Annexe VII CONTENU DE LA DOCUMENTATION TECHNIQUE

Les produits comportant des éléments numériques devraient être considérés comme importants si l’exploitation de vulnérabilités potentielles dans ces produits peut avoir de graves répercussions en raison, entre autres, de la fonctionnalité liée à la cybersécurité ou d’une fonction qui comporte un risque important d’effets néfastes du fait de leur intensité et leur capacité à perturber, contrôler ou endommager un grand nombre d’autres produits ou à porter atteinte à la santé, à la sécurité ou à la sûreté de leurs utilisateurs par une manipulation directe, par exemple une fonction du système central, notamment la gestion du réseau, le contrôle de la configuration, la virtualisation ou le traitement des données à caractère personnel. En particulier, les vulnérabilités de produits comportant des éléments numériques qui ont une fonctionnalité liée à la cybersécurité, tels que les gestionnaires de démarrage, peuvent provoquer une propagation des problèmes de sécurité tout au long de la chaîne d’approvisionnement. La gravité des répercussions d’un incident peut également augmenter lorsque le produit assure principalement une fonction du système central, y compris la gestion du réseau, le contrôle de la configuration, la virtualisation ou le traitement des données à caractère personnel.

Certaines catégories de produits comportant des éléments numériques devraient être soumises à des procédures d’évaluation de la conformité plus strictes, tout en conservant une approche proportionnée. À cette fin, les produits importants comportant des éléments numériques devraient être divisés en deux catégories, reflétant le niveau de risque de cybersécurité lié à ces catégories de produits. Un incident impliquant des produits importants comportant des éléments numériques qui relèvent de la classe II pourrait avoir des répercussions négatives plus importantes qu’un incident impliquant des produits importants comportant des éléments numériques qui relèvent de la classe I, par exemple en raison de la nature de leur fonction liée à la cybersécurité ou de l’exécution d’une autre fonction qui comporte un risque important d’effets néfastes. À titre indicatif, les produits comportant des éléments numériques qui relèvent de la classe II pourraient assurer soit une fonctionnalité liée à la cybersécurité, soit une autre fonction comportant un risque important d’effets néfastes plus élevé que pour les produits relevant de la classe I, soit ces deux types de fonctions. Par conséquent, les produits importants comportant des éléments numériques qui relèvent de la classe II devraient faire l’objet d’une procédure plus stricte d’évaluation de la conformité.

Les fabricants de produits comportant des éléments numériques devraient mettre en place des politiques de divulgation coordonnée des vulnérabilités afin de faciliter le signalement desdites vulnérabilités par des personnes ou des entités soit directement au fabricant soit indirectement et, sur demande, de manière anonyme, par l’intermédiaire des CSIRT désignés comme coordinateurs aux fins de la divulgation coordonnée des vulnérabilités conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. Toute politique de divulgation coordonnée des vulnérabilités par les fabricants devrait définir un processus structuré dans lequel les vulnérabilités sont signalées à un fabricant de manière à lui donner la possibilité de diagnostiquer la vulnérabilité et d’y remédier avant que des informations détaillées à ce sujet soient divulguées à des tiers ou au public. En outre, les fabricants devraient également étudier la possibilité de publier leurs politiques de sécurité dans un format lisible par machine. Étant donné que les informations sur les vulnérabilités exploitables dans les produits comportant des éléments numériques largement utilisés peuvent être vendues à des prix élevés sur le marché noir, les fabricants de ces produits devraient pouvoir utiliser, dans le cadre de leurs politiques de divulgation coordonnée des vulnérabilités, des programmes visant à encourager le signalement des vulnérabilités en veillant à ce que les personnes ou les entités soient reconnues et récompensées pour leurs efforts. Il s’agit de ce que l’on appelle les programmes dits de «prime aux bogues».

Afin de faciliter l’analyse de la vulnérabilité, les fabricants devraient répertorier et documenter les composants contenus dans les produits comportant des éléments numériques, notamment en établissant une nomenclature des logiciels. Une telle nomenclature peut fournir à ceux qui fabriquent, achètent et exploitent des logiciels des informations de nature à améliorer leur compréhension de la chaîne d’approvisionnement, ce qui présente de multiples avantages. Elle peut en particulier aider les fabricants et les utilisateurs à suivre les vulnérabilités et les risques émergents nouvellement apparus en matière de cybersécurité. Il est particulièrement important pour les fabricants de s’assurer que leurs produits comportant des éléments numériques ne contiennent pas de composants vulnérables développés par des tiers. Les fabricants ne devraient pas être tenus de rendre publique la nomenclature des logiciels.

En ce qui concerne les microentreprises et les petites entreprises, il convient, afin de garantir la proportionnalité, de réduire les frais administratifs sans pour autant que le niveau de cyberprotection des produits comportant des éléments numériques qui relèvent du champ d’application du présent règlement non plus que l’équité des conditions de concurrence entre les fabricants en pâtissent. Il convient donc que la Commission établisse un formulaire de documentation technique simplifiée ciblant les besoins des microentreprises et des petites entreprises. Il convient que le formulaire de documentation technique simplifiée adopté par la Commission porte sur l’ensemble des éléments applicables relatifs à la documentation technique prévue dans le présent règlement et qu’il précise les modalités suivant lesquelles une microentreprise ou une petite entreprise peut fournir de manière concise les éléments demandés, tels que la description de la conception, du développement et de la fabrication du produit comportant des éléments numériques. Ainsi, le formulaire contribuerait à alléger la charge administrative de la conformité en apportant aux entreprises concernées une sécurité juridique quant au périmètre et au niveau de détail requis des informations à fournir. Il convient de permettre également aux microentreprises et aux petites entreprises de choisir de fournir sous forme développée les éléments applicables relatifs à la documentation technique et de ne pas recourir au formulaire de documentation technique simplifiée mis à leur disposition.