Garantizar que los procesos de gestión de vulnerabilidades cumplen los requisitos esenciales (Anexo I Parte II)

El artículo 6, letra b), del Reglamento (UE) 2024/2847 dispone que los productos con elementos digitales solo se pondrán a disposición si los procesos establecidos por el fabricante cumplen los requisitos esenciales de la Parte II del Anexo I.

Los fabricantes deben establecer procesos para:

1. SBOM — Identificar y documentar vulnerabilidades y componentes, incluyendo una lista de materiales de software (SBOM) en formato legible por máquina para al menos las dependencias de primer nivel
2. Corrección oportuna — Abordar y corregir vulnerabilidades sin demora injustificada, incluida la provisión de actualizaciones de seguridad
3. Pruebas regulares — Aplicar pruebas y revisiones de seguridad eficaces y periódicas
4. Divulgación de vulnerabilidades corregidas — Compartir públicamente información sobre vulnerabilidades corregidas tras la disponibilidad de un parche
5. Política CVD — Establecer y aplicar una política de divulgación coordinada de vulnerabilidades
6. Facilitación de notificaciones — Facilitar la notificación mediante una dirección de contacto
7. Distribución segura de actualizaciones — Distribución segura de actualizaciones de seguridad (incluida la opción automática)
8. Actualizaciones gratuitas — Proporcionar actualizaciones de seguridad gratuitas durante toda la duración del período de asistencia