Beta

Source: OJ L 2024/2847, 20.11.2024

Current language: FR

Annexe VII Contenu de la documentation technique

La documentation technique visée à l’article 31 contient au moins les informations ci-après, selon le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; concerné:

  1. une description générale du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, y compris:

    1. l’utilisation prévue: l’utilisation à laquelle un produit comportant des éléments numériques est destiné par le fabricant, y compris le contexte et les conditions spécifiques d’utilisation, telles que précisées dans les informations communiquées par le fabricant dans la notice d’utilisation, dans les indications publicitaires ou de vente, ainsi que dans la documentation technique;;

    2. les versions de logiciel: la partie d’un système d’information électronique qui consiste en un code informatique; ayant des incidences sur la conformité aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;;

    3. lorsque le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; est un produit matériel, des photographies ou des illustrations montrant les caractéristiques extérieures, le marquage et la disposition intérieure;

    4. les informations et instructions destinées à l’utilisateur figurant à l’annexe II;

  2. une description de la conception, du développement et de la fabrication du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; et des processus de gestion des vulnérabilités, y compris:

    1. les informations nécessaires sur la conception et le développement du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, y compris, le cas échéant, des dessins et des schémas et/ou une description de l’architecture du système expliquant comment les composants: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; logiciels: la partie d’un système d’information électronique qui consiste en un code informatique; s’appuient les uns sur les autres ou s’alimentent et s’intègrent dans le traitement global;

    2. les informations et spécifications nécessaires concernant le processus de gestion des vulnérabilités mis en place par le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;, en ce compris la nomenclature des logiciels: un document officiel contenant les détails et les relations avec la chaîne d’approvisionnement des différents composants utilisés dans la fabrication d’un produit comportant des éléments numériques;, la politique coordonnée de divulgation des vulnérabilités, la preuve de la fourniture d’une adresse de contact pour le signalement des vulnérabilités et une description des solutions techniques choisies pour la distribution sécurisée des mises à jour;

    3. les informations et spécifications nécessaires concernant les processus de production et de suivi du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; et la validation de ces processus;

  3. une évaluation des risques de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; sur la base de laquelle le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; est conçu, développé, produit, livré et entretenu, en vertu de l’article 13, y compris la manière dont les exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées à l’annexe I, partie I, sont applicables;

  4. les informations qui ont été prises en compte pour déterminer la période d’assistance: la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II; en vertu de l’article 13, paragraphe 8, du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;;

  5. une liste des normes harmonisées: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012;, appliquées entièrement ou en partie, dont les références ont été publiées au Journal officiel de l’Union européenne, des spécifications communes telles que définies à l’article 27 du présent règlement ou des schémas européens de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; adoptés au titre du règlement (UE) 2019/881, conformément à l’article 27, paragraphe 8, du présent règlement, lorsque ces normes harmonisées: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012;, spécifications communes ou schémas européens de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; n’ont pas été appliqués, une présentation des solutions adoptées pour répondre aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées à l’annexe I, parties I et II, y compris une liste des autres spécifications techniques pertinentes appliquées. Dans le cas où des normes harmonisées: une norme harmonisée au sens de l’article 2, point 1) c), du règlement (UE) no 1025/2012;, spécifications communes ou schémas européens de certifications de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; ont été appliquées en partie, la documentation technique précise les parties appliquées;

  6. les rapports des essais effectués pour vérifier la conformité du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; et des processus de gestion des vulnérabilités aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; applicables énoncées à l’annexe I, parties I et II;

  7. une copie de la déclaration UE de conformité;

  8. le cas échéant, la nomenclature des logiciels: un document officiel contenant les détails et les relations avec la chaîne d’approvisionnement des différents composants utilisés dans la fabrication d’un produit comportant des éléments numériques;, à la suite d’une demande motivée d’une autorité de surveillance du marché: une autorité de surveillance du marché au sens de l’article 3, point 4), du règlement (UE) 2019/1020;, pour autant que celle-ci soit nécessaire pour permettre à cette autorité de vérifier le bon respect des exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées à l’annexe I.

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod