びに技術文書において製造業者が提供する情報により特定されるものをいう。
(24) 合理的に予見可能な使用取扱説明書、販売促進資料若しくは販売資料及び表示、並びに技術文書において製造業者が示す意図された目的であるとは限らないが、合理的に予見可能な人の行動若しくは技術的な操作若しくは相互作用から生ずるおそれのある使用をいう。
(25) 合理的に予見可能な誤使用デジタル要素を有する製品をその意図された目的に適合しない方法で使用することであって、合理的に予見可能な人の行動又は他のシステムとの相互作用から生ずるおそれのあるものをいう。
(26) 通知当局適合性評価機関の評価、指定及び通知並びにその監視のために必要な手続を整備し、及び実施する責任を負う国内当局をいう。
(27) 適合性評価附属書Iに定める必須サイバーセキュリティ要件が満たされているかどうかを検証する過程をいう。
(28) 適合性評価機関 Regulation (EC) No 765/2008の第2条第13号に定義する適合性評価機関をいう。
(29) 通知機関第43条及びその他の関連するEU整合化法令に従って指定された適合性評価機関をいう。
(30) 実質的変更デジタル要素を有する製品の上市後に当該製品に加えられる変更であって、当該デジタル要素を有する製品の附属書IのパートIに定める必須サイバーセキュリティ要件への適合に影響を及ぼすもの、又は当該デジタル要素を有する製品が評価された意図された目的の変更をもたらすものをいう。
(31) CEマーキング製造業者が、デジタル要素を有する製品及び製造業者が導入した工程が、附属書Iに定める必須サイバーセキュリティ要件並びにその表示を定めるその他の適用されるEU整合化法令に適合していることを示す表示をいう。
(32) EU整合化法令 Regulation (EU) 2019/1020の附属書Iに掲げるEU法令及び同規則が適用される製品の販売条件を整合化するその他のEU法令をいう。
(33) 市場監視当局 Regulation (EU) 2019/1020の第3条第4号に定義する市場監視当局をいう。
(34) 国際規格 Regulation (EU) No 1025/2012の第2条第1号(a)に定義する国際規格をいう。
(35) 欧州規格規則（EU）No 1025/2012第2条第1号(b)に定義する欧州規格をいう。
(36) 整合規格規則（EU）No 1025/2012第2条第1号(c)に定義する整合規格をいう。
(37) サイバーセキュリティリスクインシデントによって生じる損失又は障害の可能性をいい、当該損失又は障害の規模と、当該インシデントの発生可能性との組合せとして表されるものをいう。
(38) 重大なサイバーセキュリティリスクその技術的特性に照らし、相当な有形又は無形の損失又は障害を生じさせることを含め、重大な負の影響につながり得るインシデントが高い蓋然性で発生すると想定されるサイバーセキュリティリスクをいう。
(39) ソフトウェア部品表デジタル要素を有する製品のソフトウェア要素に含まれる構成要素の詳細及びそのサプライチェーン上の関係を記載した正式な記録をいう。
(40) 脆弱性デジタル要素を有する製品の弱点、ぜい弱性又は欠陥であって、サイバー脅威によって悪用され得るものをいう。
(41) 悪用可能な脆弱性実際の運用条件の下で、攻撃者により効果的に利用される可能性を有する脆弱性をいう。
(42) 現に悪用されている脆弱性悪意ある行為者が、システム所有者の許可なく、システムにおいて当該脆弱性を悪用したことについて信頼できる証拠がある脆弱性をいう。
(43) インシデント指令（EU）2022/2555第6条第6号に定義するインシデントをいう。
(44) デジタル要素を有する製品の安全性に影響を及ぼすインシデントデジタル要素を有する製品が、データ又は機能の可用性、真正性、完全性又は機密性を保護する能力に対し、負の影響を与えるインシデント又はそのような負の影響を与えるおそれのあるインシデントをいう。
(45) ニアミス指令（EU）2022/2555第6条第5号に定義するニアミスをいう。
(46) サイバー脅威規則（EU）2019/881第2条第8号に定義するサイバー脅威をいう。
(47) 個人データ規則（EU）2016/679第4条第1号に定義する個人データをいう。
(48) フリーかつオープンソースのソフトウェアそのソースコードが公に共有され、かつ、自由にアクセスし、使用し、改変し、及び再頒布するためのあらゆる権利を定めるフリーかつオープンソースのライセンスの下で利用可能とされるソフトウェアをいう。
(49) リコール規則（EU）2019/1020第3条第22号に定義するリコールをいう。
(50) 回収規則（EU）2019/1020第3条第23号に定義する回収をいう。
(51) コーディネーターとして指定されたCSIRT 指令（EU）2022/2555第12条第1項に基づきコーディネーターとして指定されたCSIRTをいう。