Annexe VII

Contenu de la documentation technique

La documentation technique visée à l’article 31 contient au moins les informations ci-après, selon le produit comportant des éléments numériques concerné:

    1. une description générale du produit comportant des éléments numériques, y compris:
    • a) l’utilisation prévue;
    • b) les versions de logiciel ayant des incidences sur la conformité aux exigences essentielles de cybersécurité;
    • c) lorsque le produit comportant des éléments numériques est un produit matériel, des photographies ou des illustrations montrant les caractéristiques extérieures, le marquage et la disposition intérieure;
    • d) les informations et instructions destinées à l’utilisateur figurant à l’annexe II;
    1. une description de la conception, du développement et de la fabrication du produit comportant des éléments numériques et des processus de gestion des vulnérabilités, y compris:
    • a) les informations nécessaires sur la conception et le développement du produit comportant des éléments numériques, y compris, le cas échéant, des dessins et des schémas et/ou une description de l’architecture du système expliquant comment les composants logiciels s’appuient les uns sur les autres ou s’alimentent et s’intègrent dans le traitement global;
    • b) les informations et spécifications nécessaires concernant le processus de gestion des vulnérabilités mis en place par le fabricant, en ce compris la nomenclature des logiciels, la politique coordonnée de divulgation des vulnérabilités, la preuve de la fourniture d’une adresse de contact pour le signalement des vulnérabilités et une description des solutions techniques choisies pour la distribution sécurisée des mises à jour;
    • c) les informations et spécifications nécessaires concernant les processus de production et de suivi du produit comportant des éléments numériques et la validation de ces processus;
    1. une évaluation des risques de cybersécurité sur la base de laquelle le produit comportant des éléments numériques est conçu, développé, produit, livré et entretenu, en vertu de l’article 13, y compris la manière dont les exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, sont applicables;
    1. les informations qui ont été prises en compte pour déterminer la période d’assistance en vertu de l’article 13, paragraphe 8, du produit comportant des éléments numériques;
    1. une liste des normes harmonisées, appliquées entièrement ou en partie, dont les références ont été publiées au Journal officiel de l’Union européenne, des spécifications communes telles que définies à l’article 27 du présent règlement ou des schémas européens de certification de cybersécurité adoptés au titre du règlement (UE) 2019/881, conformément à l’article 27, paragraphe 8, du présent règlement, lorsque ces normes harmonisées, spécifications communes ou schémas européens de certification de cybersécurité n’ont pas été appliqués, une présentation des solutions adoptées pour répondre aux exigences essentielles de cybersécurité énoncées à l’annexe I, parties I et II, y compris une liste des autres spécifications techniques pertinentes appliquées. Dans le cas où des normes harmonisées, spécifications communes ou schémas européens de certifications de cybersécurité ont été appliquées en partie, la documentation technique précise les parties appliquées;
    1. les rapports des essais effectués pour vérifier la conformité du produit comportant des éléments numériques et des processus de gestion des vulnérabilités aux exigences essentielles de cybersécurité applicables énoncées à l’annexe I, parties I et II;
    1. une copie de la déclaration UE de conformité;
    1. le cas échéant, la nomenclature des logiciels, à la suite d’une demande motivée d’une autorité de surveillance du marché, pour autant que celle-ci soit nécessaire pour permettre à cette autorité de vérifier le bon respect des exigences essentielles de cybersécurité énoncées à l’annexe I.