Articolo 24

1. I gestori di software open source mettono in atto e documentano in modo verificabile una politica in materia di cibersicurezza per promuovere lo sviluppo di un prodotto con elementi digitali sicuro nonché una gestione efficace delle vulnerabilità da parte degli sviluppatori di tale prodotto. Tale politica promuove inoltre la segnalazione volontaria di vulnerabilità di cui all’articolo 15 da parte degli sviluppatori di tale prodotto e tiene conto della natura specifica del software open source e delle disposizioni giuridiche e organizzative cui è soggetto. La politica include, in particolare, aspetti relativi alla documentazione, al trattamento e alla correzione delle vulnerabilità e promuove la condivisione di informazioni relative alle vulnerabilità individuate nell’ambito della comunità open source.

2. I gestori di software open source cooperano con le autorità di vigilanza del mercato, su loro richiesta, al fine di attenuare i rischi di cibersicurezza presentati da un prodotto con elementi digitali che si qualificano come software liberi e open source.

A seguito di una richiesta motivata di un’autorità di vigilanza del mercato, i gestori di software open source forniscono a tale autorità, in una lingua che possa essere facilmente compresa da quest’ultima, la documentazione di cui al paragrafo 1, in formato cartaceo o elettronico.

3. Gli obblighi di cui all’articolo 14, paragrafo 1, si applicano ai gestori di software open source nella misura in cui sono coinvolti nello sviluppo dei prodotti con elementi digitali. Gli obblighi di cui all’articolo 14, paragrafi 3 e 8, si applicano ai gestori di software open source nella misura in cui incidenti gravi che hanno un impatto sulla sicurezza dei prodotti con elementi digitali incidano sui sistemi informativi e di rete forniti da tali gestori di software open source per lo sviluppo di tali prodotti.