Załącznik VII

Zawartość dokumentacji technicznej

Dokumentacja techniczna, o której mowa w art. 31, musi zawierać co najmniej te spośród następujących informacji, które mają zastosowanie do danego produktu z elementami cyfrowymi:

    1. ogólny opis produktu z elementami cyfrowymi, w tym:
    • a) jego przeznaczenie;
    • b) wersje oprogramowania mające wpływ na zgodność z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa;
    • c) jeżeli produkt z elementami cyfrowymi jest sprzętem – zdjęcia lub ilustracje przedstawiające cechy zewnętrzne, oznakowanie i układ wewnętrzny;
    • d) informacje i instrukcje dla użytkowników zgodnie z treścią załącznika II;
    1. opis projektowania, opracowywania i produkcji produktu z elementami cyfrowymi oraz procedur postępowania w przypadku wykrycia podatności, w tym:
    • a) niezbędne informacje o projektowaniu i opracowaniu produktu z elementami cyfrowymi, w tym w stosownych przypadkach rysunki i schematy lub opis architektury systemu wyjaśniający, jak elementy oprogramowania współgrają ze sobą lub wzajemnie się uzupełniają oraz włączają się w ogólne przetwarzanie;
    • b) niezbędne informacje i specyfikacje wprowadzonych przez producenta procedur postępowania w przypadku wykrycia podatności, w tym zestawienie podstawowych materiałów do produkcji oprogramowania, politykę skoordynowanego ujawniania podatności, dowód, że podano adres do kontaktu do celów zgłaszania podatności, oraz opis rozwiązań technicznych wybranych na potrzeby bezpiecznej dystrybucji aktualizacji;
    • c) niezbędne informacje i specyfikacje dotyczące procesów produkcji i monitorowania produktu z elementami cyfrowymi oraz walidacji tych procesów;
    1. ocenę ryzyka w cyberprzestrzeni, na wypadek którego zaprojektowano, opracowano, wyprodukowano, dostarczono i utrzymywano produkt z elementami cyfrowymi, zgodnie z art. 13, w tym w jakim sposób mają zastosowanie zasadnicze wymagania w zakresie cyberbezpieczeństwa określone załączniku I część I;
    1. istotne informacje uwzględnione przy określaniu dla produktu z elementami cyfrowymi okresu wsparcia, o którym mowa w art. 13 ust. 8;
    1. wykaz norm zharmonizowanych stosowanych w całości lub w części, do których odniesienia opublikowano w Dzienniku Urzędowym Unii Europejskiej, wspólne specyfikacje określone w art. 27 niniejszego rozporządzenia lub europejskie programy certyfikacji cyberbezpieczeństwa przyjęte zgodnie z rozporządzeniem (UE) 2019/881 według art. 27 ust. 8 niniejszego rozporządzenia oraz – jeżeli nie zastosowano takich norm zharmonizowanych, wspólnych specyfikacji lub europejskich systemów certyfikacji cyberbezpieczeństwa – opisy rozwiązań przyjętych w celu spełnienia zasadniczych wymagań w zakresie cyberbezpieczeństwa określonych w załączniku I część I i II, w tym wykaz innych odpowiednich zastosowanych specyfikacji technicznych; w przypadku częściowego zastosowania norm zharmonizowanych, wspólnych specyfikacji lub europejskich programów certyfikacji cyberbezpieczeństwa w dokumentacji technicznej należy określić, które części zastosowano;
    1. sprawozdania z prób przeprowadzonych w celu weryfikacji zgodności produktu z elementami cyfrowymi oraz procedur postępowania w przypadku wykrycia podatności z mającymi zastosowanie zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I część I i II;
    1. kopię deklaracji zgodności UE;
    1. w stosownych przypadkach zestawienie podstawowych materiałów do produkcji oprogramowania, na uzasadniony wniosek organu nadzoru rynku, pod warunkiem że jest to niezbędne, aby organ ten mógł sprawdzić zgodność z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I.