Article 24

1. Les intendants de logiciels ouverts mettent en place et documentent de manière vérifiable une politique de cybersécurité afin de favoriser le développement d’un produit comportant des éléments numériques sécurisé ainsi qu’un traitement efficace des vulnérabilités par les développeurs de ce produit. Cette politique encourage également le signalement volontaire des vulnérabilités, prévu à l’article 15, par les développeurs de ce produit et tient compte de la nature spécifique de l’intendant de logiciels ouverts et des modalités juridiques et organisationnelles auxquelles il est soumis. Cette politique comprend, en particulier, des aspects liés à la documentation, au traitement et à la correction des vulnérabilités, ainsi qu’à la promotion du partage d’informations sur les vulnérabilités découvertes au sein de la communauté des logiciels ouverts.

2. Les intendants de logiciels ouverts coopèrent avec les autorités de surveillance du marché, à leur demande, en vue d’atténuer les risques de cybersécurité posés par un produit comportant des éléments numériques qui répond aux critères de logiciel libre et ouvert.

Sur demande motivée d’une autorité de surveillance du marché, les intendants de logiciels ouverts fournissent à cette autorité, dans une langue aisément compréhensible par celle-ci, la documentation visée au paragraphe 1, sur support papier ou sous forme électronique.

3. Les obligations prévues à l’article 14, paragraphe 1, s’appliquent aux intendants de logiciels ouverts dès lors qu’ils participent au développement des produits comportant des éléments numériques. Les obligations prévues à l’article 14, paragraphes 3 et 8, s’appliquent aux intendants de logiciels ouverts dès lors que des incidents graves ayant des répercussions sur la sécurité des produits comportant des éléments numériques touchent les réseaux et les systèmes d’information fournis par les intendants de logiciels ouverts pour le développement de ces produits.