A los efectos de la presente Directiva, se entenderá por:
- «sistemas de redes y de información»:
- una red de comunicaciones electrónicas tal como se definen en el artículo 2, punto 1, de la Directiva (UE) 2018/1972;
- todo dispositivo o grupo de dispositivos interconectados o relacionados entre sí en el que uno o varios de ellos realizan, conforme a un programa, el tratamiento automático de datos digitales, o
- los datos digitales almacenados, tratados, recuperados o transmitidos mediante elementos contemplados en las letras a) y b) para su funcionamiento, utilización, protección y mantenimiento;
- «seguridad de los sistemas de redes y de información»: la capacidad de los sistemas de redes y de información de resistir, con un nivel determinado de fiabilidad, cualquier hecho que pueda comprometer la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados, o de los servicios ofrecidos por tales sistemas de redes y de información o accesibles a través de ellos;
- «ciberseguridad»: ciberseguridad tal como se define en el artículo 2, punto 1, del Reglamento (UE) 2019/881;
- «estrategia nacional de ciberseguridad»: marco coherente de un Estado miembro que establece prioridades y objetivos estratégicos en el ámbito de la ciberseguridad y la gobernanza para alcanzarlos en dicho Estado miembro;
- «cuasiincidente»: un hecho que habría podido comprometer la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados, o los servicios ofrecidos por sistemas de redes y de información o accesibles a través de ellos, pero cuya materialización completa se previno de manera satisfactoria o que no llegó a materializarse;
- «incidente»: todo hecho que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados, o los servicios ofrecidos por sistemas de redes y de información o accesibles a través de ellos;
- «incidente de ciberseguridad a gran escala»: un incidente que cause perturbaciones que superen la capacidad de un Estado miembro para responder a él o que afecte significativamente por lo menos a dos Estados miembros;
- «gestión de incidentes»: conjunto de medidas y procedimientos destinados a prevenir, detectar, analizar y limitar un incidente o responder ante este y recuperarse de él;
- «riesgo»: la posible pérdida o perturbación causada por un incidente expresada como una combinación de la magnitud de tal pérdida o perturbación y la probabilidad de que se produzca tal incidente;
- «ciberamenaza»: una ciberamenaza tal como se define en el artículo 2, punto 8, del Reglamento (UE) 2019/881;
- «ciberamenaza significativa»: una ciberamenaza que, basándose en sus características técnicas, cabe suponer que tiene el potencial de provocar repercusiones graves en los sistemas de redes y de información de una entidad o para los usuarios de los servicios de la entidad causando perjuicios materiales o inmateriales considerables;
- «producto de TIC»: un producto de TIC tal como se define en el artículo 2, punto 12, del Reglamento (UE) 2019/881;
- «servicio de TIC»: un servicio de TIC tal como se define en el artículo 2, punto 13, del Reglamento (UE) 2019/881;
- «proceso de TIC»: un proceso de TIC tal como se define en el artículo 2, punto 14, del Reglamento (UE) 2019/881;
- «vulnerabilidad»: deficiencia, susceptibilidad o fallo de productos de TIC o servicios de TIC que puede ser aprovechado por una ciberamenaza;
- «norma»: una norma tal como se define en el artículo 2, punto 1, del Reglamento (UE) n.° 1025/2012 del Parlamento Europeo y del Consejo (29);
- «especificación técnica»: una especificación técnica tal como se define en el artículo 2, punto 4, del Reglamento (UE) n.° 1025/2012;
- «punto de intercambio de internet»: una instalación de la red que permite interconectar más de dos redes independientes (sistemas autónomos), principalmente para facilitar el intercambio de tráfico de internet, que solo permite interconectar sistemas autónomos y que no requiere que el tráfico de internet que pasa entre cualquier par de sistemas autónomos participantes pase por un tercer sistema autónomo, ni modifica ni interfiere de otra forma en dicho tráfico;
- «sistema de nombres de dominio (DNS)»: un sistema de nombres distribuido jerárquicamente que posibilita la identificación de servicios y recursos de internet, permitiendo a los dispositivos de los usuarios finales utilizar servicios de enrutamiento y conectividad de internet para acceder a dichos servicios y recursos;
- «proveedor de servicios de DNS»: una entidad que presta:
- servicios a disposición pública de resolución recursiva de nombres de dominio para usuarios finales de internet, o
- servicios de resolución autoritativa de nombres de dominio para uso por terceros, con excepción de los servidores raíz;
- «registro de nombres de dominio de primer nivel»: una entidad en la que se ha delegado un dominio de primer nivel específico y que es responsable de administrar dicho dominio, incluido el registro de nombres de dominio en el dominio de primer nivel y el funcionamiento técnico del dominio de primer nivel, en particular la explotación de sus servidores de nombre, el mantenimiento de sus bases de datos y la distribución de los archivos de zona del dominio de primer nivel entre los servidores de nombre, independientemente de que cualquiera de esas operaciones sea realizada por la entidad o se haya externalizado, pero excluyendo las situaciones en las que los nombres de dominio de primer nivel sean utilizados por un registro únicamente para su propio uso;
- «entidad que presta servicios de registro de nombres de dominio»: un registrador o un agente que actúe en nombre de los registradores, como un proveedor o revendedor de servicios de registro de privacidad o representación;
- «servicio digital»: un servicio tal como se define en el artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (30);
- «servicio de confianza»: un servicio de confianza tal como se define en el artículo 3, punto 16, del Reglamento (UE) n.° 910/2014;
- «prestador de servicios de confianza»: un prestador de servicios de confianza tal como se define en el artículo 3, punto 19, del Reglamento (UE) n.° 910/2014;
- «servicio de confianza cualificado»: un servicio de confianza cualificado tal como se define en el artículo 3, punto 17, del Reglamento (UE) n.° 910/2014;
- «prestador cualificado de servicios de confianza»: un prestador cualificado de servicios de confianza tal como se define en el artículo 3, punto 20, del Reglamento (UE) n.° 910/2014;
- «mercado en línea»: un servicio digital tal como se define en el artículo 2, letra n), de la Directiva 2005/29/CE del Parlamento Europeo y del Consejo (31);
- «motor de búsqueda en línea»: un servicio digital tal como se define en el artículo 2, punto 5, del Reglamento (UE) 2019/1150 del Parlamento Europeo y del Consejo (32);
- «servicio de computación en nube»: un servicio digital que hace posible la administración bajo demanda y el acceso remoto amplio a un conjunto modulable y elástico de recursos informáticos que se pueden compartir, también cuando dichos recursos están distribuidos entre varias ubicaciones;
- «servicio de centro de datos»: un servicio que engloba las estructuras, o agrupaciones de estructuras, dedicadas al alojamiento, la interconexión y la explotación centralizados de las tecnologías de la información y los equipos de red que proporcionan servicios de almacenamiento, tratamiento y transporte de datos, junto con todas las instalaciones e infraestructuras necesarias para la distribución de la energía y el control ambiental;
- «red de distribución de contenidos»: una red de servidores distribuidos geográficamente a efectos de garantizar una elevada disponibilidad, accesibilidad o distribución rápida de contenidos y servicios digitales a los usuarios de internet en nombre de los proveedores de contenidos y servicios;
- «plataforma de servicios de redes sociales»: una plataforma que permite que los usuarios finales se conecten, compartan, descubran y se comuniquen entre sí a través de múltiples dispositivos, en particular, mediante chats, publicaciones, vídeos y recomendaciones;
- «representante»: una persona física o jurídica establecida en la Unión que ha sido designada expresamente para actuar por cuenta de un proveedor de servicios de DNS, un registro de nombres de dominio de primer nivel, una entidad que presta servicios de registro de nombres de dominio, un proveedor de servicios de computación en nube, un proveedor de servicios de centro de datos, un proveedor de redes de distribución de contenidos, un proveedor de servicios gestionados, un proveedor de servicios de seguridad gestionados, o un proveedor de un mercado en línea, de un motor de búsqueda en línea, o de plataformas de servicios de redes sociales que no esté establecido en la Unión, al que puede dirigirse una autoridad competente o un CSIRT en sustitución de la propia entidad, en lo que respecta a las obligaciones de dicha entidad con arreglo a la presente Directiva;
- «entidad de la Administración pública»: una entidad reconocida como tal en un Estado miembro de conformidad con el Derecho nacional, excluidos el poder judicial, los parlamentos y los bancos centrales, que cumple los criterios siguientes:
- se ha creado para satisfacer necesidades de interés general y no tiene carácter industrial o mercantil;
- está dotada de personalidad jurídica o está autorizada por la ley a actuar en nombre de otra entidad dotada de personalidad jurídica;
- está financiada mayoritariamente por el Estado, las autoridades regionales u otras entidades de Derecho público, su gestión se halla sometida a control por parte de esas autoridades o entidades, o tiene órganos de administración, de dirección o de supervisión más de la mitad de cuyos miembros los nombra el Estado, las autoridades regionales u otras entidades de Derecho público;
- tiene facultad para dirigir a las personas físicas o jurídicas resoluciones administrativas o reglamentarias que afectan a sus derechos en la circulación transfronteriza de personas, bienes, servicios o capital;
- «red pública de comunicaciones electrónicas»: una red pública de comunicaciones electrónicas tal como se define en el artículo 2, punto 8, de la Directiva (UE) 2018/1972;
- «servicio de comunicaciones electrónicas»: un servicio de comunicaciones electrónicas tal como se define en el artículo 2, punto 4, de la Directiva (UE) 2018/1972;
- «entidad»: toda persona física o jurídica constituida y reconocida como tal con arreglo al Derecho nacional de su lugar de establecimiento y que, actuando en nombre propio, puede ejercer derechos y estar sujeta a obligaciones;
- «proveedor de servicios gestionados»: una entidad que presta servicios relacionados con la instalación, la gestión, la explotación o el mantenimiento de productos, redes, infraestructuras o aplicaciones de TIC o cualesquiera otros sistemas de redes y de información, a través de la asistencia o la administración activa, en las instalaciones de los clientes o a distancia;
- «proveedor de servicios de seguridad gestionados»: un proveedor de servicios gestionados que lleva a cabo actividades relativas a la gestión de riesgos de ciberseguridad o presta asistencia para ello;
- «organismo de investigación»: una entidad cuyo objetivo principal es llevar a cabo investigación aplicada o desarrollo experimental con vistas a explotar los resultados de dicha investigación con fines comerciales, excluidos los centros de enseñanza.