Technische Dokumentation auf Anfrage erstellen

Einfache Sprache

Im Gegensatz zu Herstellern müssen proaktiv keine vollständigen technischen Anhang-VII-Dokumentationen erstellt werden. Auf Anfrage einer Marktüberwachungsbehörde muss jedoch technische Dokumentation zur OSS-Komponente vorgelegt werden können – zu Sicherheitseigenschaften, bekannten Schwachstellen und Entwicklungspraktiken. Die leichtere Pflicht für OSS-Betreiber spiegelt das Open-Source-Modell wider, setzt aber voraus, dass die zugrunde liegenden Informationen verfügbar sind.

Rechtstext

Artikel 24(4) der Verordnung (EU) 2024/2847 bestimmt, dass Betreiber von Open-Source-Software auf Anfrage einer Marktüberwachungsbehörde die in Anhang VII genannte technische Dokumentation für die von ihnen verwalteten Open-Source- Software-Komponenten erstellen und aktuell halten müssen.

Die Dokumentation wird der Marktüberwachungsbehörde auf Anfrage zugänglich gemacht und muss eine Beurteilung der Konformität mit den anwendbaren Anforderungen dieser Verordnung ermöglichen.

Wesentliche Anforderungen

Pflicht auf Anfrage – im Gegensatz zu Herstellern müssen OSS-Betreiber keine Anhang-VII-Dokumentation proaktiv pflegen, müssen sie jedoch auf Anfrage vorlegen können
Umfang gemäß Anhang VII – Dokumentation muss für eine Konformitätsbewertung ausreichen; umfasst Sicherheitseigenschaften, Entwicklungsprozess und Schwachstellenbehandlung
Aktuell halten – nach Erstellung muss die Dokumentation gepflegt werden, damit sie aktuell bleibt
Zeitnahe Bereitstellung – muss innerhalb einer angemessenen Frist nach der Anfrage vorgelegt werden

Nachweise, die Sie möglicherweise benötigen

Verzeichnis der verwalteten OSS-Komponenten und ihrer sicherheitsrelevanten Eigenschaften
Sicherheitsarchitektur-Notizen, Bedrohungsmodelle oder gleichwertige Designdokumentation
Schwachstellendatenbank oder Liste bekannter Probleme für die eigenen Komponenten
Aufzeichnungen zu angewendeten sicheren Entwicklungspraktiken