Établir et tenir à jour la documentation technique (Annexe VII)

L'article 13(3) du règlement (UE) 2024/2847 dispose qu'avant de mettre sur le marché un produit comportant des éléments numériques, les fabricants établissent la documentation technique visée à l'Annexe VII.

L'article 13(13) exige que les fabricants tiennent la documentation technique et la déclaration UE de conformité à la disposition des autorités de surveillance du marché pendant dix ans à compter de la date de mise sur le marché du produit, ou pendant la durée de vie prévue du produit si celle-ci est plus longue.

L'Annexe VII précise que la documentation technique doit comprendre :

1. Description générale du produit — nom, version, usage prévu
2. Documents de conception et de développement — architecture, flux de données, décisions de conception pertinentes pour la sécurité
3. Évaluation des risques de cybersécurité (voir OBL-ART13-02)
4. Politique de gestion des vulnérabilités — description du processus
5. Liste des normes de cybersécurité appliquées — ou description des solutions retenues pour satisfaire aux exigences essentielles en l'absence de normes
6. Déclaration UE de conformité (ou projet)
7. SBOM — nomenclature des composants logiciels du produit
8. Enregistrements des tests et de la vérification — preuve que les exigences de l'Annexe I sont respectées

1. Exhaustivité — tous les éléments de l'Annexe VII doivent être présents
2. Mise à jour — la documentation doit être actualisée lors de chaque modification du produit
3. Conservation pendant dix ans — à compter de la première mise sur le marché ou pendant la durée de vie prévue du produit si celle-ci est plus longue
4. Disponible pour les autorités — doit être produite sur demande des autorités de surveillance du marché

• Dossier technique Annexe VII compilé
• Enregistrements de gestion des modifications indiquant les mises à jour de la documentation
• Historique des versions de l'ensemble des documents inclus
• SBOM au format CycloneDX ou SPDX