Elaborar documentación técnica a petición

El artículo 24(4) del Reglamento (UE) 2024/2847 establece que, a petición de una autoridad de vigilancia del mercado, los administradores de software de código abierto elaborarán y mantendrán actualizada la documentación técnica a que se refiere el Anexo VII para los componentes de software de código abierto que administran.

La documentación se pondrá a disposición de la autoridad de vigilancia del mercado cuando se solicite y deberá permitir evaluar el cumplimiento de los requisitos aplicables del presente Reglamento.

1. Obligación a petición: a diferencia de los fabricantes, los administradores de OSS no necesitan mantener de forma proactiva la documentación del Anexo VII, pero deben elaborarla cuando se solicite
2. Alcance del Anexo VII: la documentación debe ser suficiente para permitir la evaluación de la conformidad; abarca las propiedades de seguridad, el proceso de desarrollo y la gestión de vulnerabilidades
3. Mantenimiento actualizado: una vez elaborada, la documentación debe mantenerse actualizada para que siga siendo exacta
4. Producción oportuna: debe facilitarse en un plazo razonable tras la solicitud

• Inventario de los componentes OSS administrados y sus propiedades relevantes para la seguridad
• Notas de arquitectura de seguridad, modelos de amenazas o documentación de diseño equivalente
• Base de datos de vulnerabilidades o lista de problemas conocidos de los componentes
• Registros de las prácticas de desarrollo seguro aplicadas