Source: OJ L 2024/2847, 20.11.2024Current language: SV
- Cyber resilience for products with digital elements
Basic legislative acts
- CRA regulation
Bilaga VII DEN TEKNISKA DOKUMENTATIONENS INNEHÅLL
Den tekniska dokumentation som avses i artikel 31 ska åtminstone innehålla följande information, beroende på vad som är tillämpligt för den relevanta produkten med digitala element:
En allmän beskrivning av produkten med digitala element, inbegripet
dess avsedda ändamål,
versioner av programvara som påverkar överensstämmelsen med de väsentliga cybersäkerhetskraven,
om produkten med digitala element är en hårdvaruprodukt, fotografier eller illustrationer som visar yttre egenskaper, märkning och inre layout,
användarinformation och bruksanvisning enligt bilaga II.
En beskrivning av utformningen, utvecklingen och produktionen av produkten med digitala element samt processer för sårbarhetshantering, inbegripet
nödvändig information om utformning och utveckling av produkten med digitala element, i tillämpliga fall inbegripet ritningar och scheman och/eller en beskrivning av systemarkitekturen som förklarar hur programvarukomponenter bygger på eller matas in i varandra och integreras i den övergripande behandlingen,
nödvändig information om och specifikationer av de processer för sårbarhetshantering som tillverkaren infört, inbegripet programvaruförteckningen, policyn för samordnad delgivning av information om sårbarheter, bevis på tillhandahållandet av en kontaktadress för rapportering av sårbarheter och en beskrivning av de tekniska lösningar som valts för säker distribution av uppdateringar,
nödvändig information om och specifikationer av produktions- och övervakningsprocesser för produkten med digitala element och validering av dessa processer.
En bedömning av de cybersäkerhetsrisker mot vilka produkten med digitala element utformas, utvecklas, produceras, levereras och underhålls som fastställs enligt artikel 13, inbegripet hur de väsentliga cybersäkerhetskraven i del I i bilaga I är tillämpliga.
Relevant information som beaktades för att fastställa stödperioden enligt artikel 13.8 för produkten med digitala element.
En förteckning över de harmoniserade standarder som helt eller delvis har följts och till vilka hänvisningar har offentliggjorts i Europeiska unionens officiella tidning, gemensamma specifikationer enligt artikel 27 i denna förordning eller europeiska ordningar för cybersäkerhetscertifiering som antagits enligt förordning (EU) 2019/881 enligt artikel 27.8 i denna förordning, och, om dessa harmoniserade standarder, gemensamma specifikationer eller europeiska ordningar för cybersäkerhetscertifiering inte har tillämpats, beskrivningar av de lösningar som valts för att uppfylla de väsentliga cybersäkerhetskraven i delarna I och II i bilaga I, inbegripet en förteckning över andra relevanta tekniska specifikationer som tillämpats. När det gäller delvis tillämpade harmoniserade standarder, gemensamma specifikationer eller europeiska ordningar för cybersäkerhetscertifiering ska det i den tekniska dokumentationen specificeras vilka delar som har tillämpats.
Rapporter om de provningar som utförts för att kontrollera att produkten med digitala element och processerna för sårbarhetshantering överensstämmer med de tillämpliga väsentliga cybersäkerhetskraven i delarna I och II i bilaga I.
Kopia av EU-försäkran om överensstämmelse.
I tillämpliga fall, programvaruförteckningen, efter en motiverad begäran från en marknadskontrollmyndighet, förutsatt att det är nödvändigt för att denna myndighet ska kunna kontrollera överensstämmelsen med de väsentliga cybersäkerhetskraven i bilaga I.
Relevant recitals
Skäl 43 Important products
Produkter med digitala element bör anses vara viktiga om de negativa konsekvenserna av utnyttjandet av potentiella sårbarheter i produkten kan vara allvarliga på grund av, bland annat, cybersäkerhetsrelaterade funktioner eller en funktion som medför en betydande risk för negativa effekter i fråga om dess intensitet och förmåga att störa, kontrollera eller orsaka skada på ett stort antal andra produkter eller på användarnas hälsa, säkerhet eller skydd genom direkt manipulering, såsom en central systemfunktion, inbegripet nätförvaltning, konfigurationsstyrning, virtualisering eller behandling av personuppgifter. I synnerhet kan sårbarheter i produkter med digitala element som har en cybersäkerhetsrelaterad funktion, såsom starthanterare, medföra att säkerhetsproblem sprids i hela leveranskedjan. Allvarlighetsgraden i en cybersäkerhetsincident kan också öka när produkten primärt utför en central systemfunktion, inbegripet nätförvaltning, konfigurationsstyrning, virtualisering eller behandling av personuppgifter.
Skäl 44 Class I and II of important products
Vissa kategorier av produkter med digitala element bör omfattas av striktare förfaranden för bedömning av överensstämmelse, med bevarande av proportionaliteten. Därför bör viktiga produkter med digitala element delas in i två klasser som återspeglar produktkategoriernas cybersäkerhetsrisknivå. En incident som involverar viktiga produkter med digitala element som omfattas av i klass II skulle kunna få större negativa konsekvenser än en incident som involverar viktiga produkter med digitala element i klass I, exempelvis på grund av produkternas cybersäkerhetsrelaterade funktion eller utförandet av en annan funktion som medför en betydande risk för negativa effekter. Som en indikation på sådana större negativa effekter skulle produkter med digitala element som omfattas av klass II antingen kunna utföra en cybersäkerhetsrelaterad funktion eller en annan funktion som medför en betydande risk för negativa effekter som är högre än för dem som förtecknas i klass I, eller uppfylla båda ovannämnda kriterier. Viktiga produkter med digitala element som omfattas av klass II bör därför omfattas av ett striktare förfarande för bedömning av överensstämmelse.
Skäl 76 Vulnerability disclosure policy and bug bounty programmes
Tillverkare av produkter med digitala element bör införa samordnade policyer för information om sårbarheter för att underlätta individers eller entiteters rapportering av sårbarheter, antingen direkt till tillverkaren eller indirekt, och anonymt om så begärs, via CSIRT-enheter som utsetts till samordnare för att åstadkomma en samordnad delgivning av information om sårbarheter i enlighet med artikel 12.1 i direktiv (EU) 2022/2555. Tillverkarnas samordnade policy för offentliggörande av sårbarheter bör specificera en strukturerad process där sårbarheter rapporteras till en tillverkare på ett sådant sätt att tillverkaren kan diagnostisera och åtgärda dessa sårbarheter innan mer detaljerad sårbarhetsinformation lämnas ut till tredje part eller till allmänheten. Tillverkarna bör också överväga att offentliggöra sin säkerhetspolicy i maskinläsbart format. I och med att information om sårbarheter som kan utnyttjas hos allmänt använda produkter med digitala element kan säljas till höga priser på den svarta marknaden bör tillverkare av sådana produkter som ett led i sina samordnade policyer för information om sårbarheter kunna använda program för att ge incitament till rapportering av sårbarheter genom att säkerställa att individer eller entiteter får erkännande och ersättning för sina insatser. Detta avser så kallade buggbelöningsprogram.
Skäl 77 Software bill of materials
För att underlätta sårbarhetsanalys bör tillverkarna identifiera och dokumentera de komponenter som ingår i produkter med digitala element, inbegripet genom att utarbeta en programvaruförteckning. En programvaruförteckning kan förse dem som tillverkar, köper och driver programvara med information som förbättrar deras förståelse av leveranskedjan, vilket har många fördelar, framför allt att det hjälper tillverkare och användare att spåra kända nya sårbarheter och cybersäkerhetsrisker. Det är särskilt viktigt att tillverkarna säkerställer att deras produkter med digitala element inte innehåller sårbara komponenter som utvecklats av tredje part. Tillverkarna bör inte vara skyldiga att offentliggöra programvaruförteckningen.
Skäl 93 Simplified technical documentation
När det gäller mikroföretag och små företag bör, för att säkerställa proportionalitet, de administrativa kostnaderna minskas utan att påverka nivån av cybersäkerhetsskydd för produkter med digitala element som omfattas av denna förordnings tillämpningsområde, eller tillverkarnas lika spelregler. Det är därför lämpligt att kommissionen skapar ett förenklat formulär för teknisk dokumentation med inriktning på mikroföretags och små företags behov. Det förenklade formulär för teknisk dokumentation som antas av kommissionen bör omfatta alla tillämpliga delar av den tekniska dokumentation som anges i denna förordning och specificera hur ett mikroföretag eller ett småföretag kan tillhandahålla de begärda delarna på ett kortfattat sätt, såsom en beskrivning av utformningen, utvecklingen och produktionen av produkten med digitala element. På så sätt skulle formuläret bidra till att minska den administrativa regelbördan genom att ge de berörda företagen rättslig säkerhet om hur omfattande den information som ska lämnas ska vara och vilka uppgifter som ska ingå. Mikroföretag och små företag bör kunna välja att tillhandahålla tillämpliga delar som rör teknisk dokumentation i ett mer omfattande format och att inte använda det förenklade formulär som de har tillgång till.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.